单点登录会让网络钓鱼攻击更容易吗?
单点登录会让网络钓鱼攻击更容易吗?
提问于 2022-04-21 12:52:11
我不是在质疑SSO技术实现的安全性,而是要对用户进行培训,使其遵循一种潜在的不安全的访问模式。
背景
例如,如果您在组织中推出单点登录( SSO )提供商奥克塔,当用户访问某个服务的网站时,该服务将其重定向到Okta以进行身份验证,并且在成功登录之后,Okta将用户重定向回服务。
- 用户打开
example.com example.com将用户重定向到okta.com以进行身份验证- 用户输入用户名、密码和OTP (一次性密码)。
okta.com将用户重定向到example.com
这太让人困惑了。迷惑的用户可能会被误导。
攻击
如果登陆页是假的呢?
- 用户单击他们认为是
example.com的链接,但实际上是在example.cc-server.com上。example.cc-server.com由恶意参与者拥有,但看起来与example.com非常相似。或者用户已经被告知,并且相信example.cc-server.com是一个合法的供应商,他们已经被公司注册,他们需要登录才能激活它。 cc-server.com将用户重定向到okta.cc-server.com,这与okta.com非常相似。- 用户输入用户名、密码和OTP。
要求用户总是先访问okta.com,然后从那里访问站点,这难道不是更有意义的吗?这样,用户将主动连接到站点,目的是登录,而不是响应输入凭据的提示。访问模式总是相同的,没有重定向,用户将更有可能识别修改后的URL。
回答 1
Security用户
发布于 2022-04-23 19:20:28
使用单点登录并不一定会使钓鱼变得更容易。像这样的网络钓鱼攻击仍然是可能的,但是有一些事情会使它变得更加困难:
- 可以定制Okta登录页面,这对于类似的提供商也很可能是正确的,因此对于许多组织来说,网络钓鱼尝试必须针对特定的公司进行定制。
- 在一些组织中,SSO不会每天发生多次。例如,如果Alice在周一早上执行SSO,然后在下午再次提示进行SSO,这可能是可疑的。
当然,解决这个问题的最简单方法是为您的SSO提供者要求FIDO2或WebAuthn身份验证。由于安全密钥或其他设备所做的签名包含由用户的web浏览器提供的网站域,因此这种身份验证有效地避免了网络钓鱼。关心钓鱼攻击的组织(坦率地说,大多数应该是这样)应该使用FIDO2或WebAuthn安全密钥。与工资相比,每名员工50美元(或两人100美元)的成本是微不足道的,远低于妥协的后果。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/261393
复制相关文章
相似问题
腾讯云开发者
