Har din organisation brug for Single Sign-On?
IT-ledere arbejder i en sektor, der er præget af konstant forandring. Nye teknologier bringer både muligheder og risici med sig og udfordrer virksomhedernes IT-afdelinger på alle leder og kanter. At være på forkant med disse forandringer bør være altafgørende for enhver teknologileder: Med hackere, der konstant søger efter nye sårbarheder at udnytte, er det altafgørende for både din virksomheds og din egen fremtid at træffe de rigtige beslutninger om sikkerheden i din tech stack.
Kompleksiteten i en moderne IT-stack ville have været utænkelig for en CTO for bare et par år siden: I 2000 brugte den gennemsnitlige virksomhed kun 4 eller 5 softwareløsninger - som alle blev vedligeholdt på virksomhedens egne servere. I 2019, ifølge Wall Street Journal, anvendte den gennemsnitlige store virksomhed omkring 129 apps - en stigning på 68% på bare fire år - mens mindre virksomheder anvender omkring 73 forskellige tekniske løsninger. Og størstedelen af disse apps er cloud-baserede SaaS-løsninger, hvilket i høj grad øger både kompleksiteten og sikkerheden i stakken.
På denne baggrund er det ikke overraskende, at mange virksomheder er begyndt at udforske Single Sign On (SSO) som en potentiel løsning til øget sikkerhed. Læs videre for at lære mere om, hvorfor SSO bør være en del af din organisations IT-sikkerhedsprotokoller.
Hvad er Single Sign-On?
Single Sign-On (SSO) er en sikker, webbaseret autentifikationsmekanisme. Den deler identiteter mellem organisationer og applikationer og har potentialet til at eliminere behovet for, at enkeltpersoner skal huske separate loginoplysninger til hver af de apps og tjenester, de bruger dagligt. I stedet logger brugerne ind på virksomhedens enterprise-miljø og bliver automatisk logget ind på enhver app i virksomhedens tech stack, som IT-administratoren har givet dem adgang til.
Hvorfor adgangskoder er et problem
Selvom god sikkerhedshygiejne anbefaler, at man bruger et unikt brugernavn og password til hver applikation eller tjeneste, så viste en artikel fra TechRepublic i 2019, at den gennemsnitlige medarbejder skifter mellem 35 forskellige applikationer mere end 1000 gange om dagen. Denne udbredelse af ikke-standardiserede brugernavne og adgangskoder gør det næsten umuligt for medarbejderne at praktisere effektiv sikkerhedshygiejne: mange tyr til ikke-anbefalede metoder som at skrive loginoplysninger ned eller simpelthen gentage legitimationsoplysninger på tværs af forskellige tjenester.
Derudover skaber denne spredning af passwords også frustration hos brugerne og fører til produktivitetsproblemer - både inden for IT-funktionen, som skal håndtere stigningen i anmodninger om hjælp og nulstilling af passwords, og i virksomheden som helhed, da medarbejderne også mister værdifuld tid på at håndtere passwordadministration.
Hvilke fordele giver SSO?
De største fordele ved SSO er forbedret sikkerhed og produktivitet samt omkostningsbesparelser i hele organisationen.
Forbedret sikkerhed
I de senere år har en række højt profilerede hacks af store virksomheder afsløret følsomme data for millioner af kunder. Disse brud har kostet virksomhederne tid, omdømme og milliarder af dollars i bøder, kompensation og tabt omsætning. (For et eksempel, se Equifax Case Study nedenfor).
Selvom SSO ikke forhindrer hackere i at finde sårbarheder, de kan udnytte, kan det stramme op på den mest almindelige kilde til hackerrelaterede brud. Ifølge Verizons 2019 Data Breach Investigations Report var angreb, hvor legitimationsoplysninger var blevet hacket eller phished, den mest almindelige kilde til databrud og tegnede sig for 52% af alle brud.
Men selvom store virksomheder som Capital One og Equifax måske trækker overskrifterne, er mindre virksomheder også i farezonen. Som det fremgår af Verizons rapport, involverer 43 % af bruddene ofre fra små virksomheder.
Omkostningsbesparelser og produktivitetsgevinster
Ifølge Gartner Group er op til 50% af en virksomheds helpdesk-opkald til nulstilling af adgangskoder - en direkte omkostning, der påvirker næsten alle virksomheder, for ikke at nævne en kilde til friktion, der tynger produktiviteten for de enkelte medarbejdere og helpdesken som helhed.
Som diskuteret ovenfor, jo flere apps en medarbejder skal logge på, jo større er risikoen for, at de genbruger adgangskoder (hvilket skaber en sikkerhedsrisiko) eller glemmer deres legitimationsoplysninger, hvilket resulterer i et helpdesk-opkald og dyrebare spildte minutter og timer.
Ud over at hjælpe med at reducere disse økonomiske og produktivitetsmæssige omkostninger på daglig basis, giver SSO også IT-chefer mulighed for at give eller tilbagekalde adgang til flere applikationer samtidigt. Det kan være med til at forbedre effektiviteten af din virksomheds onboarding-processer for nyansatte, kontrollere adgangen for eksterne medarbejdere og freelancere og også øge sikkerheden, når en medarbejder forlader organisationen.
Hvad er SAML?
