Скорее всего, вы вошли в систему через систему единого входа на прошлой неделе, но понимаете ли вы, как это работает и почему ваш бизнес должен это использовать?

Что самое ценное на вашем сайте?

Ваш сладкий алгоритм сжатия видео файлов? Ваша постоянно растущая коллекция оригинальных IP-адресов? Или, может быть, игровой опыт, который получают ваши пользователи, пробираясь через место, которое в основном является Средиземьем, но которое - по юридическим причинам - определенно не Средиземье?

С точки зрения хакера, все это не имеет значения. Хакеры ищут личные данные. Имена, адреса, адреса электронной почты и пароли - сведения об идентичности пользователя, которые впоследствии могут быть использованы для фишинговых атак, атак программ-вымогателей и кражи личных данных.

В наши дни пароли и другие данные для входа могут возглавлять список. Компания по дизайну домов Houzz потеряла более 48 миллионов паролей в прошлом году. Компания Zynga, производитель игр, известная своими играми «Слова с друзьями» и «Нарисуй что-нибудь», также подверглась атаке на систему безопасности, в результате которой было украдено 218 миллионов учетных данных пользователей .

К сожалению, когда дело доходит до предотвращения нарушений безопасности, невозможно на 100%. Однако есть способы снизить вероятность кражи паролей пользователей в результате взлома. Добро пожаловать в систему единого входа , структуру управления идентификацией, которая решает множество типичных бизнес-проблем.

Что такое единый вход (SSO)?

Единый вход (SSO) - это система идентификации, которая позволяет веб-сайтам использовать другие доверенные сайты для проверки пользователей. Это освобождает компании от необходимости хранить пароли в своих базах данных, сокращает поиск и устранение неполадок при входе в систему и уменьшает ущерб, который может нанести взлом.

Системы единого входа работают как поставщик удостоверений - что-то вроде удостоверения личности. Например, если вас остановили из-за превышения скорости, полицейскому не обязательно знать вас лично; они могут просто взглянуть на вашу лицензию и увидеть, что ваше государство ручается за вашу личность.

Точно так же с SSO ваш веб-сайт не заставляет вас подтверждать свою личность, проверяя его внутри себя. Вместо этого он проверяет у поставщика системы единого входа (например, LinkedIn, Microsoft или Google), может ли он подтвердить вашу личность. Если это возможно, сайт поверит им на слово.

Технически, многое из того, что называется единым входом, на самом деле представляет собой смесь чистого единого входа и делегирования или федерации . Между всеми платформами существует своего рода беспорядок, особенно когда в смесь входят поставщики услуг идентификации.

Здесь мы будем использовать SSO с выносками, когда различия действительно важны.

Как работает SSO?

Объяснить систему в общих чертах просто, но для объяснения процесса реализации SSO требуется немного больше информации. Обычно, когда вы входите в систему, поставщик услуг или домен (в данном примере website.com) аутентифицирует вас самостоятельно. Вот так:

1. Как пользователь, вы попадаете на периодически появляющуюся страницу на сайте website.com, которая проверяет, вошли ли вы уже в систему. Если это так, аутентификация SSO завершена, и система отправит вас туда, куда вы действительно хотели (ваш Gmail входящие, например).

2. Если вы еще не вошли в систему, вам будет представлен экран входа в систему.

3. Вы вводите свои учетные данные (адрес электронной почты и пароль) в форму, website.com проверяет эти учетные данные по своей базе данных, а затем вы либо входите в систему, либо отклоняете.

4. Если вы вошли в систему, website.com выдаст своего рода трекер. Он может быть на сервере или отправлен вам в виде токена.

Теперь, когда вы перемещаетесь по сайту, система просто проверяет актуальность трекера и, следовательно, вашей аутентификации.

Если бы вы сделали то же самое с SSO, это выглядело бы примерно так:

1. Как пользователь, вы попадаете на периодически появляющуюся страницу (портал системы единого входа) на сайте website.com, которая проверяет, вошли ли вы уже в систему. Если да, то вы переходите к тому, что вам действительно нужно - к почтовому ящику Gmail, например.

2. Если вы еще не вошли в систему, website.com предлагает варианты аутентификации через стороннего поставщика удостоверений (Google, Amazon, Facebook и т. Д.). Вы выбираете своего провайдера, а затем входите в систему с этим провайдером, скажем, в Google.

3. Google проверяет, что вы являетесь, проверяет, является ли website.com тем сайтом, на который он претендует, затем аутентифицирует вас на основе базы данных паролей Google и выдает токен обратно на website.com.

