Inicio de sesión único

Esquema de autenticación

El inicio de sesión único ( SSO ) es un esquema de autenticación que permite a un usuario iniciar sesión con una única identificación en cualquiera de varios sistemas de software relacionados, pero independientes.

El verdadero inicio de sesión único permite al usuario iniciar sesión una vez y acceder a los servicios sin tener que volver a ingresar los factores de autenticación.

No debe confundirse con el inicio de sesión único (autenticación de servidor de directorio), que a menudo se logra mediante el Protocolo ligero de acceso a directorios (LDAP) y bases de datos LDAP almacenadas en servidores (de directorio). ^{[1] [2]}

Se puede lograr una versión simple de inicio de sesión único a través de redes IP usando cookies , pero solo si los sitios comparten un dominio DNS principal común. ^[3]

Para mayor claridad, se hace una distinción entre la autenticación del servidor de directorio (mismo inicio de sesión) y el inicio de sesión único: la autenticación del servidor de directorio se refiere a los sistemas que requieren autenticación para cada aplicación pero utilizan las mismas credenciales de un servidor de directorio, mientras que el inicio de sesión único se refiere a los sistemas en los que una única autenticación proporciona acceso a múltiples aplicaciones al pasar el token de autenticación sin problemas a las aplicaciones configuradas.

Por el contrario, el cierre de sesión único ( SLO ) es la propiedad mediante la cual una única acción de cierre de sesión finaliza el acceso a múltiples sistemas de software.

Como diferentes aplicaciones y recursos admiten diferentes mecanismos de autenticación , el inicio de sesión único debe almacenar internamente las credenciales utilizadas para la autenticación inicial y traducirlas a las credenciales requeridas para los diferentes mecanismos.

Otros esquemas de autenticación compartida, como OpenID y OpenID Connect , ofrecen otros servicios que pueden requerir que los usuarios tomen decisiones durante el inicio de sesión en un recurso, pero pueden configurarse para un inicio de sesión único si esos otros servicios (como el consentimiento del usuario) están deshabilitados. ^[4] Un número cada vez mayor de inicios de sesión sociales federados, como Facebook Connect , requieren que el usuario ingrese opciones de consentimiento durante el primer registro en un nuevo recurso y, por lo tanto, no siempre son un inicio de sesión único en el sentido más estricto.

Beneficios

Los beneficios de utilizar el inicio de sesión único incluyen:

• Mitigar el riesgo de acceso a sitios de terceros ("autenticación federada") ^[5] porque las contraseñas de los usuarios no se almacenan ni se administran externamente
• Reducir la fatiga de contraseñas causada por diferentes combinaciones de nombre de usuario y contraseña
• Reducir el tiempo empleado en volver a introducir contraseñas para la misma identidad ^[5]
• Reducir los costos de TI debido a un menor número de llamadas al servicio de asistencia técnica de TI sobre contraseñas ^[6]
• Administración más sencilla. Las tareas relacionadas con SSO se realizan de forma transparente como parte del mantenimiento normal, utilizando las mismas herramientas que se utilizan para otras tareas administrativas.
• Mejor control administrativo. Toda la información de gestión de la red se almacena en un único repositorio. Esto significa que existe una lista única y autorizada de los derechos y privilegios de cada usuario. Esto permite al administrador cambiar los privilegios de un usuario y saber que los resultados se propagarán a toda la red.
• Mayor productividad de los usuarios. Los usuarios ya no se ven agobiados por múltiples inicios de sesión ni necesitan recordar varias contraseñas para acceder a los recursos de la red. Esto también es un beneficio para el personal de soporte técnico, que necesita atender menos solicitudes de contraseñas olvidadas.
• Mayor seguridad de la red. La eliminación de múltiples contraseñas también reduce una fuente común de violaciones de seguridad: los usuarios que escriben sus contraseñas. Por último, gracias a la consolidación de la información de gestión de la red, el administrador puede saber con certeza que, cuando deshabilita la cuenta de un usuario, esta se deshabilita por completo.
• Consolidación de redes heterogéneas. Al unir redes dispares, se pueden consolidar los esfuerzos administrativos, lo que garantiza que las mejores prácticas administrativas y las políticas de seguridad corporativas se apliquen de manera uniforme.

SSO comparte servidores de autenticación centralizados que todas las demás aplicaciones y sistemas utilizan para fines de autenticación y combina esto con técnicas para garantizar que los usuarios no tengan que ingresar activamente sus credenciales más de una vez.