For at SSO kan fungere, skal de involverede parter kunne autentificere hinanden og autorisere adgang. I øjeblikket er de to vigtigste standarder SAML 2.0 (Security Assertion Markup Language) og OpenID Connect.
Doodle bruger SAML 2.0 til autentificering og autorisation. Den største fordel ved SAML 2.0 er, at den under login gemmer en brugers autentificeringsoplysninger som en sikker XML-signatur. Denne signatur kan derefter sendes videre mellem pålidelige udbydere, så en bruger kan få adgang til alle apps, der accepterer legitimationsoplysningerne, uden at skulle logge ind igen.
Casestudie: Equifax
I 2017 blev Equifax, et af de største kreditovervågningsbureauer i verden, hacket af en gruppe, der stjal personlige oplysninger fra 147,7 millioner amerikanere - mere end halvdelen af den voksne befolkning i USA.
Ifølge en rapport fra 2018 fra Government Accountability Office (GAO) (https://www.gao.gov/products/gao-18-371sp) opdagede hackere en kendt sårbarhed i Equifax' online tvistportal og udnyttede den på flere måder, bl.a. til at finde "ukrypterede brugernavne og adgangskoder, der kunne give angriberne adgang til flere andre Equifax-databaser". Ifølge Equifax' midlertidige sikkerhedschef var angriberne i stand til at udnytte disse legitimationsoplysninger til at udvide deres adgang ud over de tre databaser, der er forbundet med online-tvistportalen, til at omfatte yderligere 48 ikke-relaterede databaser."
Hacket havde alvorlige konsekvenser for både Equifax som virksomhed og de medarbejdere, der havde fået til opgave at sikre Equifax' sikkerhed. I september 2017, en uge efter at Equifax offentliggjorde hacket, gik både deres CIO og Chief Security Officer på pension. I mellemtiden har mindst to andre ledende medarbejdere tilbragt tid i fængsel for insiderhandel i forbindelse med hacket: begge solgte virksomhedsaktier, efter at hacket blev kendt internt, men før det var blevet annonceret til offentligheden.
I juli 2019 indgik Equifax et forlig med FTC om at betale mellem 575 og 700 millioner dollars i bøder og om at yde kompensation og gratis kreditovervågning til folk, der var berørt af hacket. Hvis Equifax havde haft en robust SSO-implementering på plads, kunne de meget vel have undgået bøderne, tabet af tillid og omdømme og andre omkostninger, som de pådrog sig som et direkte resultat af hacket.
Hvordan bliver adgangskoder afsløret?
Der er mange måder, hvorpå hackere kan få adgang til et password. Her er et par af de mest almindelige metoder:
Hacking - Som det ses i Equifax-sagen, indebærer hacking, at en uautoriseret bruger får adgang til et eller flere registre over bruger-id'er og passwords, typisk ved at udnytte svagheder i sikkerheden.
Cracking - Mange brugere - især til forretningsapplikationer - har tendens til at bruge forudsigelige adgangskoder. Cracking involverer brug af software til hurtigt at iterere gennem flere variationer af de mest almindelige adgangskoder i et forsøg på at finde et match.
Phishing - Phishing-svindel involverer typisk, at en hacker sender en e-mail, der leder en intetanende bruger til en overbevisende, falsk login-side, der er sat op til at indsamle login-oplysninger.
Keystroke Logging - Keystroke logging involverer et stykke malware - enten downloadet uforvarende af brugeren eller implanteret af en tredjepart - som aflæser brugerens tastetryk og gemmer dem, så en hacker kan få adgang til dem.
Er Single Sign-On det rigtige for dig?
Der er ingen tvivl om, at SSO eliminerer mange af risiciene og de svage punkter for organisationer med komplekse tekniske systemer. Muligheden for at eliminere dårlig password-hygiejne som en risikofaktor reducerer i høj grad eksponeringen for alle andre end de mest dedikerede, sofistikerede hackerangreb. Og ved at reducere antallet af svage punkter i organisationens sikkerhedsinfrastruktur kan teknologiledere skifte fra reaktiv tilstand (reparation af sårbarheder, når de bliver afsløret) til at bruge ressourcer på proaktiv overvågning og test af organisationens sikkerhed.
I erkendelse af fordelene for sikkerhed, produktivitet og bekvemmelighed tilbyder mange af de mest kendte SaaS-løsninger til virksomheder SSO-integration som en del af deres service. Derfor er det sandsynligvis vejen frem at integrere SSO i din organisations IT-strategi, hvis du har at gøre med et af følgende kriterier:
Naturligvis kan ingen enkelt løsning helt eliminere risici, og det er vigtigt at være opmærksom på, at SSO måske ikke er passende i alle scenarier. For eksempel er der i organisationer, hvor mange brugere deler eller har adgang til de samme enheder eller terminaler, en større risiko for, at uautoriserede brugere får adgang til andre brugeres apps og data.
Hvad skal jeg ellers vide?
Selvom risikoen for at blive hacket er betydeligt mindre med SSO, vil et vellykket hack af en enkelt bruger give hackeren ubegrænset adgang til alle de data, der er gemt i alle de apps, som brugeren havde adgang til. Derfor kan ledere, der vælger SSO som løsning, reducere deres risiko yderligere ved at indføre følgende protokoller:
Kontakt os for at høre mere om, hvordan Doodle kan integreres med Single Sign-On-udbydere.