Inicio de sesión único

Esquema de autenticación

El inicio de sesión único ( SSO ) es un esquema de autenticación que permite a un usuario iniciar sesión con una única identificación en cualquiera de varios sistemas de software relacionados, aunque independientes.

El verdadero inicio de sesión único permite al usuario iniciar sesión una vez y acceder a los servicios sin volver a ingresar factores de autenticación.

No debe confundirse con el mismo inicio de sesión (autenticación del servidor de directorio), que a menudo se logra mediante el uso del protocolo ligero de acceso a directorios (LDAP) y bases de datos LDAP almacenadas en servidores (de directorio). ^{[1] [2]}

Se puede lograr una versión simple del inicio de sesión único a través de redes IP utilizando cookies , pero solo si los sitios comparten un dominio principal DNS común. ^[3]

Para mayor claridad, se hace una distinción entre autenticación de servidor de directorio (mismo inicio de sesión) e inicio de sesión único: la autenticación de servidor de directorio se refiere a sistemas que requieren autenticación para cada aplicación pero que utilizan las mismas credenciales de un servidor de directorio, mientras que el inicio de sesión único se refiere a sistemas donde una única autenticación proporciona acceso a múltiples aplicaciones al pasar el token de autenticación sin problemas a las aplicaciones configuradas.

Por el contrario, el cierre de sesión único o el cierre de sesión único ( SLO ) es la propiedad por la cual una sola acción de cerrar sesión finaliza el acceso a múltiples sistemas de software.

Dado que diferentes aplicaciones y recursos admiten diferentes mecanismos de autenticación , el inicio de sesión único debe almacenar internamente las credenciales utilizadas para la autenticación inicial y traducirlas a las credenciales requeridas para los diferentes mecanismos.

Otros esquemas de autenticación compartida, como OpenID y OpenID Connect , ofrecen otros servicios que pueden requerir que los usuarios tomen decisiones durante el inicio de sesión en un recurso, pero se pueden configurar para el inicio de sesión único si esos otros servicios (como el consentimiento del usuario) se desactivan. ^[4] Un número cada vez mayor de inicios de sesión sociales federados, como Facebook Connect , requieren que el usuario ingrese opciones de consentimiento al registrarse por primera vez en un nuevo recurso y, por lo tanto, no siempre son un inicio de sesión único en el sentido más estricto.

Beneficios

Los beneficios de utilizar el inicio de sesión único incluyen:

• Mitigar el riesgo de acceso a sitios de terceros ("autenticación federada") ^[5] porque las contraseñas de los usuarios no se almacenan ni administran externamente
• Reduzca la fatiga de las contraseñas debido a diferentes combinaciones de nombre de usuario y contraseña
• Reduzca el tiempo dedicado a volver a ingresar contraseñas para la misma identidad ^[5]
• Reduzca los costos de TI debido a la menor cantidad de llamadas al servicio de asistencia técnica de TI sobre contraseñas ^[6]
• Administración más sencilla. Las tareas relacionadas con SSO se realizan de forma transparente como parte del mantenimiento normal, utilizando las mismas herramientas que se utilizan para otras tareas administrativas.
• Mejor control administrativo. Toda la información de gestión de la red se almacena en un único repositorio. Esto significa que existe una lista única y autorizada de los derechos y privilegios de cada usuario. Esto permite al administrador cambiar los privilegios de un usuario y saber que los resultados se propagarán por toda la red.
• Mejora de la productividad del usuario. Los usuarios ya no se ven atascados por múltiples inicios de sesión, ni se les exige recordar múltiples contraseñas para acceder a los recursos de la red. Esto también es un beneficio para el personal de la mesa de ayuda, que necesita responder menos solicitudes de contraseñas olvidadas.
• Mejor seguridad de la red. La eliminación de varias contraseñas también reduce una fuente común de violaciones de seguridad: los usuarios escriben sus contraseñas. Finalmente, debido a la consolidación de la información de administración de la red, el administrador puede saber con certeza que cuando deshabilita la cuenta de un usuario, la cuenta queda completamente deshabilitada.
• Consolidación de redes heterogéneas. Al unir redes dispares, se pueden consolidar los esfuerzos administrativos, garantizando que las mejores prácticas administrativas y las políticas de seguridad corporativa se apliquen de manera consistente.

SSO comparte servidores de autenticación centralizados que todas las demás aplicaciones y sistemas utilizan con fines de autenticación y combina esto con técnicas para garantizar que los usuarios no tengan que ingresar activamente sus credenciales más de una vez.