4. Website.com получает токен от Google, подтверждающий вашу личность. Теперь он связывает вас с остальными вашими пользовательскими данными - предпочтениями, историей, корзиной покупок и т. Д. - и все готово.

• В настоящей системе единого входа вы просто будете перемещаться с сайта на сайт с полным доступом.

• В делегированной системе Google возвращает как подтверждение личности, так и набор разрешенных видов использования. Веб-сайту Website.com может быть предоставлен доступ, например, к вашему имени и электронной почте, но не будет отображаться ваше местонахождение или возраст. (См. Пример ниже.)

Большой! Но зачем кому-то это нужно?

Преимущества для пользователей

Есть несколько основных преимуществ для пользователей, взаимодействующих с SSO.

• Удобство. Пользователям нужно запомнить только один набор данных для входа. Подключив свой сайт к их учетным записям в Google, вы гарантируете, что даже отдельные пользователи могут запомнить, как входить в систему; они просто входят в Google.

• Прозрачность. Пользователи знают, что передается из одной системы в другую - по крайней мере, в делегированной системе. Это похоже на то, когда вы устанавливаете новое приложение на свой телефон, и оно запрашивает разрешение на доступ к вашим фотографиям, контактам и банковскому счету. Если вас не устраивают эти варианты, вы можете отказаться.

• Скорость. Благодаря SSO пользователям не нужно проходить длительные процессы регистрации и авторизации. Поскольку Google уже выполнил всю проверку электронной почты и сбор данных, новые пользователи могут зарегистрироваться так же быстро, как и войти в Google.

• Безопасность. Пользователи также получают душевное спокойствие, зная, что владелец веб-сайта Марлон Рандо не хранит свой пароль в виде обычного текста где-то в глуши Интернета. Google продолжает оставаться главной точкой доверия, которая позволяет пользователю без страха пробовать новое.

Преимущества для вашего бизнеса

Это отличная новость для ваших пользователей, но что в этом для вас, владельца сайта?

• Больше регистраций пользователей. SSO обеспечивает более низкий барьер для входа, поэтому новые клиенты могут легко и безопасно зарегистрироваться, полагаясь на известный бренд. Facebook управляет процессом, поэтому они не беспокоятся о вашей неизвестной системе и бренде. Увеличивается доверие, что увеличивает конверсию.

• Меньше работы над серверной частью. Это означает, что вам не придется возиться с паролями. Хотя снижение риска взлома важно, еще важнее не сбрасывать пароли людей каждые пять минут. Вся сложная процедура аутентификации и паролей выполняется доверенным аутентификатором.

• Сбор данных. Вы также можете получить доступ к дополнительной информации от Google, Facebook или любого другого лица, предоставляющего ее. Это все преимущества сбора данных без всех связанных с этим хлопот.

• Сниженный риск. Наконец, вы снимаете соблазнительный пирог с подоконника. У хакеров будет меньше стимулов заходить на ваш сайт, если у вас нет большого количества данных для входа. У вас также меньше шансов иметь группу пользователей с ужасно слабыми паролями, которые проделывают дыры в общей безопасности вашего сайта.

Короче говоря, внедрение решения SSO может облегчить жизнь вам и вашим клиентам.

SSO + MFA: удобство без ущерба для безопасности

SSO удобен, но в нем есть свои подводные камни. А именно, если взломана учетная запись SSO, другие пользователи с той же системой аутентификации также могут стать мишенью. Один из способов противодействовать этому риску - реализовать многофакторную аутентификацию (MFA).

SSO в сочетании с MFA намного лучше защищает учетные записи пользователей, чем только SSO. Кроме того, предоставление пользователям эффективности и простоты, предлагаемых MFA и SSO, означает снижение вероятности сброса пароля или обращения в службу поддержки.

Начиная

Если ваш бизнес технически подкован, то есть у вас есть несколько инженеров-программистов, вы также можете проверить протокол OAuth , который лежит в основе многих коммерческих решений, представленных на рынке.

Если вы ищете инструмент, который можно интегрировать с текущим технологическим стеком, вы можете просмотреть каталог управления идентификацией Platforms для получения полного списка поставщиков SSO, где вы можете использовать инструмент фильтрации (левая часть экрана) для просмотра MFA- конкретные продукты. Наше программное обеспечение для аутентификации и каталоги единого входа - отличные места для поиска инструментов SSO и MFA.