Single Sign-On

La vostra organizzazione ha bisogno del Single Sign-On?

I responsabili IT operano in un settore caratterizzato da continui cambiamenti. Le nuove tecnologie portano con sé sia opportunità che rischi e mettono a dura prova le capacità dei reparti IT aziendali. Tenere il passo con questi cambiamenti dovrebbe essere fondamentale per ogni leader tecnologico: con gli hacker alla costante ricerca di nuove vulnerabilità da sfruttare, prendere le giuste decisioni sulla sicurezza del vostro stack tecnologico è fondamentale per il futuro della vostra azienda e per voi stessi.

La complessità di uno stack IT moderno sarebbe stata inimmaginabile per un CTO solo pochi anni fa: nel 2000, un'azienda media utilizzava solo 4 o 5 soluzioni software aziendali, tutte gestite sui server dell'azienda stessa. Nel 2019, secondo il Wall Street Journal, la grande azienda media ha implementato circa 129 app, con un aumento del 68% in soli quattro anni, mentre le aziende più piccole hanno implementato circa 73 soluzioni tecnologiche diverse. La maggior parte di queste applicazioni sono soluzioni SaaS basate sul cloud, il che aumenta notevolmente la complessità e la sicurezza dello stack.

In questo contesto, non sorprende che molte aziende abbiano iniziato a esplorare il Single Sign On (SSO) come potenziale soluzione per aumentare la sicurezza. Continuate a leggere per scoprire perché l'SSO dovrebbe far parte dei protocolli di sicurezza informatica della vostra organizzazione.

Cos'è il Single Sign-On?

Il Single Sign-On (SSO) è un meccanismo di autenticazione sicuro, basato sul web. Condivide le identità tra le organizzazioni e le applicazioni ed è in grado di eliminare la necessità di ricordare informazioni di accesso separate per ciascuna delle applicazioni e dei servizi utilizzati quotidianamente. Al contrario, gli utenti accedono all'ambiente aziendale e sono automaticamente collegati a tutte le applicazioni dello stack tecnologico dell'azienda a cui l'amministratore IT ha concesso l'accesso.

Perché le password sono un problema

Sebbene le buone pratiche di igiene della sicurezza raccomandino l'uso di un nome utente e di una password unici per ogni applicazione o servizio, un articolo di TechRepublic del 2019 ha rilevato che un dipendente medio passa da un'applicazione all'altra più di 1000 volte al giorno. Questa proliferazione di nomi utente e password non standardizzati rende quasi impossibile per i dipendenti praticare un'efficace igiene della sicurezza: molti ricorrono a pratiche non raccomandate, come annotare i dati di accesso o semplicemente ripetere le credenziali tra i diversi servizi.

Inoltre, questa proliferazione di password causa anche frustrazione negli utenti e porta a problemi di produttività, sia all'interno della funzione IT, che deve gestire l'aumento delle richieste di assistenza e reimpostazione delle password, sia all'interno dell'azienda nel suo complesso, in quanto i dipendenti perdono tempo prezioso nella gestione delle password.

Quali vantaggi offre l'SSO?

I principali vantaggi dell'SSO includono il miglioramento della sicurezza e della produttività e il risparmio sui costi dell'organizzazione.

Sicurezza migliorata

Negli ultimi anni, una serie di hackeraggi di alto profilo di grandi aziende ha esposto dati sensibili di milioni di clienti. Queste violazioni sono costate alle aziende tempo, reputazione e miliardi di dollari in multe, risarcimenti e mancati guadagni. (Per un esempio, si veda lo studio del caso Equifax).

Sebbene l'SSO non impedisca agli hacker di cercare vulnerabilità da sfruttare, può ridurre la fonte più comune di violazioni legate all'hacking. Secondo il rapporto 2019 Data Breach Investigations di Verizon (https://www.verizon.com/business/resources/reports/dbir/), gli attacchi in cui le credenziali sono state violate o phished sono stati la fonte più comune di violazione dei dati, rappresentando il 52% di tutte le violazioni.

Tuttavia, mentre le grandi aziende come Capital One ed Equifax fanno notizia, anche le imprese più piccole sono a rischio. Come indica il rapporto di Verizon, il 43% delle violazioni coinvolge vittime di piccole imprese.

Risparmi sui costi e guadagni di produttività

Secondo Gartner Group, fino al 50% delle chiamate all'help desk di un'azienda sono dovute alla reimpostazione delle password: un costo diretto che riguarda quasi tutte le aziende, per non parlare della fonte di attrito che pesa sulla produttività dei singoli lavoratori e dell'help desk nel suo complesso.

Come già detto, più sono le applicazioni a cui un dipendente deve accedere, maggiore è il rischio che riutilizzi le password (creando un rischio per la sicurezza) o che dimentichi le proprie credenziali, con conseguente chiamata all'help desk e perdita di minuti e ore preziosi.

Oltre a contribuire a ridurre questi costi finanziari e di produttività su base giornaliera, l'SSO offre ai responsabili IT la possibilità di concedere o revocare l'accesso a più applicazioni contemporaneamente. Ciò può contribuire a migliorare l'efficienza dei processi di onboarding per i nuovi assunti, a controllare l'accesso dei dipendenti remoti e degli appaltatori e ad aumentare la sicurezza quando un dipendente lascia l'organizzazione.

Che cos'è SAML?