Crítica

El término inicio de sesión reducido (RSO) ha sido utilizado por algunos para reflejar el hecho de que el inicio de sesión único es poco práctico para abordar la necesidad de diferentes niveles de acceso seguro en la empresa y, como tal, puede ser necesario más de un servidor de autenticación. ^[7]

Dado que el inicio de sesión único brinda acceso a muchos recursos una vez que el usuario se autentica inicialmente ("llaves del castillo"), aumenta el impacto negativo en caso de que las credenciales estén disponibles para otras personas y se utilicen indebidamente. Por lo tanto, el inicio de sesión único requiere un mayor enfoque en la protección de las credenciales del usuario y, idealmente, debería combinarse con métodos de autenticación sólidos, como tarjetas inteligentes y tokens de contraseñas de un solo uso . ^[7]

El inicio de sesión único también aumenta la dependencia de los sistemas de autenticación de alta disponibilidad; la pérdida de su disponibilidad puede dar como resultado la denegación de acceso a todos los sistemas unificados bajo el SSO. El SSO se puede configurar con capacidades de conmutación por error de sesión para mantener el funcionamiento del sistema. ^[8] No obstante, el riesgo de falla del sistema puede hacer que el inicio de sesión único no sea deseable para sistemas a los que se debe garantizar el acceso en todo momento, como los sistemas de seguridad o de planta.

Además, el uso de técnicas de inicio de sesión único que utilizan servicios de redes sociales como Facebook puede hacer que los sitios web de terceros no puedan utilizarse en bibliotecas, escuelas o lugares de trabajo que bloquean los sitios de redes sociales por razones de productividad. También puede causar dificultades en países con regímenes de censura activa , como China y su " Proyecto Escudo Dorado ", donde el sitio web de terceros puede no estar censurado activamente, pero se bloquea de manera efectiva si se bloquea el inicio de sesión social de un usuario. ^{[9] [10]}

Seguridad

En marzo de 2012, ^[11] un artículo de investigación informó sobre un estudio exhaustivo sobre la seguridad de los mecanismos de inicio de sesión social . Los autores encontraron 8 fallas lógicas graves en proveedores de ID de alto perfil y sitios web de terceros de confianza, como OpenID (incluidos Google ID y PayPal Access), Facebook , Janrain , Freelancer , FarmVille y Sears.com . Debido a que los investigadores informaron a los proveedores de ID y sitios web de terceros de confianza antes del anuncio público del descubrimiento de las fallas, las vulnerabilidades se corrigieron y no se han informado violaciones de seguridad. ^[12]

En mayo de 2014, se reveló una vulnerabilidad llamada Covert Redirect . ^[13] Fue reportada por primera vez como "Vulnerabilidad de redireccionamiento encubierto relacionada con OAuth 2.0 y OpenID" por su descubridor Wang Jing, un estudiante de doctorado en matemáticas de la Universidad Tecnológica de Nanyang , Singapur. ^{[14] [15] [16]} De hecho, casi todos los protocolos de inicio de sesión único ^{[ palabras confusas ]} se ven afectados. Covert Redirect se aprovecha de los clientes de terceros susceptibles a un XSS o un redireccionamiento abierto. ^[17]

En diciembre de 2020, se descubrió que los atacantes habían utilizado fallas en los sistemas de autenticación federada durante la violación de datos del gobierno federal de los Estados Unidos de 2020. [ ^{18] [19]}

Debido a cómo funciona el inicio de sesión único, al enviar una solicitud al sitio web que ha iniciado sesión para obtener un token SSO y enviar una solicitud con el token al sitio web que ha cerrado la sesión, el token no se puede proteger con el indicador de cookie HttpOnly y, por lo tanto, un atacante puede robarlo si existe una vulnerabilidad XSS en el sitio web que ha cerrado la sesión, para realizar un secuestro de sesión . Otro problema de seguridad es que si se roba la sesión utilizada para SSO (que se puede proteger con el indicador de cookie HttpOnly a diferencia del token SSO), el atacante puede acceder a todos los sitios web que utilizan el sistema SSO. ^[20]

Privacidad

Tal como se implementó originalmente en Kerberos y SAML, el inicio de sesión único no les daba a los usuarios ninguna opción sobre la divulgación de su información personal a cada nuevo recurso que el usuario visitaba. Esto funcionó bastante bien dentro de una sola empresa, como MIT donde se inventó Kerberos, o grandes corporaciones donde todos los recursos eran sitios internos. Sin embargo, a medida que proliferaron los servicios federados como Active Directory Federation Services , la información privada del usuario se envió a sitios afiliados que no estaban bajo el control de la empresa que recopilaba los datos del usuario. Dado que las regulaciones de privacidad ahora se están endureciendo con leyes como el GDPR , los métodos más nuevos como OpenID Connect han comenzado a volverse más atractivos; por ejemplo, MIT, el creador de Kerberos, ahora admite OpenID Connect . ^[21]

