Mine sisu juurde

Ühekordne sisselogimine

Allikas: Vikipeedia

Ühekordne sisselogimine (ingl single sign-on, lühendatult SSO) on autentimise süsteem, mis võimaldab kasutajal sisse logida ühe ja sama identifikaatori ja parooliga mitmes seotud, kuid omaette seisvas tarkvarasüsteemis.

Tõeline ühekordne sisselogimine võimaldab kasutajal ühe korra sisse logida ja teenustele juurde pääseda ilma vajaduseta uuesti autentida.

Seda ei tohiks segi ajada kataloogi serveripõhise sisselogimisega (ingl same sign-on, samuti lühendatult SSO), mis üldjuhul saavutatakse LDAP-i ja serverites olevate LDAP-andmebaaside abil. Kataloogi serveripõhine sisselogimine nõuab igas rakenduses eraldi sisselogimist, kasutades sama sisselogimise informatsiooni kataloogi serverist, samas kui ühekordne sisselogimine võimaldab ühe sisselogimisega saada juurdepääsu mitmele rakendusele.[1][2]

Lihtsaim versioon ühekordsest sisselogimisest on saavutatud kasutades küpsiseid üle IP-võrkude, kuid ainult juhul kui saidid jagavad ühist DNS-i emadomeeni.[3]

Ühekordne väljalogimine (ingl single sign-off või single log-out, lühendatult SLO) on ühekordse sisselogimise vastand, mis tähendab ühest rakendusest välja logimisel samaaegselt juurdepääsu kaotamist teistes rakendustes.

Ühekordse sisselogimise eelised on näiteks:

  • Vähendab riski kolmandate osapoolte rakendustesse autentimisel, kuna kasutajate paroole nende poolt ei salvestata ega hallata.[4][5][6]
  • Vähendab vajadust erinevate kasutajanimede ja paroolide kombinatsioonide järele.[5]
  • Vähendab samale kasutajale juurdepääsu andmiseks paroolide mitmekordset sisestamist.[4][5][6]
  • Vähendab IT-kulusid, vähendades kõnede arvu kasutajatoele seoses paroolidega.[5][7][6]
  • Lihtsustab rahvusvahelistele ja eri riikide privaatsusregulatsioonidele vastamist.[5]
  • Lihtsustab kolmandatel osapooltel tarkvara kasutusele võtmist.[6]

SSO kriitikud on kasutanud terminit vähendatud sisselogimine (ingl reduced sign-on, lühendatult RSO) väljendamaks SSO ebapraktilisust erineva turvatasemetega teenustele juurdepääsu tagamisel, mistõttu võib jätkuvalt vaja minna rohkem kui ühte autentimisserverit.[8]

Kuna ühekordne sisselogimine võimaldab kohe teenustele laialdase juurdepääsu, suurendab see riski siis, kui kasutaja andmed satuvad valedesse kätesse. Seetõttu tuleks SSO-d ideaalis kombineerida tugevate autentimismeetoditega, näiteks kiipkaartide ja ühekordsete paroolidega.[8]

Ühekordne sisselogimine võib olla probleemne tõrgete puhul autentimissüsteemides või -serverites, mispuhul need võivad muutuda kättesaadamatuks. See võib põhjustada juurdepääsu puudumise kõikidele SSO-ga ühendatud süsteemidele. Kuigi SSO-d on võimalik üles seada tõrkekindlate võimalustega, mis aitavad süsteemide tööd tõrgete puhul säilitada, võib see muuta SSO mõnel juhul ebapraktiliseks.[9]

Kui ühekordseks sisselogimiseks kasutatakse suhtlusvõrgustikke (nt Facebook), võivad süsteemid või veebilehed olla kättesaadamatud raamatukogudes, koolides või töökohtades, kus need sotsiaalvõrgustikud on blokeeritud. Sarnaselt võib see olla probleemiks internetitsensuuriga riikides (nt Hiina), kus kolmanda osapoole pakutud veebileht ei pruugi olla blokeeritud, kuid sisselogimisteenus on, mistõttu muutub veebileht praktikas kasutaja jaoks siiski blokeerituks.[10][11]

