單一登入
用戶使用單一登入(Single Sign-On, SSO)技術,只要跟認證伺服器辨識身份一次,便可以接達多個應用程式,包括內部和對外系統。用戶可享受選擇單一密碼以接達多個應用程式的好處,而毋須緊記不同的密碼。然而,如果認證部份被入侵,則表示用戶有接達權的所有資源均有機會被破壞。
實施 SSO 時要注意的保安考慮事項如下:
1.
由於單一認證控制用戶接達所有資源的權利,所以認證過程必須有足夠的安全措施去保護這些資源,以及滿足大部份重要應用程式的要求。應用程式的單一認證過程必須比原本的認證方法更嚴格,否則結果只會是保安程度下降。
2.
應加入第二重認證,例如保安權標和智能咭,以強化認證過程。
3.
應實施有關的密碼限制,例如最短密碼長度、密碼複雜程度、最多嘗試登入次數和更新密碼最短時間等。
4.
認證伺服器可能成為攻擊目標,因此應加強保護,令入侵者不能接達認證資料,否則當入侵者得到認證資料便可以未經授權接達所有系統。
5.
應使用審計及記錄功能以偵測和追踪可疑的登入失敗嘗試。
6.
應採用加密方法以保護在網絡上傳輸的認證憑證。
