隨著網路服務越來越多,也產生了越來越多需要帳戶的服務,社交媒體、串流媒體、購物平台、網路銀行等,每個人每天都在使用多個帳戶與密碼。
為了讓這個過程更加簡單,單一登入 SSO(Single Sign-On)也就此出現。它的目的是讓用戶只需要一組憑證,就可以登入多個相關的服務。但我們需要關心的是,使用 SSO 是安全的嗎?
SSO 概念與原理
單一登入 SSO 的概念並不複雜,只需要先登錄過一次,就可以訪問所有相關的服務。像 Google 一樣只需要先登入 Google 的 SSO,後續其他 Google 旗下的服務都能直接登入,不需要再次輸入帳號密碼。
雖然我們看不到,SSO 在替用戶登錄不同服務時,會將所需要的憑證統一成一個加密的訊息,稱為 「token」,用來代替各種服務的憑證,下次要使用這些服務時,系統會用 token 來進行驗證,不用再次輸入帳號密碼,相當方便。
SSO 的優點
SSO 的優點很明顯,它大幅的減少了登錄各種服務所需要的時間,如果你每個服務所使用的帳號密碼還不一樣的話,SSO 能減少你忘記密碼、輸入錯誤而浪費的時間,提高了工作效率。
對於公司行號來說,SSO 也能助於帳戶管理。當人員的職位異動、入職或離職時,資訊部門只需要透過 SSO 的憑證,就能控制這位員工所有的帳戶的權限,提高管理效率。
SSO 的缺點與風險
SSO 最大的缺點即是優點的相反面,雖然方便但風險也相當大,只要憑證被盜取,就可以控制這個用戶的所有帳號。凡是使用這個憑證登入的服務,通通都有被利用的風險。因此也讓許多有心人士以 SSO 為目標進行攻擊。
除此之外,和傳統的使用密碼不同,當我們發現帳戶被盜時可以透過修改密碼來阻止別人登入。但 SSO 是由 token 來管理這些帳戶,無法透過更改帳戶的密碼來防止使用。想要重置帳戶也變得更加困難。
目前網路攻擊手法相當多樣,傳統的網路釣魚攻擊、新型態的憑證填充攻擊等,讓 SSO 顯得不是那麼安全。因此在設定 SSO 系統時,仍需要額外的安全措施來才減少潛在的風險。
結論
SSO 雖然方便,但也具有一定的風險。不論你是個人或是公司行號,在使用 SSO 的時候可以考慮將重要的帳戶獨自管理,其他即使被盜也不會造成損失的帳戶則使用同一組憑證,將可能造成的損失降到最低。
此外,最好也加強其他的安裝措施,例如使用多重要素驗證 (MFA),即使 SSO 的憑證被取得時,仍需要透過手機驗證碼、生物識別等方式才能登入。能夠有效阻止未經授權的登入,確保資料的安全。
更多相關文章