Crítica

Algunos han utilizado el término inicio de sesión reducido (RSO) para reflejar el hecho de que el inicio de sesión único no es práctico para abordar la necesidad de diferentes niveles de acceso seguro en la empresa y, como tal, puede ser necesario más de un servidor de autenticación. . ^[7]

Como el inicio de sesión único proporciona acceso a muchos recursos una vez que el usuario se autentica inicialmente ("llaves del castillo"), aumenta el impacto negativo en caso de que las credenciales estén disponibles para otras personas y se utilicen indebidamente. Por lo tanto, el inicio de sesión único requiere una mayor atención a la protección de las credenciales del usuario y, idealmente, debería combinarse con métodos de autenticación sólidos, como tarjetas inteligentes y tokens de contraseña de un solo uso . ^[7]

El inicio de sesión único también aumenta la dependencia de sistemas de autenticación de alta disponibilidad; una pérdida de su disponibilidad puede resultar en la denegación de acceso a todos los sistemas unificados bajo el SSO. SSO se puede configurar con capacidades de conmutación por error de sesión para mantener el funcionamiento del sistema. ^[8] No obstante, el riesgo de fallo del sistema puede hacer que el inicio de sesión único sea indeseable para sistemas a los que se debe garantizar el acceso en todo momento, como los sistemas de seguridad o de planta.

Además, el uso de técnicas de inicio de sesión único que utilizan servicios de redes sociales como Facebook puede inutilizar sitios web de terceros en bibliotecas, escuelas o lugares de trabajo que bloquean sitios de redes sociales por motivos de productividad. También puede causar dificultades en países con regímenes de censura activos , como China y su " Proyecto Escudo Dorado ", donde el sitio web de terceros puede no ser censurado activamente, pero se bloquea efectivamente si se bloquea el inicio de sesión social de un usuario. ^{[9] [10]}

Seguridad

En marzo de 2012, ^[11] un artículo de investigación informó sobre un extenso estudio sobre la seguridad de los mecanismos de inicio de sesión social . Los autores encontraron ocho fallas lógicas graves en proveedores de identificación de alto perfil y sitios web de terceros, como OpenID (incluidos Google ID y PayPal Access), Facebook , Janrain , Freelancer , FarmVille y Sears.com . Debido a que los investigadores informaron a los proveedores de identificación y a los sitios web de terceros antes del anuncio público del descubrimiento de las fallas, las vulnerabilidades se corrigieron y no se reportaron violaciones de seguridad. ^[12]

En mayo de 2014, se reveló una vulnerabilidad denominada Covert Redirect . ^[13] Su descubridor Wang Jing, estudiante de doctorado en matemáticas de la Universidad Tecnológica de Nanyang , Singapur, informó por primera vez sobre "Vulnerabilidad de redireccionamiento encubierto relacionada con OAuth 2.0 y OpenID". ^{[14] [15] [16]} De hecho, casi todos los ^{[ palabras de comadreja ]} los protocolos de inicio de sesión único se ven afectados. Covert Redirect aprovecha los clientes de terceros susceptibles a un XSS o Open Redirect. ^[17]

En diciembre de 2020, se descubrió que los atacantes habían utilizado fallas en los sistemas de autenticación federados durante la violación de datos del gobierno federal de los Estados Unidos de 2020 . ^{[18] [19]}

Debido a cómo funciona el inicio de sesión único, al enviar una solicitud al sitio web en el que se ha iniciado sesión para obtener un token de SSO y al enviar una solicitud con el token al sitio web en el que se ha cerrado la sesión, el token no se puede proteger con el indicador de cookie HttpOnly y, por lo tanto, Un atacante puede robarlo si hay una vulnerabilidad XSS en el sitio web en el que se cerró la sesión para poder secuestrar la sesión . Otro problema de seguridad es que si se roba la sesión utilizada para SSO (que puede protegerse con el indicador de cookie HttpOnly a diferencia del token SSO), el atacante puede acceder a todos los sitios web que utilizan el sistema SSO. ^[20]

Privacidad

Tal como se implementó originalmente en Kerberos y SAML, el inicio de sesión único no brindaba a los usuarios ninguna opción sobre la divulgación de su información personal a cada nuevo recurso que visitaban. Esto funcionó bastante bien dentro de una sola empresa, como el MIT, donde se inventó Kerberos, o grandes corporaciones donde todos los recursos eran sitios internos. Sin embargo, a medida que proliferaron los servicios federados como los Servicios de Federación de Active Directory , la información privada del usuario se envió a sitios afiliados que no estaban bajo el control de la empresa que recopiló los datos del usuario. Dado que las regulaciones de privacidad se están volviendo más estrictas con legislaciones como el GDPR , los métodos más nuevos como OpenID Connect han comenzado a volverse más atractivos; por ejemplo, el MIT, el creador de Kerberos, ahora admite OpenID Connect . ^[21]

