Pojedyncze logowanie: co to jest, jak działa i dlaczego jest potrzebne

Opublikowany: 2022-05-07

Możliwe, że logowałeś się do czegoś za pomocą jednokrotnego logowania w ostatnim tygodniu, ale czy rozumiesz, jak to działa i dlaczego Twoja firma powinna z niego korzystać?

Jaka jest najcenniejsza część Twojej witryny?

Twój słodki algorytm do kompresji plików wideo? Twoja stale rosnąca kolekcja oryginalnych adresów IP? A może wrażenia z gry, jakie otrzymują Twoi użytkownicy, gdy włamują się do miejsca, które jest w zasadzie Śródziemiem, ale to – z powodów prawnych – zdecydowanie nie jest Śródziemem?

Z perspektywy hakera nic z tego nie ma znaczenia. Hakerzy szukają danych osobowych. Nazwy, adresy, e-maile i hasła — szczegółowe informacje o tożsamości użytkownika, które mogą być później wykorzystywane do wyłudzania informacji, ataków ransomware i kradzieży tożsamości.

Hasła i inne dane logowania mogą obecnie znajdować się na szczycie listy. Firma Houzz zajmująca się projektowaniem wnętrz straciła w zeszłym roku ponad 48 milionów haseł. Zynga, producent gier znany z „Words with Friends” i „Draw Something”, również został dotknięty atakiem bezpieczeństwa, w wyniku którego skradziono około 218 milionów danych uwierzytelniających użytkowników.

Niestety, zapobieganie naruszeniom bezpieczeństwa nigdy nie jest w 100% możliwe. Istnieją jednak sposoby na zmniejszenie prawdopodobieństwa kradzieży haseł użytkowników podczas włamania. Witamy w jednokrotnym logowaniu, strukturze zarządzania tożsamością, która rozwiązuje wiele typowych problemów biznesowych.

Co to jest jednokrotne logowanie (SSO)?

Pojedyncze logowanie (SSO) to system identyfikacji, który umożliwia witrynom korzystanie z innych, zaufanych witryn w celu weryfikacji użytkowników. Uwalnia to firmy od konieczności przechowywania haseł w swoich bazach danych, ogranicza rozwiązywanie problemów z logowaniem i zmniejsza szkody, jakie może spowodować włamanie.

Systemy SSO działają jako dostawca tożsamości — coś w rodzaju dowodu osobistego. Na przykład, jeśli zostaniesz zatrzymany za przekroczenie prędkości, policjant nie musi cię znać osobiście; mogą po prostu spojrzeć na twoją licencję i zobaczyć, że twój stan gwarantuje twoją tożsamość.

Podobnie w przypadku logowania jednokrotnego Twoja witryna nie zmusza do udowadniania swojej tożsamości poprzez sprawdzanie samej siebie. Zamiast tego sprawdza u dostawcy SSO (takiego jak LinkedIn, Microsoft lub Google), czy może zweryfikować Twoją tożsamość. Jeśli tak, witryna wierzy na słowo.

Technicznie rzecz biorąc, wiele z tego, co nazywa się jednokrotnym logowaniem, jest w rzeczywistości mieszanką czystego logowania jednokrotnego i delegowania lub federacji. Pomiędzy wszystkimi platformami istnieje coś w rodzaju plątaniny, zwłaszcza że w grę wchodzą dostawcy tożsamości jako usługi.

Użyjemy tutaj logowania jednokrotnego z objaśnieniami, gdy różnice naprawdę mają znaczenie.

Jak działa jednokrotne logowanie?

Objaśnienie systemu szerokimi pociągnięciami jest proste, ale wyjaśnienie procesu wdrażania logowania jednokrotnego wymaga nieco więcej wiedzy. Zwykle, gdy logujesz się do systemu, usługodawca lub domena (w tym przykładzie website.com) uwierzytelnia Cię samodzielnie. Tak jak:

1. Jako użytkownik trafiasz na przerywaną stronę w witrynie internetowej.com, która sprawdza, czy jesteś już zalogowany. Jeśli tak, uwierzytelnianie SSO jest zakończone, a system przekieruje Cię do tego, czego naprawdę chcesz (Twojego Gmaila na przykład skrzynka odbiorcza).

