Hur SSO höjer säkerheten

Mattias Sjödin Informationssäkerhet, IT-Säkerhet

Faktum är att SingleSignOn kan höja säkerhetsnivån om det används på rätt sätt. Varför?

SSO är en teknik för att låta en användare komma åt många olika typer av resurser med en enda inloggning. Från och till hör jag sägas att det är säkrare att ha olika logins till olika tjänster, på så sätt ska inte en tjänst påverkas om en annan utsätts för attack.

Trots invändningen mot SSO påstår jag att det är säkrare att använda SSO. Detta framför allt för att man som administratör bara behöver ha hård kontroll på ett ställe. I en användares perspektiv är SSO inget nytt – dels har det fungerat så i alla tider inom t. ex. ett Active Directory, och om inte annat har det fungerat (typ) så i praktiken då användare tenderat att använda samma inloggningsuppgifter på flera ställen. Och det behöver väl knappast någon större argumentation kring hur stora risker det innebär.

Stark autentisering i kombination med MFA

När SSO kombineras med MFA minskas riskerna avsevärt ur flera perspektiv. Det finns få saker som en användare kan ruttna ur fullständigt på som att tvingas slå in engångskoder dagarna i ända för alla möjliga tjänster. Med SSO och MFA kan administratören sätta en säkerhetsnivå för grundidentiteten – exempelvis kan MFA krävas i samband med dagens första inloggning, samt om användarkontot varit inaktivt i ett par timmar.

Använd policys

I samband med uppsättning av SSO är det klokt att sätta upp policys för användande – exempelvis policy för lösenord (om det nödvändigtvis måste användas), men också policys som tillåter en enhet att ansluta till resurser beroende på om enheten t. e.x är under organisationens fulla kontroll, har aktivt virusskydd, har krypterad lagring, inte mixtrats med osv.

Minimera behovet av lösenord

Allra helst bör förstås lösenord avvecklas fullständigt. Idag är det i de flesta fall fullt möjligt att helt ta bort behovet, men i annat fall ger åtminstone SSO möjligheten att minimera antalet lösenord till ett enda. Man kan tänka sig att det är större risk eftersom det då bara krävs tillgång till ett enda lösenord, men faktum är att historiskt kommer lösenord på avvägar då användare använder exakt samma användarnamn och lösenord till alla möjliga interna tjänster såväl som molntjänster. En enda illvillig molntjänst är allt som krävs för att en angripare ska få tillgång till inloggningsuppgifterna. Med SSO korrekt uppsatt skriver användaren bara in sitt lösenord mot en enda säker samlingstjänst.

Mattias Sjödin

Jag arbetar till vardags som CISO inom finansvärlden med bakgrund både som CISO inom IT-branchen och som konsult inom informations- och cybersäkerhet, med bevisad kompetens och erfarenhet i ryggen genom bland annat CISA- och CISSP-certifieringar. Privat grottar jag gärna ner mig i hemautomation och allt som hör till. Jag kör Home Assistant (supervised), och blandar friskt mellan enheter som kör Zigbee, Z-Wave, 433MHz och Wi-Fi. Att leka med microcontrollers som kör ESPhome och Tasmota är hur kul som helst.