Single Sign-On

Sua organização precisa de logon único?

Os líderes de TI operam em um setor marcado por mudanças constantes. As novas tecnologias trazem oportunidades e riscos e ampliam os recursos dos departamentos de TI corporativos a todo momento. Ficar por dentro dessas mudanças deve ser fundamental para todo líder de tecnologia: com os hackers buscando constantemente novas vulnerabilidades para explorar, tomar as decisões corretas em relação à segurança de sua pilha de tecnologia é fundamental para o futuro de sua empresa e o seu próprio.

A complexidade de uma pilha de TI moderna seria inimaginável para um CTO há apenas alguns anos: em 2000, a empresa média usava apenas 4 ou 5 soluções de software corporativo, todas mantidas nos próprios servidores da empresa. Em 2019, de acordo com o Wall Street Journal, a grande empresa média implantou cerca de 129 aplicativos - um aumento de 68% em apenas quatro anos - enquanto as empresas menores implantam cerca de 73 soluções tecnológicas diferentes. E a maioria desses aplicativos são soluções SaaS baseadas em nuvem, o que aumenta muito a complexidade e a segurança da pilha.

Nesse contexto, não é de surpreender que muitas empresas tenham começado a explorar o Single Sign On (SSO) como uma possível solução para aumentar a segurança. Continue lendo para saber mais sobre por que o SSO deve fazer parte dos protocolos de segurança de TI de sua organização.

O que é Single Sign-On?

O Single Sign-On (SSO) é um mecanismo de autenticação seguro e baseado na Web. Ele compartilha identidades entre organizações e aplicativos e tem o potencial de eliminar a necessidade de os indivíduos se lembrarem de informações de login separadas para cada um dos aplicativos e serviços que usam diariamente. Em vez disso, os usuários fazem login no ambiente corporativo da empresa e são automaticamente conectados a qualquer aplicativo da pilha de tecnologia da empresa ao qual o administrador de TI forneceu acesso.

Por que as senhas são um problema

Embora as boas práticas de higiene de segurança recomendem o uso de um nome de usuário e senha exclusivos para cada aplicativo ou serviço, um artigo da TechRepublic de 2019 observou que o funcionário médio alterna entre uma média de 35 aplicativos diferentes mais de 1000 vezes por dia. Essa proliferação de nomes de usuário e senhas não padronizados torna quase impossível para os funcionários praticarem uma higiene de segurança eficaz: muitos recorrem a práticas não recomendadas, como anotar detalhes de login ou simplesmente repetir credenciais em diferentes serviços.

Além disso, essa proliferação de senhas também causa frustração nos usuários e leva a problemas de produtividade, tanto na função de TI, que precisa lidar com o aumento de solicitações de assistência e redefinição de senhas, quanto na empresa como um todo, pois os funcionários também perdem um tempo valioso lidando com o gerenciamento de senhas.

Quais são os benefícios oferecidos pelo SSO?

Os principais benefícios do SSO incluem maior segurança e produtividade e economia de custos em sua organização.

Segurança aprimorada

Nos últimos anos, várias invasões de grandes corporações expuseram dados confidenciais de milhões de clientes. Essas violações custaram às empresas tempo, reputação e bilhões de dólares em multas, indenizações e perda de receita. (Para ver um exemplo, consulte o Estudo de Caso da Equifax abaixo).

Embora o SSO não impeça que os hackers busquem vulnerabilidades para explorar, ele pode restringir a fonte mais comum de violações relacionadas a hackers. De acordo com o Relatório de Investigações de Violação de Dados de 2019 da Verizon (https://www.verizon.com/business/resources/reports/dbir/), os ataques em que as credenciais foram hackeadas ou vítimas de phishing foram a fonte mais comum de violação de dados, representando 52% de todas as violações.

No entanto, embora as grandes empresas, como a Capital One e a Equifax, possam estar nas manchetes, as empresas menores também estão em risco. Conforme indica o relatório da Verizon, 43% das violações envolvem vítimas de pequenas empresas.

Economia de custos e ganhos de produtividade

De acordo com o Gartner Group, até 50% das chamadas ao help desk de uma empresa são para redefinição de senhas - um custo direto que afeta quase todas as empresas, sem mencionar uma fonte de atrito que reduz a produtividade de cada funcionário e do help desk como um todo.

Conforme discutido acima, quanto mais aplicativos os funcionários tiverem que acessar, maior será o risco de reutilização de senhas (criando um risco à segurança) ou de esquecimento das credenciais, o que resultará em uma chamada ao help desk e no desperdício de minutos e horas preciosos.

Além de ajudar a reduzir esses custos financeiros e de produtividade no dia a dia, o SSO também oferece aos gerentes de TI a oportunidade de conceder ou revogar o acesso a vários aplicativos simultaneamente. Isso pode ajudar a melhorar a eficiência dos processos de integração da sua empresa para novas contratações, controlar o acesso de funcionários remotos e terceirizados e também aumentar a segurança quando um funcionário deixa a organização.

O que é SAML?

Para que o SSO funcione, as partes envolvidas precisam ser capazes de autenticar umas às outras e autorizar o acesso. Atualmente, os dois principais padrões são SAML 2.0 (Security Assertion Markup Language) e OpenID Connect.

