Superar los límites de seguridad de SSO con el MFA

Wed, 20 Apr 2022 11:49:40 +0200

A veces se confunden los conceptos "SSO" y "MFA", o al menos no se entiende el valor añadido de combinar estos dos tipos de soluciones. El inicio de sesión (SSO) permite a los usuarios acceder a diferentes aplicaciones con una única autenticación. La autenticación multifactorial (MFA) añade una capa de seguridad a la autenticación para verificar la identidad del usuario.

Entender qué es el SSO y cómo funciona

El inicio de sesión único (SSO) es un método de autenticación que permite a un usuario utilizar un único conjunto de credenciales de acceso para iniciar la sesión, normalmente utilizado al principio de la jornada laboral. En la mayoría de los casos, este conjunto de datos de acceso consiste en un ID de usuario y una contraseña. Esto permite al usuario acceder a varias aplicaciones y sitios web sin tener que perder el tiempo iniciando sesión de nuevo en cada uno de ellos. Una especie de "super login".
Cuando un usuario se registra en un servicio SSO, el servicio crea un token de autenticación que recordará que el usuario ha sido verificado. De este modo, cualquier aplicación o sitio web asociado al que el usuario necesite conectarse más tarde, lo comprobará con el servicio SSO, que enviará el token del usuario para confirmar su identidad y concederle el acceso. En otras palabras, después del "superinicio de sesión" es la solución SSO la que conectará al usuario con otras aplicaciones en su nombre.
Por lo tanto, es esencial que esta "superconexión" que hace posible una solución SSO esté protegida por una solución adicional y complementaria llamada MFA (autenticación multifactor).

Cuidado con los límites de seguridad del SSO

Ciertamente, el SSO es un "regalo" para los usuarios: poder acceder a todas sus aplicaciones y datos sin necesidad de iniciar una sesión adicional. Pero este valor añadido en términos de productividad viene acompañado de riesgos de seguridad adicionales y, por tanto, de la necesidad de un entorno más seguro.
Imagina que una persona malintencionada accede a las credenciales SSO de un usuario. Esto significa que todas las demás aplicaciones y recursos a los que el usuario tiene acceso están comprometidos. Es como poner todos los huevos en la misma cesta.

Obtenga lo mejor de ambos mundos combinando SSO y MFA

Si usted es una organización que está "poniendo todos los huevos en la misma cesta" utilizando una solución SSO, es imperativo que proteja esa cesta y asegure el acceso. La solución no es eliminar el SSO, sino cerrar sus brechas de seguridad sin comprometer la experiencia del usuario.
Por lo tanto, es esencial completar la estrategia de autenticación y utilizar mecanismos de autenticación más robustos que la simple combinación de nombre de usuario y contraseña. De hecho, el SSO implica tener cuidado de proteger y asegurar el acceso y las identidades (información de identificación) combinándolo con una solución de autenticación fuerte (o autenticación multifactorial MFA).
Según Microsoft, MFA bloquea más del 99,9% de los ataques de compromiso de cuentas.

¿Cuáles son las ventajas de combinar SSO + MFA?

Combinar el SSO y MFA en una estrategia de autenticación empresarial es una buena práctica que tiene muchos beneficios en términos de experiencia de usuario, seguridad y gestión de TI.

Negocios

Mayor seguridad. El uso de SSO limita la "zona de ataque" de los ciberdelincuentes y el MFA viene como respaldo para aumentar el nivel de seguridad de esta zona.

Más ágil y productivo. SSO + MFA es una forma de impulsar la agilidad y la productividad, ya que ofrece a los empleados un acceso casi inmediato a miles de aplicaciones de forma muy segura.

Experiencia del usuario

Se acabaron los problemas con las contraseñas. El uso de una solución sin contraseña MFA además de su solución SSO es la "guinda del pastel" en términos de experiencia de usuario.

Una experiencia de inicio de sesión más rápida y fluida. SSO ofrece una experiencia de inicio de sesión más rápida y algunas soluciones de MFA pueden simplificar la experiencia de "superinicio de sesión" que hace posible SSO.

Gestión y administración de TI

Gestión y auditoría simplificadas. El SSO puede utilizarse para configurar los derechos de acceso de un usuario, por ejemplo, en función de su función, departamento y/o nivel de antigüedad. Además, cuando un empleado deja la empresa, es más fácil eliminar sus privilegios de acceso.

Menos solicitudes al servicio de asistencia. El SSO reduce significativamente el número de usuarios finales que llaman al servicio de asistencia por un problema de inicio de sesión. Y si se elige la solución adecuada MFA, se puede pasar a la ausencia de contraseña, lo que reduce aún más la actividad del equipo de asistencia informática.

No todas las soluciones MFA aseguran su SSO de la misma manera

No todas las soluciones de autenticación fuerte (MFA) son iguales, ya que las tecnologías utilizadas suelen ser muy diferentes. Hay varios criterios a tener en cuenta a la hora de evaluar la seguridad y la experiencia del usuario que prometen las diferentes soluciones.

Mientras que algunas soluciones de autenticación que dicen ser "multifactor" son en realidad sólo herramientas "+1FA" que añaden un único factor adicional a una contraseña existente, hay MFA nativamente de 2 factores y sin contraseña.

InWebo

Ver noticia en el blog de InWebo

CEFIROS - Blog #2FA