密码管理器解决方案和单点登录(SSO)有着相同的目的:让用户可以轻松地跨不同的应用程序登录。在这两种技术中,用户只需一次登录即可解锁对多个网站和应用程序的访问。这些相似之处就是为什么人们经常怀疑 SSO 和密码管理器是否是一回事。
但事实并非如此。这两种技术都支持多应用程序登录,但方式完全不同。在本文中,我们将更详细地研究这些技术,并帮助您选择最适合您的组织的解决方案。
基于密码的管理解决方案
传统上,密码管理器解决方案将用户密码存储在安全的保险库中。通过主密码保护对密码管理器的访问。每当用户开始他们的一天时,他们使用他们的主密码登录到密码管理器。之后,密码管理器会自动输入用户进入所有授权应用程序和网站的密码。
登录过程对用户来说很方便,因为一次登录就可以访问他们最喜欢的所有应用程序和网站。这也刺激了复杂密码的使用;因为用户只需要创建和记住一个密码,他们更有可能使它变得安全和难以猜测。
密码管理工具的问题
但密码管理器仍然有一个固有的问题:密码。即使密码很复杂,似乎不可能猜到,但它们本质上仍然容易受到社会工程、网络钓鱼和暴力攻击的影响。如此之多,以至于不安全的密码占所有数据泄露的 81%。
主密码泄露将允许网络犯罪访问用户被允许访问的所有应用程序和系统。这实质上造成了单点故障。
单点登录建立在信任的基础上
另一方面,SSO 不仅仅使用密码进行身份验证。它根据信任授予访问权限。SSO 跨不同的应用程序建立信任关系,并使用它们来确定是否授予用户访问权限。
用户的身份属性(例如,其用户名/密码、设备 ID、地理位置等)在登录期间存储和检查(也称为联合身份)。这些属性也可在其他受信任的应用程序和系统之间共享。这意味着,如果一个系统信任某个用户,则与该特定系统有信任关系的其他系统也会自动信任该用户。无需管理多个密码。
现代单点登录应用程序使用 SAML 2.0 和 OpenID Connect 等协议实现身份联合。SSO 最好的部分是您可以互连任何支持身份联合的系统。例如,您可以与您的 VPN、防火墙、智能手机应用程序、云和本地资源集成。密码管理器不具备相同级别的互操作性。
SSO 提取登录上下文
现代 SSO 应用程序允许管理员收集登录请求的不同属性(例如 IP 地址、设备 ID、请求的资源、浏览器等)并使用它们来建立登录上下文。然后,可以使用该上下文来创建定制的访问策略。
例如,如果曾从未知设备访问内部资源,则即使提供的凭据正确,该请求也应被拒绝。或者,如果用户的 IP 地址不在配置的 IP 范围内,则应将其重定向到多因素身份验证(MFA)屏幕。
使用密码管理器的优点
- 用户只需记住一个主密码
- 密码可以自动生成和重置
- 因为用户只需要记住一个密码,所以他们更有可能使密码变得尽可能复杂
使用密码管理器的缺点
- 密码容易受到网络钓鱼、社交工程和词典攻击
- 把所有敏感数据都放在一个地方从来都不是个好主意
- 它对登录过程的控制有限,无法创建自定义身份验证策略
- 忘记主密码意味着您无法访问所有内容,重置主密码非常耗时
使用单点登录的优点
- 为用户提供单次登录的便利性,同时确保高级别的安全性
- 跨应用程序使用信任关系,而不是多个密码
- 它可以评估登录环境并创建适当的访问策略
- 即使凭据被泄露,异常检测策略也会生效并拒绝访问
- 集成支持身份联合的任意应用程序
- 使用标准化协议,如 SAML 2.0 和 OpenID Connect 来保护敏感用户详细信息的传输
使用单点登录的缺点
- 单点登录解决方案可能需要时间来实施和配置
- 可能难以与旧式应用程序集成