Стремление Keeper Security защищать данные пользователей влияет на все, что мы делаем. Keeper имеет самую давнюю в отрасли сертификацию SOC 2 и ISO 27001. Keeper соответствует...
Единый вход (SSO) помогает организациям повысить уровень безопасности и одновременно упростить вход сотрудников в систему. Внедрение платформы единого входа в вашей организации почти всегда является правильным решением. Однако при использовании единого входа остаются существенные пробелы в безопасности и функциональности, которые необходимо знать и устранять.
Единый вход не охватывает все аспекты. Многие веб-сайты, приложения и системы не включены в развертывание единого входа, и все они представляют угрозу для кибербезопасности. Кроме того, единый вход создает единую точку отказа. Когда пользователь не имеет доступ к единому входу, он не может получить доступ и к большинству веб-сайтов или систем, необходимых для выполнения его работы.
Интегрируя безопасное хранилище паролей с единым входом, организации могут устранить эти пробелы и повысить уровень безопасности. Вот почему Keeper Security уделяет приоритетное внимание интеграции со всеми ведущими поставщиками единого входа.
В 2016 году компания Keeper получила два патента США на изобретения (11,363,009 и 10,356,079) за новый подход к интеграции единого входа с нулевым разглашением. Патенты Keeper охватывают протоколы идентификации SAML и OIDC. Однако с точки зрения безопасности и удобства использования у SAML больше преимуществ. Вот почему Keeper SSO Connect для интеграции единого входа с нулевым разглашением использует SAML.
В чем разница между OIDC и SAML?
Хотя SAML и OIDC — это протоколы идентификации, которые аутентифицируют пользователей, они имеют значительные различия в уровнях безопасности.
- Единый вход на основе SAML — это отраслевой стандарт для корпоративных приложений, поскольку он является гораздо более зрелым и имеет проверенный опыт безопасности.
- OIDC, как правило, предназначен для решений, которые предъявляют меньше требований к безопасности, или же когда необходимо ускорить интеграцию.
Как SAML обеспечивает превосходную безопасность
Полностью управляемое решение Keeper позволяет организациям воспользоваться преимуществами безопасности и удобства использования SAML.
Функции для корпоративных клиентов
SAML — это надежный стандарт, поддерживающий широкий спектр корпоративных функций, которые недоступны или не так хорошо развиты в OIDC. Например, SAML поддерживает функцию единого выхода из системы (SLO), которая может завершать сеансы в нескольких приложениях. В OIDC отсутствует контроль сеанса менеджера паролей, поэтому он обычно больше подходит для потребительских приложений, где требуется вход через социальные сети.
Отсутствие секретов на стороне клиента
Хотя OIDC не требует секрета на стороне клиента, процесс PKCE вводит новую концепцию «code verifier» и «code challenge». Они похожи на секреты, но динамически генерируются для каждого запроса аутентификации.
В SAML нет эквивалента секрету клиента, что позволяет избежать этот рабочий процесс. Вместо этого доверие между сторонами устанавливается путем обмена сертификатами, а закрытые ключи хранятся в безопасности на каждом сервере, что создает более безопасную транзакцию.
Улучшенный контроль над сеансами пользователей
Единый вход SAML работает путем передачи информации через браузер пользователя и позволяет приложению управлять своим сеансом, обеспечивая точный контроль над сеансами пользователей. OIDC, с другой стороны, может привести к ситуациям, когда у пользователя создается ложное впечатление, что он вышел из менеджера паролей, но на самом деле у поставщика сертификатов по-прежнему есть действующий сеанс. Это может сделать хранилище уязвимым для атаки на локальную машину одним щелчком мыши.
Единый вход с Keeper в сравнении с конкурентами
Keeper SSO Connect — это сервис SAML 2.0, который интегрируется с вашей платформой единого входа для обеспечения управления паролями с нулевым разглашением и шифрования. В комплекте с Keeper Enterprise у вас будет доступ полностью без пароля, который работает со всеми поставщиками сертификатов. С Keeper, SSO Connect Cloud предлагает оптимальную беспроблемную работу среди всех конкурентов.
В 1Password объявили об обновлении интеграции единого входа. Интеграция 1Password построена на базе OIDC, и, как таковая, лишена нескольких ключевых составляющих.
Bitwarden поддерживает SAML 2.0, однако для всех облачных развертываний пользователи Bitwarden должны входить в систему и каждый раз вспоминать мастер-пароль. Для локальных развертываний исключение этапа ввода мастер-пароля требует использования локальной службы «Key Connector», которая поддерживает и размещает все ключи шифрования конечных пользователей. Эта услуга Key Connector становится критически важной инфраструктурой, для которой требуется квалифицированный персонал и поддержание со стороны заказчика.