Affinché l'SSO funzioni, le parti coinvolte devono essere in grado di autenticarsi reciprocamente e autorizzare l'accesso. Attualmente, i due standard principali sono SAML 2.0 (Security Assertion Markup Language) e OpenID Connect.

Doodle utilizza SAML 2.0 per l'autenticazione e l'autorizzazione. Il vantaggio principale di SAML 2.0 è che, durante l'accesso, i dati di autenticazione dell'utente vengono memorizzati come firma XML sicura. Questa firma può essere trasmessa tra fornitori affidabili, consentendo all'utente di accedere a tutte le applicazioni che accettano le credenziali senza dover rifare l'accesso.

Caso di studio: Equifax

Nel 2017 Equifax, una delle più grandi agenzie di monitoraggio del credito al mondo, è stata violata da un gruppo che ha rubato le informazioni personali di 147,7 milioni di americani, più della metà della popolazione adulta degli Stati Uniti.

Secondo un rapporto del 2018 del Government Accountability Office (GAO) (https://www.gao.gov/products/gao-18-371sp), gli hacker hanno scoperto una vulnerabilità nota nel portale delle controversie online di Equifax e l'hanno sfruttata in vari modi, tra cui per scoprire "nomi utente e password non criptati che potevano fornire agli aggressori l'accesso a diversi altri database di Equifax". Secondo il Chief Security Officer ad interim di Equifax, gli aggressori sono stati in grado di sfruttare queste credenziali per espandere il loro accesso oltre i 3 database associati al portale delle controversie online, includendo altri 48 database non correlati".

L'hack ha avuto gravi conseguenze sia per Equifax come azienda sia per i dipendenti che erano stati incaricati della sicurezza di Equifax. Nel settembre 2017, una settimana dopo che Equifax aveva reso pubblico l'hack, sia il CIO che il Chief Security Officer si sono ritirati. Nel frattempo, almeno altri due dipendenti senior hanno trascorso un periodo in carcere per insider trading legato all'hack: entrambi hanno venduto azioni della società dopo che l'hack è stato reso noto internamente, ma prima che fosse annunciato al pubblico.

Nel luglio 2019, Equifax ha raggiunto un accordo con la FTC per pagare tra i 575 e i 700 milioni di dollari di multa e per fornire un risarcimento e un monitoraggio gratuito del credito alle persone colpite dall'hack. Se Equifax avesse avuto un'implementazione SSO solida, avrebbe potuto evitare le multe, la perdita di fiducia e di reputazione e gli altri costi sostenuti come conseguenza diretta dell'hack.

Come vengono esposte le password?

Ci sono molti modi in cui gli hacker possono accedere a una password. Ecco alcuni dei metodi più comuni:

Hacking - Come si è visto nel caso Equifax, l'hacking prevede che un utente non autorizzato acceda a uno o più registri di ID utente e password, in genere sfruttando le debolezze della sicurezza.

**Cracking - Molti utenti, soprattutto per le applicazioni aziendali, tendono a utilizzare password prevedibili. Il cracking prevede l'uso di un software per iterare rapidamente più varianti delle password più comuni nel tentativo di trovare una corrispondenza.

**Phishing - Le truffe di phishing prevedono l'invio di un'e-mail da parte di un hacker che indirizza un utente ignaro a una pagina di login falsa e convincente, impostata per catturare le credenziali di accesso.

**Registrazione delle sequenze di tasti - La registrazione delle sequenze di tasti implica un malware, scaricato inconsapevolmente dall'utente o impiantato da terzi, che legge le sequenze di tasti dell'utente e le memorizza per consentire l'accesso a un hacker.

Il Single Sign-On è giusto per voi?

Non c'è dubbio che l'SSO elimini molti dei rischi e dei punti deboli per le organizzazioni con stack tecnologici complessi. La possibilità di eliminare la scarsa igiene delle password come fattore di rischio riduce notevolmente l'esposizione a tutti gli attacchi di hacking, tranne quelli più sofisticati e dedicati. Inoltre, riducendo il numero di punti deboli nell'infrastruttura di sicurezza dell'organizzazione, i responsabili tecnologici possono passare da una modalità reattiva (risolvere le vulnerabilità non appena vengono esposte) a indirizzare le risorse verso il monitoraggio e il test proattivo della sicurezza dell'organizzazione.

Riconoscendone i vantaggi in termini di sicurezza, produttività e convenienza, molte delle più note soluzioni SaaS aziendali offrono l'integrazione SSO come parte del loro servizio. Per questo motivo, l'integrazione di SSO nella strategia IT della vostra organizzazione è probabilmente la strada da percorrere se vi trovate ad avere a che fare con uno dei seguenti criteri:

Naturalmente, nessuna soluzione può eliminare completamente i rischi ed è importante sapere che l'SSO potrebbe non essere appropriato in tutti gli scenari. Ad esempio, nelle organizzazioni in cui molti utenti condividono o possono accedere agli stessi dispositivi o terminali, è più alto il rischio che utenti non autorizzati accedano alle applicazioni e ai dati di un altro utente.

Cos'altro devo sapere?

Sebbene le probabilità di essere violati siano significativamente più basse con l'SSO, un hacking riuscito di un singolo utente darebbe all'hacker accesso illimitato a tutti i dati memorizzati in tutte le app a cui l'utente ha avuto accesso. Pertanto, i leader che scelgono la soluzione SSO possono ridurre ulteriormente il rischio adottando i seguenti protocolli:

Per saperne di più su come Doodle si integra con i fornitori di Single Sign-On, contattateci.