2. Jeśli nie jesteś jeszcze zalogowany, pojawi się ekran logowania.

3. Upuszczasz swoje dane logowania (adres e-mail i hasło) w formularzu, website.com sprawdza je w swojej bazie danych, a następnie jesteś zalogowany lub odrzucony.

4. Jeśli jesteś zalogowany, website.com wyświetli jakiś tracker. To może znajdować się na serwerze lub może zostać wysłane do Ciebie jako token.

Teraz za każdym razem, gdy poruszasz się po witrynie, system po prostu sprawdza, czy moduł śledzący — a tym samym Twoje uwierzytelnianie — jest aktualny.

Gdybyś miał zrobić to samo z włączoną funkcją SSO, wyglądałoby to mniej więcej tak:

1. Jako użytkownik trafiasz na przerywaną stronę (portal SSO) w witrynie internetowej.com, która sprawdza, czy jesteś już zalogowany. Jeśli tak, przekierowuje Cię do tego, czego naprawdę chcesz — do skrzynki odbiorczej Gmail, na przykład.

2. Jeśli nie jesteś jeszcze zalogowany, website.com oferuje opcje uwierzytelniania za pośrednictwem zewnętrznego dostawcy tożsamości (Google, Amazon, Facebook itp.). Wybierasz swojego dostawcę, a następnie logujesz się za pomocą tego dostawcy, powiedzmy, Google.

3. Google sprawdza, czy to Ty, sprawdza, czy witryna website.com jest witryną, za którą się podaje, a następnie uwierzytelnia Cię na podstawie bazy haseł Google i wydaje token z powrotem do witryny website.com.

4. Website.com otrzymuje token od Google, weryfikując Twoją tożsamość. Teraz kojarzy Cię z resztą danych użytkownika — preferencjami, historią, koszykiem itd. — i gotowe.

  • W prawdziwym systemie SSO możesz po prostu przemieszczać się z miejsca na miejsce z pełnym dostępem.
  • W systemie delegowanym Google zwróci zarówno potwierdzenie tożsamości, jak i zestaw autoryzowanych zastosowań. Witryna Website.com może na przykład uzyskać dostęp do Twojego imienia i adresu e-mail, ale nie może wyświetlać Twojej lokalizacji ani wieku. (Patrz przykład poniżej.)


Przykład przepływu przekierowania podczas korzystania z logowania jednokrotnego z Auth0 (Źródło)

Świetny! Ale dlaczego ktoś miałby się tym przejmować?

Korzyści dla użytkowników

Istnieje kilka głównych korzyści dla użytkowników korzystających z logowania jednokrotnego.

  • Wygoda. Użytkownicy muszą zapamiętać tylko jeden zestaw danych logowania. Łącząc swoją witrynę z ich loginami w Google, zapewniasz, że nawet sporadyczni użytkownicy będą pamiętać, jak się zalogować; po prostu logują się do Google.
  • Przezroczystość. Użytkownicy wiedzą, co jest udostępniane z jednego systemu do drugiego — przynajmniej w systemie delegowanym. To tak, jak gdy instalujesz nową aplikację w telefonie i prosi ona o pozwolenie na dostęp do Twoich zdjęć, kontaktów i konta bankowego. Jeśli nie jesteś zadowolony z tych opcji, możesz zrezygnować.
  • Prędkość. Dzięki SSO użytkownicy nie muszą przechodzić długich procesów rejestracji i autoryzacji. Ponieważ firma Google przeprowadziła już całą weryfikację poczty e-mail i zbieranie danych, nowi użytkownicy mogą zarejestrować się tak szybko, jak tylko mogą zalogować się do Google.
  • Bezpieczeństwo. Użytkownicy zyskują również spokój ducha, wiedząc, że właściciel witryny, Marlon Rando, nie przechowuje swojego hasła w postaci zwykłego tekstu gdzieś w zaściance Internetu. Google nadal jest głównym punktem zaufania, który pozwala użytkownikowi bez obaw próbować nowych rzeczy.