Dirección de correo electrónico

En teoría, el inicio de sesión único puede funcionar sin revelar información de identificación, como direcciones de correo electrónico, a la parte que confía (consumidor de credenciales), pero muchos proveedores de credenciales no permiten a los usuarios configurar qué información se transmite al consumidor de credenciales. A partir de 2019, el inicio de sesión de Google y Facebook no requiere que los usuarios compartan direcciones de correo electrónico con el consumidor de credenciales. " Iniciar sesión con Apple ", introducido en iOS 13, permite a un usuario solicitar una dirección de correo electrónico de retransmisión única cada vez que se registra en un nuevo servicio, lo que reduce la probabilidad de que el consumidor de credenciales vincule la cuenta. ^[22]

Configuraciones comunes

Basado en Kerberos

• El inicio de sesión inicial solicita al usuario credenciales y obtiene un ticket de concesión de tickets Kerberos (TGT).
• Las aplicaciones de software adicionales que requieren autenticación, como clientes de correo electrónico , wikis y sistemas de control de revisiones , utilizan el ticket de concesión de tickets para adquirir tickets de servicio, probando la identidad del usuario al servidor de correo/servidor wiki/etc. sin solicitarle al usuario que vuelva a ingresar sus credenciales.

Entorno de Windows : el inicio de sesión de Windows obtiene TGT. Las aplicaciones compatibles con Active Directory obtienen tickets de servicio, por lo que no se le solicita al usuario que vuelva a autenticarse.

Entorno Unix / Linux : el inicio de sesión a través de los módulos PAM de Kerberos obtiene TGT. Las aplicaciones cliente Kerberizadas, como Evolution , Firefox y SVN , utilizan tickets de servicio, por lo que no se le solicita al usuario que vuelva a autenticarse.

Basado en tarjeta inteligente

El inicio de sesión inicial solicita al usuario la tarjeta inteligente . Otras aplicaciones de software también utilizan la tarjeta inteligente, sin solicitar al usuario que vuelva a ingresar las credenciales. El inicio de sesión único basado en tarjeta inteligente puede utilizar certificados o contraseñas almacenadas en la tarjeta inteligente.

Autenticación integrada de Windows

La autenticación integrada de Windows es un término asociado con los productos de Microsoft y se refiere a los protocolos de autenticación SPNEGO , Kerberos y NTLMSSP con respecto a la funcionalidad SSPI introducida con Microsoft Windows 2000 e incluida en los sistemas operativos posteriores basados ​​en Windows NT . El término se utiliza con mayor frecuencia para referirse a las conexiones autenticadas automáticamente entre Microsoft Internet Information Services e Internet Explorer . Los proveedores de integración de Active Directory multiplataformahan extendido el paradigma de autenticación integrada de Windows a los sistemas Unix (incluido Mac) y Linux.

Lenguaje de marcado de aserción de seguridad

Security Assertion Markup Language (SAML) es un método basado en XML para intercambiar información de seguridad de usuario entre un proveedor de identidad SAML y un proveedor de servicios SAML . SAML 2.0 admite el cifrado XML de W3C y los intercambios de inicio de sesión único del navegador web iniciados por el proveedor de servicios. ^[23] Un usuario que maneja un agente de usuario (generalmente un navegador web) se denomina sujeto en el inicio de sesión único basado en SAML. El usuario solicita un recurso web protegido por un proveedor de servicios SAML. El proveedor de servicios, que desea conocer la identidad del usuario, emite una solicitud de autenticación a un proveedor de identidad SAML a través del agente de usuario. El proveedor de identidad es el que proporciona las credenciales del usuario. El proveedor de servicios confía en la información del usuario del proveedor de identidad para proporcionar acceso a sus servicios o recursos.

Configuraciones emergentes

Dispositivos móviles como credenciales de acceso

Se ha desarrollado una variante más reciente de la autenticación de inicio de sesión único que utiliza dispositivos móviles como credenciales de acceso. Los dispositivos móviles de los usuarios se pueden utilizar para iniciar sesión automáticamente en varios sistemas, como sistemas de control de acceso a edificios y sistemas informáticos, mediante el uso de métodos de autenticación que incluyen OpenID Connect y SAML, ^[24] junto con un certificado de criptografía X.509 ITU-T utilizado para identificar el dispositivo móvil ante un servidor de acceso.

Un dispositivo móvil es "algo que tienes", a diferencia de una contraseña, que es "algo que sabes", o de la biometría (huella dactilar, escaneo de retina, reconocimiento facial, etc.) que es "algo que eres". Los expertos en seguridad recomiendan utilizar al menos dos de estos tres factores ( autenticación multifactor ) para una mejor protección.

