A dedicação da Keeper Security em proteger os dados dos usuários permeia tudo o que fazemos. O Keeper® possui as certificações SOC 2 e ISO 27001
O Single Sign On (SSO) ajuda as empresas a melhorarem sua postura de segurança enquanto simplificam a experiência de login dos funcionários. Implementar uma plataforma de SSO em toda a sua empresa é quase sempre uma boa ideia. No entanto, o SSO deixa falhas graves de segurança e funcionalidade que as organizações precisam estar cientes e resolver.
O SSO não cobre tudo. Muitos sites, aplicativos e sistemas não estão incluídos nas implantações de SSO, e cada um deles apresenta um risco à segurança cibernética. Além disso, o SSO fornece um único ponto de falha. Quando um usuário é bloqueado pelo SSO, ele não consegue acessar a maioria dos sites ou sistemas necessários para fazer seu trabalho.
As empresas ao integrarem um cofre de senhas seguro ao SSO podem eliminar essas falhas e melhorar a segurança. É por isso que o Keeper Security prioriza integrações com todos os principais provedores de SSO.
Em 2016, o Keeper recebeu duas patentes utilidade dos EUA (11.363.009 e 10.356.079) por sua nova abordagem à integração de SSO de conhecimento zero. As patentes da Keeper cobrem os protocolos de identidade SAML e OIDC. No entanto, o SAML oferece vários benefícios de uma perspectiva de segurança e usabilidade. É por isso que o Keeper SSO Connect utiliza o SAML para sua integração de SSO de conhecimento zero.
Qual é a diferença entre OIDC e SAML?
Embora o SAML e o OIDC sejam protocolos de identidade que autenticam os usuários, eles têm diferenças significativas em seus níveis de segurança.
- O SSO baseado em SAML é o padrão do setor para aplicativos empresariais, pois é muito mais maduro e tem um histórico comprovado de segurança.
- O OIDC é geralmente reservado para soluções que têm menos requisitos de segurança, ou há uma necessidade de implementar uma integração rapidamente.
Como o SAML fornece segurança superior
A solução totalmente gerenciada da Keeper permite que as empresas aproveitem as funcionalidades superiores de segurança e usabilidade do SAML.
Funcionalidades empresariais
O SAML é um padrão robusto que suporta uma variedade de funcionalidades empresariais que não estão disponíveis ou não estão tão bem desenvolvidas no OIDC. Por exemplo, o SAML suporta a funcionalidade de logout único (SLO) que pode encerrar sessões em vários aplicativos. O OIDC não tem controle de sessão do gerenciador de senhas e é geralmente mais adequado para aplicativos voltados para o consumidor, nos quais logins sociais são necessários.
Nenhum segredo do lado do cliente
Ao passo que o OIDC não exija um segredo do lado do cliente, o fluxo PKCE introduz um novo conceito de “verificador de código” e “desafio de código”. Esses são semelhantes aos segredos, mas são gerados dinamicamente para cada solicitação de autenticação.
No SAML, não há equivalente ao segredo do cliente, evitando esse fluxo de trabalho. Em vez disso, a confiança entre as partes é estabelecida pela troca de certificados, com chaves privadas mantidas seguras em cada servidor, criando uma transação mais segura.
Controle superior sobre as sessões do usuário
O SSO baseado em SAML opera passando informações através do navegador do usuário e permite que a aplicação gerencie sua própria sessão, proporcionando controle preciso sobre as sessões do usuário. Por outro lado, o OIDC pode levar a situações em que o usuário tem a falsa impressão de que foi desconectado do gerenciador de senhas, mas, na realidade, o provedor de identidade ainda tem uma sessão válida ativa. Isso pode deixar um cofre exposto a um ataque de máquina local com um único clique.
SSO com Keeper versus Concorrentes
O Keeper SSO Connect é um serviço SAML 2.0 que se integra à sua plataforma de SSO para fornecer gerenciamento de senhas e criptografia de conhecimento zero. Você tem, incluído no Keeper Enterprise, acesso a uma experiência completamente sem senha que funciona com todos os provedores de identidade. Com o Keeper, o SSO Connect Cloud oferece a melhor experiência sem atritos entre todas as soluções concorrentes.
O 1Password anunciou uma atualização para sua integração de SSO. A integração 1Password é desenvolvida com base no OIDC e, como tal, carece de várias áreas importantes.