Dirección de correo electrónico

En teoría, el inicio de sesión único puede funcionar sin revelar información de identificación, como direcciones de correo electrónico, a la parte que confía (consumidor de credenciales), pero muchos proveedores de credenciales no permiten a los usuarios configurar qué información se transmite al consumidor de credenciales. A partir de 2019, el inicio de sesión de Google y Facebook no requiere que los usuarios compartan direcciones de correo electrónico con el consumidor de credenciales. " Iniciar sesión con Apple " introducido en iOS 13 permite a un usuario solicitar una dirección de correo electrónico de retransmisión única cada vez que se registra en un nuevo servicio, lo que reduce la probabilidad de que el consumidor de credenciales vincule la cuenta. ^[22]

Configuraciones comunes

Basado en Kerberos

• El inicio de sesión inicial solicita las credenciales del usuario y obtiene un ticket de concesión de vales (TGT) de Kerberos .
• Las aplicaciones de software adicionales que requieren autenticación, como clientes de correo electrónico , wikis y sistemas de control de revisiones , utilizan el ticket de concesión de tickets para adquirir tickets de servicio, demostrando la identidad del usuario al servidor de correo/servidor wiki/etc. sin pedirle al usuario que Vuelva a ingresar las credenciales.

Entorno de Windows : el inicio de sesión de Windows recupera TGT. Las aplicaciones compatibles con Active Directory obtienen tickets de servicio, por lo que no se solicita al usuario que se vuelva a autenticar.

Entorno Unix / Linux : el inicio de sesión a través de los módulos Kerberos PAM recupera TGT. Las aplicaciones cliente Kerberizadas como Evolution , Firefox y SVN utilizan tickets de servicio, por lo que no se solicita al usuario que se vuelva a autenticar.

Basado en tarjeta inteligente

El inicio de sesión inicial solicita al usuario la tarjeta inteligente . Aplicaciones de software adicionales también utilizan la tarjeta inteligente, sin solicitar al usuario que vuelva a ingresar las credenciales. El inicio de sesión único basado en tarjeta inteligente puede utilizar certificados o contraseñas almacenadas en la tarjeta inteligente.

Autenticación de Windows integrada

La autenticación integrada de Windows es un término asociado con los productos de Microsoft y se refiere a los protocolos de autenticación SPNEGO , Kerberos y NTLMSSP con respecto a la funcionalidad SSPI introducida con Microsoft Windows 2000 e incluida ensistemas operativos posteriores basados ​​en Windows NT . El término se utiliza más comúnmente para referirse a las conexiones autenticadas automáticamente entre Microsoft Internet Information Services e Internet Explorer .multiplataforma de Active Directory han ampliado el paradigma de autenticación integrada de Windows a los sistemas Unix (incluido Mac) y Linux.

Lenguaje de marcado de afirmación de seguridad

El lenguaje de marcado de aserción de seguridad (SAML) es un método basado en XML para intercambiar información de seguridad del usuario entre un proveedor de identidad SAML y un proveedor de servicios SAML . SAML 2.0 admite el cifrado XML W3C y los intercambios de inicio de sesión único del navegador web iniciados por el proveedor de servicios. ^[23] Un usuario que utiliza un agente de usuario (normalmente un navegador web) se denomina sujeto en el inicio de sesión único basado en SAML. El usuario solicita un recurso web protegido por un proveedor de servicios SAML. El proveedor de servicios, que desea conocer la identidad del usuario, emite una solicitud de autenticación a un proveedor de identidad SAML a través del agente de usuario. El proveedor de identidad es el que proporciona las credenciales del usuario. El proveedor de servicios confía en la información del usuario del proveedor de identidad para proporcionar acceso a sus servicios o recursos.

Configuraciones emergentes

Dispositivos móviles como credenciales de acceso

Se ha desarrollado una variación más nueva de autenticación de inicio de sesión único que utiliza dispositivos móviles como credenciales de acceso. Los dispositivos móviles de los usuarios se pueden utilizar para iniciar sesión automáticamente en múltiples sistemas, como sistemas de control de acceso a edificios y sistemas informáticos, mediante el uso de métodos de autenticación que incluyen OpenID Connect y SAML, ^[24] junto con un X.509. Certificado de criptografía ITU-T utilizado para identificar el dispositivo móvil ante un servidor de acceso.

Un dispositivo móvil es "algo que tienes", a diferencia de una contraseña que es "algo que sabes" o la biometría (huella digital, escaneo de retina, reconocimiento facial, etc.) que es "algo que eres". Los expertos en seguridad recomiendan utilizar al menos dos de estos tres factores ( autenticación multifactor ) para una mejor protección.

Ver también

• Secuestro previo de cuenta
• Servicio de autenticación central
• Gestión de identidad
• Sistemas de gestión de identidad
• Lista de implementaciones de inicio de sesión único
• Administrador de contraseñas
• Lenguaje de marcado de afirmación de seguridad
• Usabilidad de los sistemas de autenticación web.