Korzyści dla Twojej firmy

To świetna wiadomość dla Twoich użytkowników, ale co to oznacza dla Ciebie, właściciela witryny?

  • Więcej rejestracji użytkowników. Logowanie jednokrotne zapewnia niższą barierę wejścia, dzięki czemu nowi klienci mogą łatwo i bezpiecznie zarejestrować się, opierając się na znanej marce. Facebook zarządza procesem, więc nie martwią się o Twój nieznany system i markę. Zwiększa się zaufanie, co zwiększa konwersje.
  • Mniej pracy z tyłu. Oznacza to, że nie będziesz musiał bawić się hasłami. Chociaż zmniejszenie ryzyka włamania jest ważne, jeszcze ważniejsze jest to, że nie trzeba resetować haseł użytkowników co pięć minut. Całe uwierzytelnianie i podnoszenie haseł jest zarządzane przez zaufanego wystawcę uwierzytelnienia.
  • Zbieranie danych. Możesz także uzyskać dostęp do większej liczby informacji, takich jak Google lub Facebook lub ktokolwiek je udostępnia. To wszystkie korzyści płynące z gromadzenia danych bez wszystkich związanych z tym problemów.
  • Zmniejszone ryzyko. Wreszcie usuwasz to kuszące ciasto z parapetu. Hakerzy mają mniejszą motywację do trafienia na Twoją witrynę, jeśli nie udostępniasz mnóstwa danych logowania. Jest też mniej prawdopodobne, że grupa użytkowników ze strasznie słabymi hasłami będzie dziurawić ogólne bezpieczeństwo Twojej witryny.

Krótko mówiąc, przyjęcie rozwiązania SSO może ułatwić życie Tobie i Twoim klientom.

Logowanie jednokrotne + MSZ: wygoda bez poświęcania bezpieczeństwa

Logowanie jednokrotne jest wygodne, ale ma swoje pułapki. Mianowicie, jeśli konto SSO zostanie zhakowane, inne osoby korzystające z tego samego systemu uwierzytelniania również mogą być celem ataku. Jednym ze sposobów przeciwdziałania temu ryzyku jest wdrożenie uwierzytelniania wieloskładnikowego (MFA).

Uwierzytelnianie wieloskładnikowe

Metoda uwierzytelniania użytkownika, która wymaga od użytkowników podania co najmniej dwóch czynników weryfikacji.

Logowanie jednokrotne w połączeniu z usługą MFA znacznie lepiej chroni konta użytkowników niż samo logowanie jednokrotne. Ponadto zapewnienie użytkownikom wydajności i łatwości, jakie oferują usługi MFA i SSO, oznacza zmniejszenie szansy na zresetowanie hasła lub wezwanie pomocy technicznej.

Rozpoczęcie pracy

Jeśli Twoja firma ma skłonności techniczne — to znaczy zatrudniasz inżynierów oprogramowania w pewnym zakresie — możesz również sprawdzić protokół OAuth, który stanowi podstawę wielu rozwiązań komercyjnych dostępnych na rynku.

Jeśli szukasz narzędzia, które możesz zintegrować z obecnym stosem technicznym, możesz przejrzeć katalog zarządzania tożsamością Capterra, aby uzyskać pełną listę dostawców SSO, gdzie możesz użyć narzędzia do filtrowania (po lewej stronie ekranu) do przeglądania MFA- określone produkty. Nasze oprogramowanie do uwierzytelniania i katalogi logowania jednokrotnego to świetne miejsca, w których można znaleźć narzędzia SSO i MFA.