L'impegno di Keeper Security per la protezione dei dati degli utenti permea tutto ciò che facciamo. Keeper detiene le più lunghe certificazioni SOC 2 e ISO
Il Single Sign On (SSO) aiuta le organizzazioni a migliorare lo stato della loro sicurezza ottimizzando al contempo l’esperienza di accesso dei dipendenti. Implementare una piattaforma SSO nella tua organizzazione è quasi sempre una buona idea. Tuttavia, l’SSO presenta notevoli lacune in fatto di sicurezza e funzionalità di cui le organizzazioni devono essere a conoscenza e devono risolvere.
L’SSO non copre ogni cosa. Molti siti web, applicazioni e sistemi non sono inclusi nelle implementazioni SSO e ciascuno di questi presenta un rischio per la sicurezza informatica. Inoltre, l’autenticazione SSO fornisce un singolo punto di vulnerabilità. Se un utente viene escluso dall’SSO, non è in grado di accedere alla maggior parte dei siti web o dei sistemi necessari per svolgere il proprio lavoro.
Integrando una cassaforte password sicura con l’SSO, le organizzazioni possono eliminare queste lacune e migliorare la sicurezza. Ecco perché Keeper Security dà la priorità alle integrazioni con tutti i principali provider SSO.
Nel 2016 Keeper ha ottenuto due brevetti negli Stati Uniti (11.363.009 e 10.356.079) per il suo nuovo approccio all’integrazione SSO zero-knowledge. I brevetti di Keeper coprono sia i protocolli di identità SAML che OIDC. Tuttavia, il SAML offre diversi vantaggi dal punto di vista della sicurezza e dell’usabilità. Ecco perché Keeper SSO Connect sfrutta il SAML per la sua integrazione SSO zero-knowledge.
Qual è la differenza tra OIDC e SAML?
Sebbene il SAML e l’OIDC siano entrambi protocolli di identità per l’autenticazione degli utenti, presentano notevoli differenze nei livelli di sicurezza.
- L’SSO basato su SAML è lo standard del settore per le applicazioni aziendali, poiché è molto più maturo e ha una storia comprovata in fatto di sicurezza.
- L’OIDC è generalmente riservato a soluzioni che hanno meno requisiti di sicurezza o quando c’è la necessità di accelerare l’integrazione.
Come il SAML offre una maggiore sicurezza
La soluzione completamente gestita di Keeper consente alle organizzazioni di sfruttare le funzionalità di sicurezza e usabilità di livello superiore offerte dal SAML.
Funzionalità aziendali
Il SAML è uno standard solido che supporta un’ampia varietà di funzionalità aziendali che non sono disponibili o non sono adeguatamente sviluppate nell’OIDC. Ad esempio, il SAML supporta la funzionalità Single Logout (SLO) che consente di terminare le sessioni su più applicazioni. L’OIDC non ha il controllo della sessione del password manager ed è in genere più adatto ad applicazioni rivolte ai consumatori in cui non è necessario effettuare il login ai social network.
Nessun segreto lato client
Sebbene l’OIDC non richieda un segreto sul lato client, il flusso PKCE introduce un nuovo concetto di “code verifier” e “code challenge”. Questi sono simili ai segreti ma vengono generati dinamicamente per ogni richiesta di autenticazione.
Nel SAML non c’è equivalente al segreto del client, evitando così tale flusso di lavoro. Invece, la fiducia tra le parti viene stabilita mediante lo scambio di certificati, con chiavi private mantenute al sicuro su ciascun server, creando in questo modo una transazione più sicura.
Maggiore controllo sulle sessioni utente
L’SSO SAML opera inoltrando informazioni attraverso il browser dell’utente e consente all’applicazione di gestire la propria sessione, fornendo un controllo preciso sulle sessioni dell’utente. Al contrario, l’OIDC può portare a situazioni in cui l’utente ha la falsa impressione di essersi disconnesso dal password manager, ma in realtà c’è ancora una sessione valida attiva per il provider dell’identità. Ciò potrebbe lasciare una cassaforte esposta a un attacco alla macchina locale con un solo clic.
SSO Keeper e concorrenza a confronto
Keeper SSO Connect è un servizio SAML 2.0 che si integra con la tua piattaforma SSO per fornire la gestione delle password zero-knowledge e la crittografia. Incluso in Keeper Enterprise, ti consente di accedere a un’esperienza completamente senza password che funziona con tutti i provider di identità. Con Keeper, SSO Connect Cloud offre la migliore esperienza tra tutte le soluzioni della concorrenza.
1Password ha annunciato un aggiornamento della sua integrazione SSO. L’integrazione di 1Password è basata sull’OIDC e, come tale, è carente in diverse aree chiave.
Bitwarden supporta il SAML 2.0. Tuttavia, per tutte le implementazioni cloud, gli utenti di Bitwarden devono accedere e ricordare una password principale ogni volta che effettuano l’accesso. Per le implementazioni on-premise, l’eliminazione del passaggio della password principale richiede l’uso di un servizio “Key Connector” on-premise che mantiene e ospita tutte le chiavi di crittografia dell’utente finale. Questo servizio Key Connector risulta in un’infrastruttura critica che richiede del personale addestrato e deve essere mantenuta dal cliente.
