• ¡Obtenga la seguridad de la aplicación de la manera correcta! Detectar, proteger, monitorear, acelerar y más ...
  • SSO es una gran herramienta de productividad y seguridad, pero deja brechas de seguridad relacionadas con las contraseñas.

    Las soluciones de inicio de sesión único (SSO) estaban ganando popularidad rápidamente incluso antes de que la pandemia de COVID-19 provocara una loca carrera hacia la nube. Ahora, SSO es más popular que nunca debido a la conveniencia y los beneficios de seguridad que brinda a las organizaciones con fuerzas de trabajo distribuidas, que incluyen:

    • Solo una contraseña para que los empleados la recuerden. La eliminación de la "fatiga de las contraseñas" es uno de los mayores impulsores para la adopción de SSO. En lugar de una contraseña diferente para cada aplicación y servicio, los empleados solo necesitan memorizar su contraseña de inicio de sesión único.
    • Solo una contraseña para ingresar, una vez al día. Además de no tener que recordar varias contraseñas, los empleados no necesitan introducir varias contraseñas durante la jornada laboral. Ingresan su contraseña SSO una vez, al comienzo de su jornada laboral, lo que elimina la pérdida de tiempo escribiendo contraseñas durante la jornada laboral.
    • Reduzca los tickets del servicio de ayuda a la mitad. El Grupo Gartner estima que los restablecimientos de contraseñas representan hasta el 50% de los tickets de la mesa de ayuda. SSO promete eliminar virtualmente estos tickets, lo que permite a los empleados de soporte dedicar más tiempo a ayudar a los usuarios finales con problemas más complejos.
    • Implementación más sencilla de acceso y administración de identidades (IAM). SSO reduce la complejidad de configurar los controles de autenticación y acceso, lo que permite una implementación más rápida y sencilla de las soluciones de IAM, así como una ruta más rápida a un confianza cero ambiente.
    • Informes de cumplimiento más fáciles. Muchos marcos de cumplimiento comunes requieren pistas de auditoría de usuarios para los datos de inicio de sesión de los usuarios. SSO facilita la inclusión de estos datos en los informes de cumplimiento.

    Deficiencia de SSO: brechas de seguridad relacionadas con las contraseñas

    El propósito de SSO es facilitar el acceso a los recursos. Eso es excelente para la productividad, pero no desde una perspectiva de seguridad:

    • Una sola contraseña equivale a un solo punto de falla. Si un empleado pierde u olvida la contraseña de una sola cuenta, se le bloquea el acceso a esa cuenta. Si olvidan su contraseña de SSO, se bloquean todas sus cuentas. Aún más preocupante, si un ciberdelincuente obtiene una contraseña de SSO, puede ingresar a todas las cuentas relacionadas con el trabajo del empleado. Verizon estima que más del 80% de las filtraciones de datos exitosas son el resultado de contraseñas comprometidas, lo cual es un gran inconveniente.
    • Las aplicaciones heredadas de línea de negocio (LOB) no admiten SSO. A pesar de que la pandemia de COVID-19 ha acelerado los esfuerzos de transformación digital durante varios años, la mayoría de las organizaciones todavía usan al menos algunas aplicaciones LOB heredadas que no son compatibles con SSO. Debido a que son tan antiguos, modernizarlos no es realista; debido a que son tan altamente especializados, reemplazarlos tampoco es factible.
    • No todas las aplicaciones modernas admiten SSO. Las aplicaciones heredadas no son el único punto de fricción. Muchas aplicaciones y servicios modernos tampoco son compatibles con SSO, especialmente las aplicaciones de escritorio. Es raro que la implementación de SSO de una organización cubra todas las aplicaciones que usan sus empleados, especialmente en empresas más grandes, donde literalmente cientos de aplicaciones pueden estar en uso.
    • Diferentes aplicaciones pueden usar diferentes protocolos SSO. Es posible que sus empleados necesiten usar aplicaciones que usen un protocolo diferente al que usa el proveedor de identidad (IdP) de su organización. Por ejemplo, si su IdP usa el protocolo SAML, su solución SSO no admitirá aplicaciones que usen OAuth.
    • Sin control sobre los hábitos de las contraseñas del usuario Las implementaciones de SSO no brindan ninguna visibilidad de las malas prácticas de seguridad de contraseñas. Los empleados pueden elegir una contraseña débil o previamente comprometida para su inicio de sesión SSO, o pueden reutilizar una contraseña que están usando en varias cuentas adicionales. Es posible que hagan lo mismo con todas las aplicaciones que su implementación de SSO no admite. También pueden compartir sus contraseñas con terceros no autorizados.
    • Sin protecciones para sesiones o usuarios privilegiados. Por lo general, los usuarios deben ingresar credenciales separadas para acceder a sistemas y datos especialmente confidenciales, pero el propósito del SSO es brindarles a los usuarios un pase de acceso total con una única autenticación.