2012. aasta märtsis tehtud uuring avastas 8 tõsist haavatavust mitmes laialdaselt kasutatud sisselogimisteenuses, nagu OpenID, Facebook ja Janrain.[12] Teenusepakkujaid teavitati vigadest ning haavatavused parandati.[13]

2020. aasta detsembris avastati USA föderaalsetes autentimissüsteemides vigu, mida ründajad ära kasutasid samal aastal valitsuse andmetega seotud rikkumise käigus.[14][15]

Kui SSO-d hõlmav seanss on kaaperdatud, saab ründaja juurdepääsu kõigile veebilehtedele, mis sama SSO süsteemi kasutavad. See võib juhtuda näiteks juhul kui mõnel veebilehel on XSS-i haavatavus.[16]

Kui ühekordne sisselogimine algselt Kerberose ja SAML-i baasil loodi, ei olnud võimalik valida millist isiklikku informatsiooni jagada iga lehega, mida kasutaja külastas. See polnud probleemiks juhul kui süsteem hõlmas vaid üht ettevõtet, nagu MIT, kust Kerberose tehnoloogia alguse sai. Samuti töötas see suurtes firmades, kus kõik ressursid olid firmasisesed veebilehed. Kui tehnoloogia hakkas rohkem levima, muutus see privaatsuse puudumine probleemseks. Privaatsusega seotud regulatsioonid nagu GDPR on muutnud vajalikuks uute tehnoloogiate kasutuselevõtu, mis kasutaja privaatsust paremini kaitsevad, nagu OpenID Connect. Ka näiteks MIT ja Kerberos toetavad mõlemad nüüdseks OpenID Connecti.[17]

Paljud SSO teenusepakkujad lubavad kasutajal keelduda jagamast mõnele veebilehele vajalikke andmeid, näiteks e-posti aadresse. Seetõttu on mõnel veebilehel raske SSO-d juurutada. iOS versioonist 13 alates pakub Apple koos SSO süsteemiga Sign in with Apple võimalust, mis lubab kasutajatel iga kord kasutada sisselogimisel unikaalset e-posti aadressi, mis vähendab võimalust kasutajate andmete väärtarvitamiseks.[18]

Levinud kasutuslahendused

[muuda | muuda lähteteksti]

Kerberosel põhinev

[muuda | muuda lähteteksti]

Kerberose puhul küsib esmane sisselogimine kasutajalt sisselogimise informatsiooni ja saab vastu Kerberose piletit tagava pileti (ingl ticket-granting ticket, lühendatult TGT). Täiendavat autentimist nõudvad rakendused, nagu meilikliendid, vikid ja versioonihaldussüsteemid, kasutavad piletit tagavat piletit tõestamaks kasutaja identiteeti meiliserverile / vikiserverile jne, ilma nõudmata kasutajalt oma sisselogimise informatsiooni uuesti sisestamist.

Kiipkaardipõhine

[muuda | muuda lähteteksti]

Esmane sisselogimine küsib kasutajalt kiipkaardi sisetamist. Kiipkaarti kasutavad ka täiendavad tarkvararakendused, ilma et kasutajal palutaks sisselogimise informatsiooni uuesti sisestada. Kiipkaardipõhine ühekordne sisselogimine võib kasutada kiipkaardile salvestatud sertifikaate või paroole.

Integrated Windows Authentication

[muuda | muuda lähteteksti]

Integrated Windows Authentication on termin, mis on seotud Microsofti toodetega ja viitab SPNEGO, Kerberose ja NTLMSSP autentimisprotokollidele, mis kasutavad Security Support Provider Interface (SSPI) funktsionaalsust. Seda terminit kasutatakse kõige sagedamini Microsoft Internet Information Servicesi ja Internet Exploreri vaheliste automaatselt autenditud ühenduste kirjeldamiseks. Platvormiülese Active Directory integratsiooni loojad on Integrated Windows Authenticationi paradigmat laiendanud Unixi (sh Maci) ja Linuxi süsteemidele.