Безопасность
По умолчанию пользователи выходят из Keeper, когда закрывают браузер, перезагружают компьютер или выбирают выход из расширения, что требует от них повторного входа в систему с помощью провайдера единого входа, многофакторной аутентификации (MFA) или мастер-пароля для повторного доступа к хранилищу.
С помощью менеджеров паролей, созданных на базе OIDC, когда хранилище блокируется, вы все равно потенциально подключены к системе поставщика удостоверений. Поэтому для повторного доступа к хранилищу требуется всего один клик без дополнительной проверки, а значит, вы не выходите из системы.
Восстановление
Новое устройство — всегда приятное приобретение. С Keeper вы сможете пользоваться простыми, автоматизированными методами с помощью push-уведомлений, чтобы облегчить настройку и сразу же получить доступ к хранилищу на новом устройстве.
Другие менеджеры паролей требуют сохранить старое устройство или обратиться к администратору, чтобы инициировать восстановление, для возможности войти в систему и получить доступ к своим записям без длительных попыток входа и переписки с администратором.
Многофакторная аутентификация
При включении Keeper требует подтверждения устройства и прохождения многофакторной аутентификации перед вводом мастер-пароля для доступа к хранилищу, что повышает безопасность и гарантирует, что ваши учетные данные будут доступны только вам. При развертывании с помощью единого входа Keeper дополнительно поддерживает запрос многофакторной аутентификации перед расшифровкой локального хранилища. Keeper поддерживает ключи безопасности FIDO2, методы DUO, TOTP и SMS. Keeper — это единственное решение, которое поддерживает как проверку единого входа, так и политику условного доступа, а также локальную многофакторную аутентификацию.
Конкуренты, которые позволяют вам вводить свои учетные данные до многофакторной аутентификации, подвергают ваши учетные данные риску атаки методом подбора. Некоторые конкуренты внедрили технологию CAPTCHA, но ее можно легко обойти с помощью Captcha Farms.
«Разбивание стекла» и альтернативные методы аутентификации
Если у вашего поставщика удостоверений единого входа произойдет сбой в работе, Keeper все равно позаботится о вас. Если на устройстве используются биометрические данные (например, Touch ID, Face ID или Windows Hello), пользователь может безопасно и быстро пройти аутентификацию для входа в хранилище без необходимости обращаться к поставщику удостоверений при каждом запросе. Помимо стандартной аутентификации единого входа SAML и биометрии, Keeper даже поддерживает метод дополнительного мастер-пароля, который может быть активирован для пользователей при наличии разрешения администратора. Все эти рабочие процессы и методы аутентификации поддерживаются политиками правоприменения Keeper на основе ролей.
Поддержка SCIM
Keeper — это полностью управляемая облачная платформа, которая дает вам быстрый и простой способ подключения пользователей. SCIM — это стандартный протокол для обмена удостоверениями между ИТ-системами. Благодаря тому, что Keeper полностью поддерживает SCIM 2.0 любой источник удостоверений может быть легко интегрирован в рабочий процесс Keeper. Сложная локальная инфраструктура не требуется, поскольку все коммуникации происходят между поставщиком удостоверений и облаком Keeper.
С другой стороны, 1Password требует от клиентов развертывать сервер в инфраструктуре компании для предоставления пользователям единого входа.
Интеллектуальная собственность
Компания Keeper разработала схему шифрования с нулевым разглашением для облачных провайдеров единого входа и в 2016 году получила на это два патента. Интеграция единого входа с нулевым разглашением Keeper работает уже 8 лет, намного дольше, чем какие-либо решения конкурентов.
У 1Password нет патентов на интеграцию единого входа. Интеграция 1Password была запущена 16 марта 2023 года, и пользователи сообщали о том, что в настройке она гораздо сложнее.
Выбор очевиден
Создавая все решения, Keeper ориентируется, главным образом, на то, как предоставить максимальную безопасность для пользователей и в то же время обеспечить простоту и удобство использования.
SAML дает основу для интеграции платформы Keeper с единым входом и является самым безопасным из доступных соединений. Внедрение Keeper интеграции единого входа с хранилищем — это самое простое и безопасное решение, доступное на рынке. Keeper будет и дальше внедрять инновации, чтобы оставаться лучшей платформой для защиты ваших самых ценных данных.