Inicio de sesión único: qué es, cómo funciona y por qué lo necesita

Publicado: 2022-05-07

Es probable que haya iniciado sesión en algo a través del inicio de sesión único en la última semana, pero ¿entiende cómo funciona y por qué su empresa debería usarlo?

¿Cuál es la parte más valiosa de su sitio web?

¿Tu dulce algoritmo para comprimir archivos de video? ¿Su colección cada vez mayor de propiedad intelectual original? ¿O tal vez la experiencia de juego que obtienen sus usuarios cuando se abren camino a través de un lugar que es básicamente la Tierra Media pero que, por razones legales, definitivamente no es la Tierra Media?

Desde la perspectiva de un hacker, nada de eso importa. Los piratas informáticos buscan datos personales. Nombres, direcciones, correos electrónicos y contraseñas: detalles sobre la identidad de un usuario que luego se pueden usar para estafas de phishing, ataques de ransomware y robo de identidad.

Las contraseñas y otros detalles de inicio de sesión pueden encabezar la lista en estos días. La empresa de diseño de viviendas Houzz perdió más de 48 millones de contraseñas el año pasado. Zynga, el productor de juegos conocido por "Words with Friends" y "Draw Something", también fue atacado por un ataque de seguridad, con un estimado de 218 millones de credenciales de usuario robadas.

Desafortunadamente, cuando se trata de brechas de seguridad, la prevención nunca es 100% posible. Sin embargo, hay formas de reducir las posibilidades de que a los usuarios les roben sus contraseñas en una violación. Bienvenido al inicio de sesión único, una estructura de administración de identidades que resuelve una gran cantidad de problemas comerciales comunes.

¿Qué es el inicio de sesión único (SSO)?

El inicio de sesión único (SSO) es un sistema de identificación que permite que los sitios web utilicen otros sitios de confianza para verificar a los usuarios. Esto libera a las empresas de la necesidad de mantener contraseñas en sus bases de datos, reduce la resolución de problemas de inicio de sesión y disminuye el daño que puede causar un ataque.

Los sistemas SSO funcionan como un proveedor de identidad, algo así como una tarjeta de identificación. Por ejemplo, si lo detienen por exceso de velocidad, el oficial de policía no tiene que conocerlo personalmente; simplemente pueden mirar su licencia y ver que su estado responde por su identidad.

Del mismo modo, con SSO, su sitio web no le obliga a probar su identidad al verificar dentro de sí mismo. En cambio, verifica con un proveedor de SSO (como LinkedIn, Microsoft o Google) para ver si puede verificar su identidad. Si puede, el sitio cree en su palabra.

Técnicamente, mucho de lo que se llama inicio de sesión único es en realidad una combinación de SSO puro y delegación o federación. Hay una especie de revoltijo entre todas las plataformas, especialmente cuando los proveedores de identidad como servicio entran en la mezcla.

Usaremos SSO aquí, con llamadas cuando las distinciones realmente importen.

¿Cómo funciona SSO?

Explicar el sistema a grandes rasgos es simple, pero explicar el proceso de implementación de SSO requiere un poco más de experiencia. Normalmente, cuando inicia sesión en un sistema, el proveedor de servicios o el dominio (website.com, en este ejemplo) lo autenticarán por sí mismos. Al igual que:

1. Como usuario, accede a una página intermitente en website.com que verifica si ya ha iniciado sesión. Si es así, la autenticación de SSO está completa y el sistema lo enviará a lo que realmente deseaba (su cuenta de Gmail). bandeja de entrada, por ejemplo).

2. Si aún no ha iniciado sesión, aparecerá una pantalla de inicio de sesión.

3. Coloca sus credenciales de inicio de sesión (correo electrónico y contraseña) en el formulario, website.com verifica esas credenciales con su base de datos y luego inicia sesión o es rechazado.

4. Si ha iniciado sesión, website.com emitirá algún tipo de rastreador. Esto podría estar en el servidor, o podría enviárselo como token.

Ahora, cada vez que se mueve por el sitio, el sistema solo verifica para asegurarse de que el rastreador, y por lo tanto su autenticación, esté actualizado.

Si tuviera que hacer lo mismo con SSO en su lugar, se vería más como esto:

1. Como usuario, accede a una página intermitente (un portal SSO) en website.com que verifica si ya ha iniciado sesión. Si es así, lo lleva a lo que realmente deseaba: su bandeja de entrada de Gmail, por ejemplo.

2. Si aún no ha iniciado sesión, website.com le presenta opciones de autenticación a través de un proveedor de identidad de terceros (Google, Amazon, Facebook, etc.). Eliges tu proveedor de elección y luego inicias sesión con ese proveedor, digamos, Google.

3. Google verifica que usted es usted, verifica que website.com sea el sitio que dice ser, luego lo autentica según la base de datos de contraseñas de Google y emite un token de vuelta a website.com.

