Single Sign On (SSO) pada awalnya diperkenalkan sebagai alat untuk kenyamanan user dan keamanan yang sudah ditingkatkan.
Ide ini adalah daripada mengharuskan user untuk mengingat banyak kata sandi yang rumit/unik dan mengubahnya secara berkala, user dapat masuk satu kali dan mengakses semua sumber daya mereka melalui satu set kredensial.
Karena pengguna hanya diminta untuk mengingat satu kata sandi, sebuah perusahaan memerlukan kata sandi unik tambahan untuk meningkatkan keamanan kata sandi secara keseluruhan.
Resiko Keamanan SSO
Pada akhirnya, SSO menjadi pedang bermata dua, meskipun penggunaan SSO memang mengakibatkan beberapa perusahaan mengadopsi kebijakan sandi yang lebih kuat, hal itu juga menimbulkan risiko keamanan tambahan.
Penyerang yang mendapatkan akses ke kata sandi utama pengguna, juga mendapatkan akses ke semua sumber daya yang diaktifkan SSO pengguna tersebut.
Ini termasuk aplikasi pengguna dan data yang terkait dengan aplikasi tersebut.
Dalam beberapa hal, SSO sepenuhnya merusak praktik terbaik keamanan yang sudah mapan.
Pengguna telah lama tidak disarankan untuk menggunakan kata sandi yang sama di beberapa situs.
Karena alasan sederhana bahwa jika kredensial pengguna dicuri, maka penjahat dunia maya dapat menggunakan kredensial tersebut untuk mendapatkan akses ke sumber daya mana pun yang digunakannya.
Meskipun benar bahwa SSO tidak melakukan apa pun untuk meningkatkan risiko serangan kredensial, hasil akhirnya pada dasarnya sama.
Walaupun mudah untuk menganggap skenario seperti itu sebagai teori, penting untuk diingat bahwa serangan injeksi SAML ditemukan tahun lalu yang akan memungkinkan penyerang untuk mengeksploitasi kelemahan di SSO dan mendapatkan akses ke akun user.
Membuat SSO Lebih Aman
Ada beberapa hal yang dapat dilakukan perusahaaan untuk membuat implementasi SSO lebih aman.
Pertama, sangat penting untuk mematuhi prinsip zero trust dan menggunakan Least User Access.
Least User Access adalah praktik yang memastikan bahwa user tidak memiliki akses ke sumber daya mana pun yang tidak secara khusus diperlukan agar mereka dapat melakukan pekerjaan mereka.
Membatasi izin user dengan cara ini dapat membantu mengurangi jumlah kerusakan yang dapat terjadi, jika kredensial pengguna disusupi.
Langkah lain yang sangat penting dalam membuat SSO lebih aman adalah mewajibkan penggunaan multifactor authentication.
Multifactor authentication membantu mencegah penyerang agar tidak dapat masuk dengan menggunakan serangkaian kredensial yang dicuri.
Setelah memasukkan nama pengguna dan kata sandi, penyerang diharuskan untuk membuktikan identitas mereka melalui sarana otentikasi sekunder.
Multifactor authentication dapat diimplementasikan dalam berbagai cara, tetapi satu contoh umum melibatkan pengiriman kode numerik ke smartphone user.
User tidak dapat menyelesaikan proses otentikasi sampai mereka memasukkan kode ini.
Gagasan di balik penggunaan teknik ini adalah bahwa penyerang yang telah mencuri kredensial pengguna tidak mungkin juga memiliki smartphone user.
Hal lain yang dapat kita lakukan untuk membuat SSO lebih aman adalah memastikan bahwa proses autentikasi awal dikendalikan oleh penyedia identitas yang kuat.
Idealnya ini berarti mengharuskan pengguna untuk mengautentikasi terhadap Microsoft Active Directory.
Active Directory memungkinkan perusahaan untuk membuat kebijakan kata sandi yang kuat berdasarkan persyaratan keamanannya sendiri.
Kata sandi adalah salah satu target paling umum bagi penyerang.
Oleh karena itu, Bitdefender mewajibkan two-factor authentication untuk masuk ke console GravityZone dan membuat akun kita lebih aman.
Dengan kita menggunakan Bitdefender two-factor authentication kita bisa mencegah risiko kompromi akun, bahkan jika kata sandi dicuri atau diretas.
Recent Comments