Security Assertion Markup Language

[muuda | muuda lähteteksti]

Security Assertion Markup Language (SAML) on XML-il põhinev meetod kasutaja turvateabe vahendamiseks SAML-i identiteedipakkuja ja SAML-i teenusepakkuja vahel. SAML 2.0 toetab W3C XML-krüptimist ja teenusepakkuja poolt pakutavaid ühekordse sisselogimise võimalusi.[19]

Kasutajat, kes kasutab kasutajaagenti (tavaliselt veebibrauserit), nimetatakse SAML-il põhineval ühekordses sisselogimises subjektiks. Subjekt taotleb SAML-i teenusepakkuja poolt kaitstud veebiressurssi ning teenusepakkuja, kes soovib teada subjekti identiteeti, väljastab SAML-i identiteedipakkujale subjektina autentimispäringu. Identiteedipakkuja edastab teenusepakkujale subjekti sisselogimisinformatsiooni. Teenusepakkuja usaldab identiteedipakkujalt saadud informatsiooni ning annab juurdepääsu oma teenustele ja ressurssidele.

Mobiilseadmete kasutamine juurdepääsu tagamiseks

[muuda | muuda lähteteksti]

Kasutaja mobiilseadmeid saab kasutada, et nendega automaatselt sisse logida mitmesse süsteemi, kasutades varasemaid autentimismeetodeid, näiteks OpenID Connect ja SAML, koos X.509 sertifikaadiga, mida kasutatakse mobiilseadme tuvastamiseks juurdepääsuserveris.[20]