4. Website.com obtiene el token de Google, verificando su identidad. Ahora lo asocia con el resto de sus datos de usuario (preferencias, historial, carrito de compras, etc.) y ya está todo listo.

  • En un verdadero sistema SSO , simplemente navegará de un sitio a otro con acceso completo.
  • En un sistema delegado , Google devolverá tanto una verificación de identidad como un conjunto de usos autorizados. Website.com podría tener acceso a su nombre y correo electrónico, por ejemplo, pero no mostrar su ubicación o edad. (Vea el ejemplo a continuación).


Un ejemplo del flujo de redirección al usar SSO desde Auth0 (Fuente)

¡Excelente! Pero, ¿por qué alguien se molestaría con esto?

Los beneficios para los usuarios

Hay algunos beneficios principales para los usuarios que interactúan con SSO.

  • Conveniencia. Los usuarios solo necesitan recordar un conjunto de detalles de inicio de sesión. Al conectar su sitio a sus inicios de sesión en Google, se asegura de que incluso los usuarios esporádicos puedan recordar cómo iniciar sesión; simplemente inician sesión en Google.
  • Transparencia. Los usuarios saben lo que se comparte de un sistema a otro, al menos en un sistema delegado. Es como cuando instalas una nueva aplicación en tu teléfono y te pide permiso para acceder a tus fotos, contactos y cuenta bancaria. Si no está satisfecho con esas opciones, puede optar por no participar.
  • Velocidad. Con SSO, los usuarios no tienen que pasar por largos procesos de registro y autorización. Debido a que Google ya realizó toda la verificación de correo electrónico y la recopilación de datos, los nuevos usuarios pueden registrarse tan rápido como inician sesión en Google.
  • Seguridad. Los usuarios también obtienen la tranquilidad de saber que el propietario del sitio web, Marlon Rando, no tiene su contraseña almacenada en texto sin formato en algún lugar del remanso de Internet. Google sigue siendo el principal punto de confianza, que permite al usuario probar cosas nuevas sin miedo.

Los beneficios para tu negocio

Esa es una gran noticia para sus usuarios, pero ¿qué hay para usted, el propietario del sitio web?

  • Más registros de usuarios. SSO proporciona una barrera de entrada más baja, por lo que los nuevos clientes pueden registrarse de manera fácil y segura, confiando en una marca conocida. Facebook está administrando el proceso, por lo que no se preocupan por su sistema y marca desconocidos. Se aumenta la confianza, lo que aumenta las conversiones.
  • Menos trabajo en la parte trasera. Lo que significa que no tendrás que andarte con contraseñas. Si bien es importante reducir el riesgo de hackeo, aún más importante es no tener que restablecer las contraseñas de las personas cada cinco minutos. Todo el trabajo pesado de autenticación y contraseña es administrado por el autenticador de confianza.
  • Recopilación de datos. También puede acceder a más información como Google o Facebook o cualquiera que la ponga a disposición. Son todos los beneficios de la recopilación de datos sin todas las molestias asociadas.
  • Riesgo reducido. Finalmente, estás quitando ese pastel tentador del alféizar de la ventana. Los piratas informáticos tienen menos incentivos para acceder a su sitio si no aloja una tonelada de detalles de inicio de sesión. También es menos probable que tenga un montón de usuarios con contraseñas terriblemente débiles haciendo agujeros en la seguridad general de su sitio.

En resumen, adoptar una solución SSO puede facilitarle la vida a usted y a sus clientes.

SSO + MFA: Comodidad sin sacrificar la seguridad

SSO es conveniente, pero tiene sus inconvenientes. Es decir, si se piratea una cuenta SSO, también se pueden atacar otras bajo el mismo sistema de autenticación. Una forma de contrarrestar este riesgo es implementando la autenticación multifactor (MFA).

Autenticación multifactor

Un método de autenticación de usuario que requiere que los usuarios proporcionen dos o más factores de verificación.

El SSO combinado con MFA protege mucho mejor las cuentas de los usuarios que el SSO solo. Además, brindar a los usuarios la eficiencia y la facilidad que ofrecen MFA y SSO significa reducir la posibilidad de restablecer la contraseña o llamar al servicio de asistencia técnica.

Empezando

Si su negocio tiene inclinaciones técnicas, es decir, emplea ingenieros de software de algún tipo, también puede consultar el protocolo OAuth, que sustenta muchas de las soluciones comerciales en el mercado.

Si está buscando una herramienta que pueda integrar con su pila tecnológica actual, puede buscar en el directorio de administración de identidad de Capterra para obtener una lista completa de proveedores de SSO, donde puede usar la herramienta de filtrado (lado izquierdo de la pantalla) para buscar MFA- productos específicos. Nuestro software de autenticación y los directorios de inicio de sesión único son excelentes lugares para encontrar herramientas SSO y MFA.