【TechTarget中国原创】问:我的公司正在决定企业是否应该优先考虑使用单点登录。在这种情况下,它可以大幅改善安全性吗?
答:单点登录(SSO)是一把双刃剑。SSO自己不会真正的改善安全性,而且事实上,如果配置不合理就会降低安全性。SSO是用于为用户提供便利的。
随着公司系统的增加,每一个都要求有自己的密码,SSO可以减轻登录到每个系统上所花费的时间的负担。但是同时,如果SSO受到攻击,它就会把城堡钥匙交给恶意用户。另一方面,信任状也减少了,也就是说可能丢失或者受到攻击的量减少了。
所以即使SSO不是安全万能药,它也可以对企业的信息安全项目作出积极贡献。下面是如何做。
SSO系统通常是基于复杂的系统管理应用上的,例如IBM Tivoli,或者硬件应用,例如Imprivata Inc.的产品。结果,SSO系统把认证集中在特别的服务器上。他们通过使用存有SSO模块的专门服务器实现。这些服务器 是作为SSO的看门人,确保所有的认证都首先经过SSO服务器,然后传送存储的信任状,用以认证使用SSO系统特殊应用。这种集中化要求更多的策划、调整和审计,防御除单点认证系统之外的恶意访问。
此外,SSO系统通常在存储认证信任状和加密密钥上有更安全的方式,这样黑客破解就会更困难。他们还可以存在于公司的IT架构深处,通常是在多重防火墙之后的安全位置。
所有这些都要求大量的额外存储,这是审计员和法律人员所喜欢的。所以,虽然法规不是必然等同于安全,但是法规也需要些额外的步骤可以提高安全性。萨班斯法案的404部分要求对控件的存档,并且大部分的SSO系统都可以满足这个要求。
这些文档要求包括对用户帐户的日志和监控。跟踪用户,剪除长期离职员工的不活跃的帐户,监控可疑活动都是SSO的一部分,并且这些还可疑增加企业的IT安全性。