La dedicación de Keeper Security a la protección de los datos de los usuarios está presente en todo lo que hacemos. Keeper® posee las certificaciones SOC
El inicio de sesión único (SSO) ayuda a las organizaciones a mejorar su postura de seguridad al tiempo que optimiza la experiencia de inicio de sesión de los empleados. Implementar una plataforma SSO en toda su organización es casi siempre una buena idea. Sin embargo, el SSO deja importantes brechas de seguridad y funcionalidad que las organizaciones deben conocer y abordar.
El SSO no se ocupa de todo. Muchos sitios web, aplicaciones y sistemas no están incluidos en las implementaciones de SSO, y cada uno de ellos presenta un riesgo de seguridad cibernética. Además, el SSO proporciona un único punto de fallo. Cuando un usuario se queda sin acceso al SSO, tampoco puede acceder a la mayoría de sitios web o sistemas que necesita para realizar su trabajo.
Mediante la integración de una bóveda de contraseñas segura con el SSO, las organizaciones pueden eliminar estas lagunas y mejorar la seguridad. Es por eso que Keeper Security prioriza las integraciones con todos los proveedores líderes de SSO.
En 2016, Keeper obtuvo dos patentes de servicios públicos estadounidenses (11 363 009 y 10 356 079) por su novedoso planteamiento para la integración de SSO de conocimiento cero. Las patentes de Keeper abarcan tanto los protocolos de identificación SAML como los OIDC. Sin embargo, SAML ofrece varios beneficios desde una perspectiva de seguridad y usabilidad. Con este fin, Keeper SSO Connect aprovecha SAML para su integración de SSO de conocimiento cero.
¿Cuál es la diferencia entre OIDC y SAML?
Si bien SAML y OIDC son ambos protocolos de identificación que autentican a los usuarios, tienen diferencias significativas en sus niveles de seguridad.
- El SSO basado en SAML es el estándar de la industria para aplicaciones empresariales, ya que es mucho más maduro y tiene un historial probado de seguridad.
- OIDC suele estar reservado para las soluciones con menos requisitos de seguridad o que necesitan una integración rápida.
Cómo SAML proporciona una mayor seguridad
La solución totalmente administrada de Keeper permite a las organizaciones aprovechar las características superiores de seguridad y usabilidad de SAML.
Características empresariales
SAML es un estándar sólido que admite una amplia variedad de características empresariales que no están disponibles o que no están tan bien desarrolladas en OIDC. Por ejemplo, SAML admite la funcionalidad de cierre de sesión único (SLO) que puede finalizar sesiones en varias aplicaciones. OIDC carece del control de sesión del gestor de contraseñas y suele ser más adecuado para aplicaciones orientadas al consumidor que requieren de inicios de sesión para redes sociales.
Sin secretos del lado del cliente
Aunque OIDC no requiere un secreto del lado del cliente, el flujo PKCE introduce un nuevo concepto de “verificador de código” y “desafío de código”. Estos se parecen a los secretos, pero se generan dinámicamente para cada solicitud de autenticación.
En SAML, no hay equivalencias con el secreto del cliente, lo que evita este flujo de trabajo. En su lugar, la confianza entre las partes se establece mediante el intercambio de certificados, con claves privadas que se almacenan de forma segura en cada servidor, lo que permite transacciones más seguras.
Control superior sobre las sesiones de usuario
SAML SSO funciona pasando información a través del navegador del usuario y permite a la aplicación administrar su propia sesión, lo que proporciona un control preciso sobre las sesiones de usuario. OIDC, por su parte, puede provocar situaciones en las que el usuario tenga la falsa impresión de que ha cerrado la sesión del gestor de contraseñas, pero, en realidad, el proveedor de identificación todavía tenga una sesión válida activa. Esto podría dejar expuesta una bóveda al ataque de una máquina local con un solo clic.
SSO con Keeper frente a la competencia
Keeper SSO Connect es un servicio SAML 2.0 que se integra con su plataforma SSO para proporcionar gestión y cifrado de contraseñas de conocimiento cero. Incluido con Keeper Enterprise, le ofrece acceso a una experiencia totalmente sin contraseñas que funciona con todos los proveedores de identificación. Con Keeper, SSO Connect Cloud ofrece la mejor experiencia sin complicaciones del sector.
1Password anunció una actualización de su integración de SSO. La integración de 1Password se basa en OIDC y, como tal, se queda corta en varias áreas clave.
Bitwarden admite SAML 2.0, sin embargo, para todas las implementaciones en la nube, los usuarios de Bitwarden deben iniciar sesión y recordar una contraseña maestra cada vez que inician sesión. En el caso de las implementaciones locales, la eliminación del paso de contraseña maestra requiere el uso de un servicio de «Conector de claves» local que mantenga y aloje todas las claves de cifrado del usuario final. Este servicio de Conector de claves se convierte en una infraestructura crítica que requiere personal capacitado y debe ser mantenida por el cliente.