O Doodle usa o SAML 2.0 para autenticação e autorização. A principal vantagem do SAML 2.0 é que, durante o login, ele armazena os detalhes de autenticação de um usuário como uma assinatura XML segura. Essa assinatura pode ser transmitida entre provedores confiáveis, permitindo que o usuário tenha acesso a qualquer aplicativo que aceite as credenciais sem precisar fazer login novamente.

Estudo de caso: Equifax

Em 2017, a Equifax, uma das maiores agências de monitoramento de crédito do mundo, foi hackeada por um grupo que roubou as informações pessoais de 147,7 milhões de americanos, mais da metade da população adulta dos EUA.

De acordo com um do Government Accountability Office (GAO) de 2018 (https://www.gao.gov/products/gao-18-371sp), os hackers descobriram uma vulnerabilidade conhecida no portal de disputas on-line da Equifax e a exploraram de várias maneiras, inclusive para descobrir "nomes de usuário e senhas não criptografados que poderiam fornecer aos invasores acesso a vários outros bancos de dados da Equifax". De acordo com o diretor de segurança interino da Equifax, os atacantes conseguiram aproveitar essas credenciais para expandir seu acesso para além dos três bancos de dados associados ao portal de disputas on-line, incluindo mais 48 bancos de dados não relacionados".

A invasão teve consequências graves para a Equifax como corporação e para os funcionários encarregados da segurança da Equifax. Em setembro de 2017, uma semana depois que a Equifax tornou o hack público, o CIO e o diretor de segurança se aposentaram. Enquanto isso, pelo menos dois outros funcionários sênior passaram algum tempo na cadeia por negociações com informações privilegiadas relacionadas à invasão: ambos venderam ações da empresa depois que a invasão se tornou conhecida internamente, mas antes de ser anunciada ao público.

Em julho de 2019, a Equifax chegou a um acordo com a FTC para pagar entre US$ 575 milhões e US$ 700 milhões em multas e para fornecer compensação e monitoramento de crédito gratuito para as pessoas afetadas pela invasão. Se a Equifax tivesse uma implementação robusta de SSO, talvez tivesse conseguido evitar as multas, a perda de confiança e reputação e outros custos incorridos como resultado direto da invasão.

Como as senhas são expostas?

Há muitas maneiras pelas quais os hackers podem obter acesso a uma senha. Aqui estão alguns dos métodos mais comuns:

Hacking - Como visto no caso da Equifax, o hacking envolve um usuário não autorizado que obtém acesso a um ou mais registros de IDs e senhas de usuários, normalmente explorando pontos fracos de segurança.

**Cracking - Muitos usuários, especialmente em aplicativos comerciais, tendem a usar senhas previsíveis. O cracking envolve o uso de software para iterar rapidamente diversas variações das senhas mais comuns na tentativa de encontrar uma correspondência.

**Phishing - Normalmente, os golpes de phishing envolvem um hacker que envia um e-mail que direciona um usuário desavisado para uma página de login falsa e convincente que foi configurada para capturar credenciais de login.

**Registro de pressionamento de tecla - O registro de pressionamento de tecla envolve um malware, baixado involuntariamente pelo usuário ou implantado por terceiros, que lê os pressionamentos de tecla do usuário e os armazena para que um hacker possa acessá-los.

O Single Sign-On é adequado para você?

Não há dúvida de que o SSO elimina muitos dos riscos e pontos fracos das organizações com pilhas de tecnologia complexas. A capacidade de eliminar a falta de higiene das senhas como um fator de risco reduz muito a exposição a todos os ataques de hackers, exceto os mais dedicados e sofisticados. E, ao reduzir o número de pontos fracos na infraestrutura de segurança da organização, os líderes de tecnologia podem passar do modo reativo (corrigindo vulnerabilidades à medida que elas são expostas) para o direcionamento de recursos para o monitoramento proativo e o teste da segurança da organização.

Reconhecendo seus benefícios para a segurança, a produtividade e a conveniência, muitas das soluções corporativas de SaaS mais conhecidas oferecem integração de SSO como parte de seus serviços. Dessa forma, a integração do SSO à estratégia de TI da sua organização é provavelmente o caminho a seguir se você estiver lidando com algum dos critérios a seguir:

É claro que nenhuma solução isolada pode eliminar completamente o risco, e é importante estar ciente de que o SSO pode não ser apropriado em todos os cenários. Por exemplo, em organizações em que muitos usuários compartilham ou podem acessar os mesmos dispositivos ou terminais, há um risco maior de usuários não autorizados obterem acesso aos aplicativos e dados de outros usuários.

O que mais devo saber?

Embora as chances de ser hackeado sejam significativamente menores com o SSO, uma invasão bem-sucedida de um único usuário daria ao hacker acesso ilimitado a todos os dados armazenados em qualquer aplicativo ao qual o usuário tivesse acesso. Dessa forma, os líderes que optarem pelo SSO como solução podem reduzir ainda mais o risco adotando os seguintes protocolos:

Para saber mais sobre como o Doodle se integra aos provedores de Single Sign-On, entre em contato conosco.