单一登入
用户使用单一登入(Single Sign-On, SSO)技术,只要跟认证伺服器辨识身份一次,便可以接达多个应用程式,包括内部和对外系统。用户可享受选择单一密码以接达多个应用程式的好处,而毋须紧记不同的密码。然而,如果认证部份被入侵,则表示用户有接达权的所有资源均有机会被破坏。
实施 SSO 时要注意的保安考虑事项如下:
1.
由于单一认证控制用户接达所有资源的权利,所以认证过程必须有足够的安全措施去保护这些资源,以及满足大部份重要应用程式的要求。应用程式的单一认证过程必须比原本的认证方法更严格,否则结果只会是保安程度下降。
2.
应加入第二重认证,例如保安权标和智能咭,以强化认证过程。
3.
应实施有关的密码限制,例如最短密码长度、密码复杂程度、最多尝试登入次数和更新密码最短时间等。
4.
认证伺服器可能成为攻击目标,因此应加强保护,令入侵者不能接达认证资料,否则当入侵者得到认证资料便可以未经授权接达所有系统。
5.
应使用审计及记录功能以侦测和追踪可疑的登入失败尝试。
6.
应采用加密方法以保护在网络上传输的认证凭证。