Seguridad
De forma predeterminada, los usuarios cierran la sesión de Keeper cuando cierran su navegador, reinician su computadora o deciden cerrar la sesión desde su menú desplegable de extensiones, lo que les obliga a iniciar sesión nuevamente con su proveedor de SSO, la autenticación multifactor (MFA) o su contraseña maestra para acceder nuevamente a la bóveda.
Con los gestores de contraseñas basados en OIDC, cuando la bóveda se bloquea, todavía sigue potencialmente conectado al proveedor de identificación. Por lo tanto, solo se requiere un clic para acceder nuevamente a la bóveda, sin ninguna verificación adicional, lo que significa que no está desconectado realmente.
Recuperación
Obtener un nuevo dispositivo debería ser algo emocionante. Con Keeper, disfrutará de métodos automatizados y sin interrupciones que utilizan notificaciones push para hacer que su experiencia de configuración sea fluida, permitiéndole acceder a la bóveda en su nuevo dispositivo de forma inmediata.
Otros gestores de contraseñas necesitan que conserve su dispositivo antiguo o que un administrador inicie la recuperación para permitirle iniciar sesión y acceder a sus registros, evitando el largo proceso de intentos de inicios de sesión e intercambio correos electrónicos con el administrador.
Autenticación multifactor
Cuando está habilitado, Keeper requiere la aprobación del dispositivo y la MFA antes de ingresar su contraseña maestra para acceder a su bóveda, lo que aumenta la seguridad y garantiza que solo usted pueda acceder a sus credenciales. Al implementarse con SSO, Keeper también admite la solicitud de MFA antes del descifrado de la bóveda local. Keeper admite claves de seguridad FIDO2 y métodos DUO, TOTP y SMS. Keeper es la única solución que admite tanto la verificación de SSO con políticas de acceso condicional, como la MFA local.
Los competidores que le permiten ingresar sus credenciales antes de la MFA ponen sus credenciales en riesgo de ser atacadas por fuerza bruta. Algunos competidores han implementado CAPTCHA, pero esto puede ser fácilmente eludido a través de Granjas de captchas.
Romper el vidrio y otros métodos de autenticación alternativos
Si su proveedor de identificación de SSO sufre una interrupción del servicio, Keeper sigue teniéndolo cubierto. Cuando se utilizan datos biométricos en un dispositivo (como Touch ID, Face ID o Windows Hello), el usuario puede autenticarse de forma segura y rápida en su bóveda sin la necesidad de pasar por el proveedor de identificación en cada solicitud. Además de la autenticación y la biometría SAML SSO estándar, Keeper también admite un método secundario de contraseña maestra que puede activarse para los usuarios con el permiso del administrador. Todos estos flujos de trabajo y métodos de autenticación se admiten a través de las políticas de cumplimiento basadas en roles de Keeper.
Soporte SCIM
Keeper es una plataforma basada en la nube totalmente gestionada que le brinda una forma rápida y fácil de aprovisionar usuarios. SCIM es un protocolo estándar para el intercambio de identidades de usuario entre sistemas de TI. Con el soporte completo de Keeper para SCIM 2.0, cualquier fuente de identidad se puede integrar fácilmente en el flujo de trabajo de Keeper. No se necesita ninguna infraestructura local complicada, porque toda la comunicación se produce entre el proveedor de identidad y la nube de Keeper.
Por otro lado, 1Password requiere que los clientes implementen un servidor dentro de la infraestructura de la empresa para aprovisionar a los usuarios con SSO.
Propiedad intelectual
Keeper fue la empresa que ideó el reglamento para el cifrado de conocimiento cero con proveedores de nube SSO, y en 2016 se le concedieron dos patentes por ello. La integración de SSO de conocimiento cero de Keeper lleva 8 años en producción, mucho más tiempo que cualquier otro competidor.
1Password no tiene ninguna patente para su integración de SSO. La integración de 1Password se lanzó el 16 de marzo de 2023 y los usuarios aseguran que es mucho más difícil de configurar.
La elección es clara
Todo lo que hace Keeper se basa en un único objetivo: ¿cómo puede ser lo más seguro posible para los usuarios y al mismo tiempo garantizar una experiencia de usuario simple y positiva?
SAML proporciona la base para la integración de la plataforma de Keeper con SSO y se trata de la conexión más segura disponible. La implementación de la integración de SSO con la bóveda de Keeper es la solución más transparente y segura disponible en el mercado. Keeper continuará innovando y asegurándose de que siga siendo la mejor plataforma para proteger sus datos más valiosos.