Single sign-on comodo ma può essere non sicuro

Single sign-on comodo ma può essere non sicuro

Nei prossimi mesi un gruppo di ricercatori dell'Indiana University mostrerà un lavoro durato dieci mesi che mette in evidenza alcuni problemi di sicurezza relativi a soluzioni Single Sign On (SSO)

di pubblicata il , alle 16:17 nel canale Sicurezza
 

Sempre più spesso si fa uso di soluzioni Single Sign On (SSO) per accedere a servizi e siti web senza dover effettuare ripetitive registrazioni o inserire user e password: l'utilizzo di queste soluzione offre la possibilità a siti di terze parti di utilizzare account Facebook, Google, Twitter o simili per effettuare l'autenticazione.

Il meccanismo è semplice da capire e può essere così descritto in sintesi: un sito di terze parti richiede l'autenticazione dell'utente per accedere a specifiche risorse. Per effettuare l'autenticazione all'utente viene offerta la classica opzione basata su user e password oppure la possibilità di utilizzare il proprio account Facebook, Google o simile. In quest'ultimo caso tra il fornitore del servizio SSO e il sito di terze parti si innesca un meccanismo per la verifica delle credenziali dell'utente; in questo delicato processo al sito di terze parti viene inibita ogni informazione sensibile relativa all'account dell'utente.

Il successo di soluzioni simili è facile da immaginare: per chi sviluppa soluzioni e servizi web la possibilità di delegare a altri e ben titolati partner tutte le problematiche di autenticazione e sicurezza è un vantaggio non da poco, mentre per l'utente c'è la facilità di gestire svariati servizi senza doversi preoccupare di ricordare e diversificare le credenziali di accesso. Inoltre, il fatto che dietro a soluzioni SSO ci siano importanti e riconosciuti brand fa crescere la fiducia nei confronti di queste soluzioni.

Fatta questa rapida sintesi veniamo al dunque, cioè a quanto è stato scoperto nel corso di dieci mesi da parte di alcuni ricercatori dell' Indiana University. Arstechnica.com riporta un delicato e al tempo stesso inequivocabile passaggio del documento pubblicato:

The result shows that these prominent web SSO systems contain serious logic flaws that make it completely realistic for an unauthorized party to log into their customers' accounts

Secondo gli studiosi quindi all'interno dei diffusi SSO ci sarebbero importanti difetti logici che renderebbero realistico l'accesso agli specifici account da parte di soggetti non autorizzati . Per il momento il tutto rientra nel campo del "possibile" e non sono segnalati al momento problemi riconducibili a queste vulnerabilità. Una più ampia presentazione del problema è attesa in occasione dell'  IEEE Symposium on Security and Privacy previsto nel mese di maggio.

Il team di ricercatori ha informato i vari SSO dei relativi problemi rilevati senza ovviamente divulgare in modo pubblico tali contenuti. Da parte di alcuni SSO c'è stata anche una pronta reazione nel mettere in atto le dovute azioni correttive.
7 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
piererentolo27 Marzo 2012, 16:34 #1
Non saranno sicure, ma che comodo fare login su chrome e ritrovarsi tutte le password già memorizzate nel browser. Una volta passavo il mio tempo cliccando su "Hai dimenticato la password? - richiedine una nuova per email".
litocat27 Marzo 2012, 17:00 #2
Originariamente inviato da: piererentolo
Non saranno sicure, ma che comodo fare login su chrome e ritrovarsi tutte le password già memorizzate nel browser. Una volta passavo il mio tempo cliccando su "Hai dimenticato la password? - richiedine una nuova per email".

Forse non hai capito di cosa parla l'articolo. Parla di siti che delegano l'autenticazione dell'utente a siti di terze parti come OpenID o Facebook. La memorizzazione delle password nel browser e' un'altra cosa.
piererentolo27 Marzo 2012, 17:11 #3
Originariamente inviato da: litocat
Forse non hai capito di cosa parla l'articolo. Parla di siti che delegano l'autenticazione dell'utente a siti di terze parti come OpenID o Facebook. La memorizzazione delle password nel browser e' un'altra cosa.

Ah ok chiedo umilmente perdono.
filippo198027 Marzo 2012, 17:30 #4
Beh, non conosco le vulnerabilità riscontrate dai ricercatori ma, IMHO, utilizzare il SSO è praticamente uguale ad inserire sempre lo stesso username e la stessa password su tutti i siti... il rischio è che trovandoti l'accoppiata username/password di Google (ad esempio) si possa entrare su tantissimi altri siti...
Io lo uso perchè molto comodo ma mi rendo conto della poca sicurezza di questo approccio...
hermanss27 Marzo 2012, 19:04 #5
Il vantaggio del SSO credo è il fatto che permette di evitare ogni volta di inserire tutte le credenziali all'atto della registrazione e non tanto la fase di login.
In effetti però una volta che un phisher cattura l'accoppiata username/password ha libero accesso a una molteplicità di siti.
hexaae27 Marzo 2012, 20:19 #6
SSO = gravissimo rischio (soprattutto per servizi collegati a pagamenti, come anche Google ormai) in caso di furto. Semplicissimo.
hexaae27 Marzo 2012, 20:19 #7
Consiglio: usate tante pass e login differenti, e un programma gratuito come KeePass per gestirle.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^