O Bitwarden suporta SAML 2.0, no entanto, para todas as implantações em nuvem, os usuários do Bitwarden devem fazer login e lembrar de uma senha principal toda vez que fizerem login. Para implantações locais, eliminar a etapa da senha principal requer o uso de um serviço local chamado “Key Connector”, que mantém e hospeda todas as chaves de criptografia do usuário final. Esse serviço de “Key Connector” torna-se uma infraestrutura crítica que requer pessoal treinado e deve ser mantida pelo cliente.
Segurança
Por padrão, os usuários são desconectados do Keeper ao fechar seu navegador, reiniciar seu PC ou optar por sair no menu suspenso da extensão, exigindo que façam login novamente com seu provedor de SSO, autenticação multifator (MFA) ou senha principal para acessar o cofre novamente.
Com gerenciadores de senhas integrados no OIDC, quando o cofre bloqueia, você permanece potencialmente conectado ao provedor de identidade. Portanto, é necessário apenas um clique para acessar o cofre novamente, sem qualquer verificação adicional, o que significa que você não está realmente desconectado.
Recuperação
Adquirir um novo dispositivo deve ser algo empolgante. Com o Keeper, você desfruta de métodos automatizados e sem complicações usando notificações push para tornar sua experiência de configuração sem atritos, permitindo que você acesse o cofre em seu novo dispositivo imediatamente.
Outros gerenciadores de senhas exigem que você mantenha seu dispositivo antigo ou tenha um administrador para iniciar uma recuperação e, assim, permitir que você faça login e acesse seus registros, evitando o longo processo de tentar logins e enviar e-mails para o administrador.
Autenticação multifator
Quando habilitado, o Keeper exige aprovação de dispositivos e MFA antes de inserir sua senha principal para acessar seu cofre, aumentando a segurança e garantindo que suas credenciais sejam acessíveis somente por você. Ao implantar com SSO, o Keeper suporta a solicitação de MFA antes da descriptografia do cofre local. O Keeper suporta chaves de segurança FIDO2, DUO, TOTP e métodos de SMS. O Keeper é a única solução que suporta a verificação de SSO com políticas de acesso condicional, além da MFA local.
Competidores que permitem que você insira suas credenciais antes da MFA colocam suas credenciais em risco de serem atacadas por força bruta. Alguns concorrentes implementaram o CAPTCHA, mas esse método pode ser facilmente contornado por meio de Captcha Farms.
Métodos alternativos de autenticação e de violação
Se seu provedor de identidade de SSO tiver uma interrupção, o Keeper ainda te protegerá. Quando a biometria está sendo usada em um dispositivo (como Touch ID, Face ID ou Windows Hello), o usuário pode autenticar-se com segurança e rapidez em seu cofre, sem a necessidade de passar pelo provedor de identidade em cada solicitação. Além da autenticação padrão de SSO com SAML e biometria, o Keeper ainda suporta um método secundário de senha principal que pode ser ativado para os usuários, quando permitido pelo administrador. Todos esses fluxos de trabalho e métodos de autenticação são suportados por meio das políticas de aplicação baseadas em funções do Keeper.
Suporte de SCIM
O Keeper é uma plataforma baseada em nuvem totalmente gerenciada que oferece uma maneira rápida e fácil de provisionar seus usuários. O SCIM é um protocolo padrão para trocar identidades de usuários entre sistemas de TI. Com o suporte total do Keeper para o SCIM 2.0, qualquer fonte de identidade pode ser facilmente integrada ao fluxo de trabalho do Keeper. Não há necessidade de infraestrutura local complicada; toda a comunicação ocorre entre o provedor de identidade e a nuvem do Keeper.
Por outro lado, o 1Password exige que os clientes implantem um servidor na infraestrutura da empresa para provisionar os usuários com SSO.
Propriedade intelectual
O Keeper criou o roteiro para criptografia de conhecimento zero com provedores de nuvem de SSO e, em 2016, recebeu duas patentes por isso. A integração de SSO de conhecimento zero do Keeper está em produção há 8 anos e é a mais antiga entre os concorrentes.
O 1Password não tem patentes para sua integração de SSO. A integração com o 1Password foi lançada em 16 de março de 2023 e os usuários relataram que é muito mais difícil configurá-la.
A escolha é clara
O Keeper cria tudo com um foco principal: como tornar isso o mais seguro possível para os usuários e ainda garantir uma experiência simples e positiva?
O SAML fornece a base para a integração da plataforma do Keeper com o SSO e é a conexão mais segura disponível. A implementação do Keeper da integração SSO com o cofre é a solução mais integrada e segura disponível no mercado. O Keeper continuará a inovar para manter-se a melhor plataforma para proteger seus dados mais valiosos.