Véase también

• Secuestro previo de cuenta
• Servicio de autenticación central
• Gestión de identidad
• Sistemas de gestión de identidad
• Lista de implementaciones de inicio de sesión único
• Administrador de contraseñas
• Lenguaje de marcado de aserción de seguridad
• Usabilidad de los sistemas de autenticación web

Referencias

1. "¿Cuál es la diferencia entre SSO (inicio de sesión único) y LDAP?". JumpCloud . 2019-05-14 . Consultado el 2020-10-27 .
2. "Autenticación SSO y LDAP". Authenticationworld.com. Archivado desde el original el 23 de mayo de 2014. Consultado el 23 de mayo de 2014 .
3. "OpenID versus servidor de inicio de sesión único". supposed.org.uk. 2007-08-13 . Consultado el 2014-05-23 .
4. "Proveedor de OpenID Connect - Inicio de sesión único (SSO) de OpenID Connect - Autenticación OAuth de OIDC". OneLogin .
5. "Inicio de sesión único y autenticación federada". kb.iu.edu .
6. "Beneficios del SSO". Universidad de Guelph . Consultado el 23 de mayo de 2014 .
7. "Autenticación de inicio de sesión único". Authenticationworld.com. Archivado desde el original el 15 de marzo de 2014. Consultado el 28 de mayo de 2013 .
8. "Guía de administración de alta disponibilidad de Sun GlassFish Enterprise Server v2.1.1". Oracle.com . Consultado el 28 de mayo de 2013 .
9. Laurenson, Lydia (3 de mayo de 2014). «El efecto de la censura». TechCrunch . Archivado desde el original el 7 de agosto de 2020. Consultado el 27 de febrero de 2015 .
10. Chester, Ken (12 de agosto de 2013). "Censura, autenticación externa y otras lecciones de las redes sociales del Gran Cortafuegos de China". Tecnología en Asia . Archivado desde el original el 26 de marzo de 2014. Consultado el 9 de marzo de 2016 .
11. Wang, Rui; Chen, Shuo; Wang, XiaoFeng (2012). "Cómo iniciar sesión en sus cuentas a través de Facebook y Google: un estudio de seguridad guiado por el tráfico de servicios web de inicio de sesión único implementados comercialmente". Simposio IEEE sobre seguridad y privacidad de 2012. págs. 365–379. doi :10.1109/SP.2012.30. ISBN 978-1-4673-1244-8.S2CID1679661  .​
12. "OpenID: Informe de vulnerabilidad, confusión de datos" - OpenID Foundation, 14 de marzo de 2012
13. "Los usuarios de Facebook y Google se ven amenazados por un nuevo fallo de seguridad". Tom's Guide. 2 de mayo de 2014. Consultado el 11 de noviembre de 2014 .
14. "Vulnerabilidad de redireccionamiento encubierto relacionada con OAuth 2.0 y OpenID". Tetraph. 1 de mayo de 2014. Consultado el 10 de noviembre de 2014 .
15. "Estudiante de matemáticas detecta vulnerabilidad de seguridad en OAuth y OpenID". Tech Xplore. 3 de mayo de 2014. Consultado el 10 de noviembre de 2014 .
16. "Los usuarios de Facebook y Google se ven amenazados por un nuevo fallo de seguridad". Yahoo. 2 de mayo de 2014. Consultado el 10 de noviembre de 2014 .
17. "La falla de redireccionamiento encubierta en OAuth no es el próximo Heartbleed". Symantec. 3 de mayo de 2014. Consultado el 10 de noviembre de 2014 .
18. "¿Un error de VMware es un vector en la vulneración de SolarWinds? — Krebs on Security". 19 de diciembre de 2020.
19. Kovacs, Eduard (15 de diciembre de 2020). "El grupo detrás del ataque a SolarWinds eludió la MFA para acceder a los correos electrónicos de un grupo de expertos estadounidense". Security Week . Consultado el 19 de diciembre de 2020 .
20. "¿Qué es el secuestro de sesión?". 22 de agosto de 2019.
21. MIT IST. "Autorización de OpenID Connect".
22. Goode, Lauren (15 de junio de 2019). "Los creadores de aplicaciones tienen opiniones encontradas sobre 'Iniciar sesión con Apple'". Wired . ISSN  1059-1028 . Consultado el 15 de junio de 2019 .
23. Armando, Alejandro; Carbone, Roberto; Compagna, Luca; Cuéllar, Jorge; Pellegrino, Giancarlo; Sorniotti, Alessandro (1 de marzo de 2013). "Una falla de autenticación en los protocolos de inicio de sesión único basados ​​en navegador: impacto y soluciones". Computadoras y seguridad . 33 : 41–58. doi :10.1016/j.cose.2012.08.007.
24. "La oficina del futuro de MicroStrategy incluye identidad móvil y ciberseguridad". The Washington Post . 14 de abril de 2014 . Consultado el 30 de marzo de 2014 .

Enlaces externos

• Introducción al inicio de sesión único con diagramas