  1. "What's the Difference b/w SSO (Single Sign On) & LDAP?". JumpCloud (Inglise keeles). Vaadatud 13. jaanuaril 2022.{{netiviide}}: CS1 hooldus: tundmatu keel (link)
  2. "SSO and LDAP Authentication". Authenticationworld.com (Inglise keeles). Originaali arhiivikoopia seisuga 23. mai 2014. Vaadatud 13. jaanuaril 2022.{{netiviide}}: CS1 hooldus: robot: algse URL-i olek teadmata (link) CS1 hooldus: tundmatu keel (link)
  3. "OpenID versus Single-Sign-On Server". alleged.org.uk (Inglise keeles). Originaali arhiivikoopia seisuga 16. september 2014. Vaadatud 13. jaanuaril 2022.{{netiviide}}: CS1 hooldus: tundmatu keel (link)
  4. 4,0 4,1 "Single sign-on and federated authentication". kb.iu.edu (Inglise keeles). Vaadatud 13. jaanuaril 2022.{{netiviide}}: CS1 hooldus: tundmatu keel (link)
  5. 5,0 5,1 5,2 5,3 5,4 {{Netiviide|url=https://www.onelogin.com/learn/why-sso-important%7Cpealkiri=Why[alaline kõdulink] Is Single Sign-On (SSO) Important?|väljaanne=OneLogin|vaadatud=13. jaanuaril 2022|keel=Inglise keeles
  6. 6,0 6,1 6,2 6,3 "7 Benefits of Single Sign-On (SSO) and Why Your Business Needs It". loginradius.com (Inglise keeles). Originaali arhiivikoopia seisuga 13. jaanuar 2022. Vaadatud 13. jaanuaril 2022.{{netiviide}}: CS1 hooldus: tundmatu keel (link)
  7. "Benefits of SSO". University of Guelph (Inglise keeles). Originaali arhiivikoopia seisuga 4. märts 2016. Vaadatud 13. jaanuaril 2022.{{netiviide}}: CS1 hooldus: tundmatu keel (link)
  8. 8,0 8,1 "Single Sign On Authentication". Authenticationworld.com (Inglise keeles). Originaali arhiivikoopia seisuga 15. märts 2014. Vaadatud 13. jaanuaril 2022.{{netiviide}}: CS1 hooldus: robot: algse URL-i olek teadmata (link) CS1 hooldus: tundmatu keel (link)
  9. "Sun GlassFish Enterprise Server v2.1.1 High Availability Administration Guide". Oracle.com (Inglise keeles). Vaadatud 13. jaanuaril 2022.{{netiviide}}: CS1 hooldus: tundmatu keel (link)
  10. Lydia Laurenson (3. mai 2014). "The Censorship Effect". TechCrunch (Inglise keeles). Originaali arhiivikoopia seisuga 7. august 2020. Vaadatud 13. jaanuaril 2022.{{netiviide}}: CS1 hooldus: tundmatu keel (link)
  11. Ken Chester (12. august 2013). "Censorship, external authentication, and other social media lessons from China's Great Firewall". Tech in Asia (Inglise keeles). Originaali arhiivikoopia seisuga 26. märts 2014. Vaadatud 13. jaanuaril 2022.{{netiviide}}: CS1 hooldus: tundmatu keel (link)
  12. Rui Wang, Shuo Chen, XiaoFeng Wang (2012. aasta mai). "Signing Me onto Your Accounts through Facebook and Google: a Traffic-Guided Security Study of Commercially Deployed Single-Sign-On Web Services" (Inglise keeles). Vaadatud 13. jaanuaril 2022. {{netiviide}}: kontrolli kuupäeva väärtust: |aeg= (juhend)CS1 hooldus: mitu nime: autorite loend (link) CS1 hooldus: tundmatu keel (link)
  13. "OpenID: Vulnerability report, Data confusion". OpenID Foundation (Inglise keeles). 14. märts 2012. Originaali arhiivikoopia seisuga 5. september 2019. Vaadatud 13. jaanuaril 2022.{{netiviide}}: CS1 hooldus: tundmatu keel (link)
  14. "VMware Flaw a Vector in SolarWinds Breach? — Krebs on Security" (Inglise keeles). Vaadatud 13. jaanuaril 2022.{{netiviide}}: CS1 hooldus: tundmatu keel (link)
  15. Eduard Kovacs. "Group Behind SolarWinds Hack Bypassed MFA to Access Emails at US Think Tank". Security Week (Inglise keeles). Vaadatud 13. jaanuaril 2022.{{netiviide}}: CS1 hooldus: tundmatu keel (link)
  16. "What Is Session Hijacking?" (Inglise keeles). 22. august 2019. Vaadatud 13. jaanuaril 2022.{{netiviide}}: CS1 hooldus: tundmatu keel (link)
  17. "OpenID Connect Authorization". MIT IST (Inglise keeles). Originaali arhiivikoopia seisuga 15. jaanuar 2022. Vaadatud 13. jaanuaril 2022.{{netiviide}}: CS1 hooldus: tundmatu keel (link)
  18. Lauren Goode (15. juuni 2019). "App Makers Are Mixed on 'Sign In With Apple'". Wired (Inglise keeles). Vaadatud 13. jaanuaril 2022.{{netiviide}}: CS1 hooldus: tundmatu keel (link)
  19. Armando, Alessandro; Carbone, Roberto; Compagna, Luca; Cuéllar, Jorge; Pellegrino, Giancarlo; Sorniotti, Alessandro (1. märts 2013). "An authentication flaw in browser-based Single Sign-On protocols: Impact and remediations". Computers & Security (inglise). 33: 41–58. DOI:10.1016/j.cose.2012.08.007.
  20. "MicroStrategy's office of the future includes mobile identity and cybersecurity". Washington Post (Inglise keeles). 14. aprill 2014. Vaadatud 13. jaanuaril 2022.{{netiviide}}: CS1 hooldus: tundmatu keel (link)