Referencias

1. "¿Cuál es la diferencia entre SSO (inicio de sesión único) y LDAP?". Saltar nube . 2019-05-14 . Consultado el 27 de octubre de 2020 .
2. "Autenticación SSO y LDAP". Autenticaciónworld.com. Archivado desde el original el 23 de mayo de 2014 . Consultado el 23 de mayo de 2014 .
3. "OpenID versus servidor de inicio de sesión único". supuesto.org.uk. 2007-08-13 . Consultado el 23 de mayo de 2014 .
4. "Proveedor de OpenID Connect - Inicio de sesión único (SSO) de OpenID Connect - Autenticación OIDC OAuth". Un inicio de sesión .
5. "Inicio de sesión único y autenticación federada". kb.iu.edu .
6. "Beneficios del SSO". Universidad de Guelph . Consultado el 23 de mayo de 2014 .
7. "Autenticación de inicio de sesión único". Autenticaciónworld.com. Archivado desde el original el 15 de marzo de 2014 . Consultado el 28 de mayo de 2013 .
8. "Guía de administración de alta disponibilidad de Sun GlassFish Enterprise Server v2.1.1". Oracle.com . Consultado el 28 de mayo de 2013 .
9. Laurenson, Lydia (3 de mayo de 2014). "El efecto de la censura". TechCrunch . Archivado desde el original el 7 de agosto de 2020 . Consultado el 27 de febrero de 2015 .
10. Chester, Ken (12 de agosto de 2013). "Censura, autenticación externa y otras lecciones de redes sociales del Gran Cortafuegos de China". Tecnología en Asia . Archivado desde el original el 26 de marzo de 2014 . Consultado el 9 de marzo de 2016 .
11. Wang, Rui; Chen, Shuo; Wang, XiaoFeng (2012). "Iniciar sesión en sus cuentas a través de Facebook y Google: un estudio de seguridad guiado por el tráfico de servicios web de inicio de sesión único implementados comercialmente". Simposio IEEE 2012 sobre seguridad y privacidad . págs. 365–379. doi :10.1109/SP.2012.30. ISBN 978-1-4673-1244-8. S2CID  1679661.
12. "OpenID: informe de vulnerabilidad, confusión de datos" - Fundación OpenID, 14 de marzo de 2012
13. "Usuarios de Facebook y Google amenazados por una nueva falla de seguridad". La guía de Tom. 2 de mayo de 2014 . Consultado el 11 de noviembre de 2014 .
14. "Vulnerabilidad de redireccionamiento encubierto relacionada con OAuth 2.0 y OpenID". Tetrafio. 1 de mayo de 2014 . Consultado el 10 de noviembre de 2014 .
15. "Estudiante de matemáticas detecta vulnerabilidad de seguridad de OAuth y OpenID". Exploración tecnológica. 3 de mayo de 2014 . Consultado el 10 de noviembre de 2014 .
16. "Usuarios de Facebook y Google amenazados por una nueva falla de seguridad". Yahoo. 2 de mayo de 2014 . Consultado el 10 de noviembre de 2014 .
17. "El error de redireccionamiento encubierto en OAuth no es el próximo problema". Symantec. 3 de mayo de 2014 . Consultado el 10 de noviembre de 2014 .
18. "¿La falla de VMware es un vector en la violación de SolarWinds? - Krebs sobre seguridad". 19 de diciembre de 2020.
19. Kovacs, Eduard (15 de diciembre de 2020). "El grupo detrás del hack de SolarWinds evitó MFA para acceder a correos electrónicos en un grupo de expertos de EE. UU.". Semana de la Seguridad . Consultado el 19 de diciembre de 2020 .
20. "¿Qué es el secuestro de sesión?". 22 de agosto de 2019.
21. MIT IST. "Autorización de conexión OpenID".
22. Goode, Lauren (15 de junio de 2019). "Los creadores de aplicaciones no coinciden en 'Iniciar sesión con Apple'". Cableado . ISSN  1059-1028 . Consultado el 15 de junio de 2019 .
23. Armando, Alejandro; Carbone, Roberto; Compagna, Luca; Cuéllar, Jorge; Pellegrino, Giancarlo; Sorniotti, Alessandro (1 de marzo de 2013). "Una falla de autenticación en los protocolos de inicio de sesión único basados ​​en navegador: impacto y soluciones". Computadoras y seguridad . 33 : 41–58. doi :10.1016/j.cose.2012.08.007.
24. "La oficina del futuro de MicroStrategy incluye identidad móvil y ciberseguridad". El Washington Post . 2014-04-14 . Consultado el 30 de marzo de 2014 .

enlaces externos

• Introducción al inicio de sesión único con diagramas