    Cuatro formas de salvar las brechas de seguridad relacionadas con las contraseñas que deja el SSO

    descifrado de contraseña

    A pesar de estos riesgos, las organizaciones preocupadas por la seguridad no deberían descartar sus implementaciones de SSO. Ninguna solución de seguridad es una panacea. Al combinar sus soluciones de SSO con tecnologías complementarias, las organizaciones pueden subsanar las brechas de seguridad relacionadas con las contraseñas y, al mismo tiempo, conservar la productividad y la facilidad de uso de los beneficios de SSO.

    # 1. Implementar el control de acceso basado en roles (RBAC) con acceso con privilegios mínimos para todos los usuarios

    La principio de menor privilegio, que dicta que los usuarios deben tener acceso solo al nivel mínimo de privilegios del sistema para hacer su trabajo y no más, es fundamental para reducir la superficie de ataque potencial de una organización. Ingrese RBAC, que simplifica la asignación y administración de niveles de control de acceso.

    Para que las asignaciones de roles de RBAC sean más manejables, evite asignar roles directamente a los usuarios. En su lugar, cree grupos, asigne privilegios a los grupos y agregue usuarios a los grupos en consecuencia. Además de minimizar el número de asignaciones de roles, esta práctica ahorra tiempo si es necesario realizar un cambio de privilegio a cada usuario dentro de un grupo. Asegúrese de que sus grupos sean reutilizables y evite crear demasiados roles personalizados.

    # 2. Implementar Privileged Access Management (PAM) con Privileged Session Management (PSM) para usuarios privilegiados

    A diferencia de SSO, que se enfoca en hacer que el acceso sea lo más fácil posible, PAM se enfoca en restringir el acceso a los sistemas y datos más sensibles de una empresa. Las organizaciones usan PAM para restringir y monitorear el acceso a sus sistemas más críticos y sensibles. Los usuarios privilegiados suelen ser miembros de la empresa de alto nivel, como administradores de TI y seguridad y ejecutivos de nivel C, aunque los proveedores y socios de confianza también pueden pertenecer a esta categoría.

    PAM y PSM van de la mano. Mientras que PAM controla el acceso de los usuarios a los recursos confidenciales, PSM evita que los usuarios privilegiados abusen de ese acceso controlando, monitoreando y grabando sesiones de usuarios privilegiados. El monitoreo y la grabación típicos de PSM son muy granulares e incluyen pulsaciones de teclas, movimientos del mouse y capturas de pantalla. Además de garantizar la seguridad, varios marcos de cumplimiento exigen pistas de auditoría de PSM, incluidos HIPAA, PCI DSS, FISMA y SOX.

    # 3. Implemente la autenticación multifactor en todas las aplicaciones y servicios que la admitan

    Autenticación de múltiples factores (2FA) es una de las defensas más poderosas contra las contraseñas comprometidas. Incluso si un ciberdelincuente compromete una contraseña, no puede usarla sin el segundo factor de autenticación. 2FA protege a todos los usuarios de aquellos con acceso mínimo a los sistemas a los usuarios más privilegiados de la empresa. Mejora la confianza cero al permitir que las organizaciones autentiquen las identidades de los usuarios.

    Algunas organizaciones dudan en implementar 2FA por temor a que obstaculice la productividad al obligar a los empleados a realizar pasos adicionales para iniciar sesión. Este problema se soluciona fácilmente emparejando 2FA con una solución de seguridad de contraseña moderna que permite a los usuarios almacenar sus credenciales 2FA junto con sus contraseñas .

    # 4. Implemente una plataforma de cifrado y seguridad de contraseñas para toda la empresa

    La plataforma de cifrado y seguridad por contraseña permite a los empleados almacenar de forma segura todas sus credenciales de inicio de sesión en un repositorio cifrado, privado y centralizado. Al igual que SSO, los usuarios memorizan solo una "contraseña maestra", que se utiliza para acceder a todas las credenciales en su repositorio digital.

    A diferencia de SSO, un buena seguridad de contraseña empresarial y la plataforma de cifrado está diseñada para funcionar con todos los servicios y aplicaciones, incluidas las aplicaciones heredadas; Incluyen características adicionales, como automáticas. generadores de contraseñas seguras y herramientas de autocompletar. También brindan a los administradores de TI una visibilidad completa de los hábitos de las contraseñas de los usuarios y hacen cumplir las políticas de seguridad de las contraseñas. Asegúrese de implementar una plataforma de cifrado y seguridad de contraseña de nivel empresarial que se integre a la perfección con su implementación de SSO existente y brinde soporte para RBAC, 2FA, auditoría e informes de eventos.

    SSO plantea riesgos de seguridad solo si las organizaciones lo ven como una solución independiente. Al reconocer las brechas de seguridad relacionadas con las contraseñas inherentes al SSO y compensarlas mediante la implementación de tecnologías complementarias, como 2FA, RBAC, PAM / PSM y una plataforma de cifrado y seguridad de contraseñas, las organizaciones pueden mejorar la eficiencia, mejorar la experiencia del usuario final, y protegerse de los ciberataques relacionados con las contraseñas.

    Escrito por Teresa Rothaar