Sicurezza
Per impostazione predefinita, gli utenti vengono disconnessi da Keeper quando chiudono il browser, riavviano il computer o scelgono di disconnettersi mediante il menu a discesa dell’estensione. Pertanto, devono effettuare di nuovo il login mediante il provider SSO, l’autenticazione a più fattori (MFA) o la password principale per accedere di nuovo alla cassaforte.
Con i password manager basati su OIDC, se la cassaforte viene bloccata, l’utente potrebbe essere potenzialmente connesso al provider dell’identità. Ciò significa che è necessario un solo clic per accedere di nuovo alla cassaforte, senza alcuna verifica aggiuntiva, il che vuol dire che l’utente non è veramente disconnesso.
Recupero
Ricevere un nuovo dispositivo dovrebbe essere una cosa entusiasmante. Con Keeper, potrai avere metodi automatizzati che utilizzano le notifiche push per rendere la tua esperienza di configurazione fluida, consentendoti di accedere immediatamente alla cassaforte del tuo nuovo dispositivo.
Negli altri password manager, devi conservare il tuo vecchio dispositivo, o avviare il recupero mediante un amministratore, per poter accedere ai tuoi documenti ed evitare la lunga procedura di prova dei login e lo scambio di e-mail con l’amministratore.
Autenticazione a più fattori
Se abilitato, Keeper richiederà l’approvazione del dispositivo e l’MFA prima di inserire la tua password principale al fine di accedere alla cassaforte, risultando in una maggiore sicurezza e facendo sì che le tue credenziali siano accessibili solo a te. Una volta implementato l’SSO, Keeper supporta anche la richiesta dell’MFA prima della decrittografia della cassaforte locale. Keeper supporta le chiavi di sicurezza FIDO2, i metodi DUO, TOTP e SMS. Keeper è l’unica soluzione che supporta sia le verifiche SSO che le politiche di accesso condizionali, oltre all’MFA locale.
Le soluzioni della concorrenza che ti consentono di inserire le credenziali prima dell’MFA mettono le tue credenziali a rischio di un attacco di forza bruta. Alcune aziende concorrenti hanno implementato il CAPTCHA, ma questo può essere facilmente circoscritto attraverso le Captcha Farms.
Account di accesso di emergenza e altri metodi di autenticazione
Con Keeper non devi preoccuparti se il tuo provider di identità SSO viene interrotto. Se la biometria viene utilizzata su un dispositivo (come Touch ID, Face ID o Windows Hello), l’utente può autenticarsi in maniera rapida e sicura nella propria cassaforte senza la necessità di indirizzare il provider dell’identità a ogni richiesta. Oltre all’autenticazione SSO SAML standard e alla biometria, Keeper supporta anche un metodo di password principale secondaria che può essere attivato per gli utenti dietro autorizzazione dell’amministratore. Tutti questi flussi di lavoro e metodi di autenticazione sono supportati dalle politiche di applicazione basate su ruoli di Keeper.
Supporto SCIM
Keeper è una piattaforma basata sul cloud completamente gestita, offrendoti un modo semplice e veloce per effettuare il provisioning degli utenti. Lo SCIM è un protocollo standard per lo scambio di identità degli utenti tra sistemi IT. Supportando completamente lo SCIM 2.0, qualsiasi fonte di identità può essere facilmente integrata nel flusso di lavoro di Keeper. Non è necessaria nessuna infrastruttura on-premise complicata, perché la comunicazione avviene interamente tra il provider dell’identità e il cloud Keeper.
Al contrario, con 1Password i clienti devono implementare un server all’interno dell’infrastruttura aziendale per fornire agli utenti l’SSO.
Proprietà intellettuale
Keeper ha realizzato la strategia per la crittografia zero-knowledge con i provider cloud SSO e nel 2016 ha ottenuto due brevetti. L’integrazione SSO zero-knowledge di Keeper è in produzione da 8 anni, molto più a lungo di qualsiasi concorrente.
1Password non possiede alcun brevetto per la sua integrazione SSO. L’integrazione di 1Password è stata lanciata il 16 marzo 2023 e, come riferito dagli utenti, è molto più difficile da configurare.
La scelta è facile
Keeper fa tutto ciò con un unico obiettivo principale: come garantire la massima sicurezza agli utenti e allo stesso tempo un’esperienza utente semplice e valida?
Il SAML offre le basi per l’integrazione della piattaforma Keeper con l’SSO e rappresenta la connessione più sicura disponibile. L’implementazione dell’integrazione SSO con la cassaforte di Keeper è la soluzione più fluida e sicura disponibile sul mercato. Keeper proseguirà nel suo lavoro di innovazione e farà sì che rimanga la migliore piattaforma per la protezione dei tuoi dati più preziosi.