单点登录还是单点故障？

无人能否认单点登录（SSO）为用户带来的便利，以及组织因管理开销降低而获得的安全和效率提升。在各个服务中单独管理多个用户帐户的日子已经一去不复返了。话虽如此，我们是否已经将所有的鸡蛋都放在了 SSO 实施这一个众所周知的篮子里？我们最新的研究结果提醒我们，为什么那句谚语告诫不要这样做。

对身份提供商（IdP）被攻陷进行威胁建模

为了帮助组织评估在其身份提供商（IdP）被攻陷事件中的暴露风险，我们发布了一份白皮书，详细阐述了这些潜在影响。该白皮书探讨了这些影响如何根据攻陷所涉及的特权级别而有所不同。这包括了即使是未获得特权的 IdP 账户也可能产生的令人惊讶的影响，直至 IdP 被完全攻陷所造成的彻底灾难。

作为我们与 Teleport 持续合作的一部分，我们的 Francesco Lacerenza (@lacerenza_fra) 探讨了这些场景以及它们如何具体应用于 Teleport。如果您不熟悉它，“Teleport 访问平台是一个软件和托管服务套件，基于加密身份和零信任基础……提供按需、最小特权的基础设施访问”，从而在整个基础设施中集成强大的身份验证和授权。

防御与检测

我们的座右铭是“安全构建”，我们帮助组织构建更安全的环境，因此我们不会让您对 SSO 实施可能出错的噩梦而悬着心。作为这一理念的一部分，我们白皮书背后的研究包括制定了一系列 Teleport 加固建议，以保护您的组织并限制潜在影响，即使在最坏的情况下也是如此。我们还提供了详细信息，说明在尝试检测各种类型的攻击时应在日志中查找什么。对于那些寻求“太长不看”的读者，我们还发布了一份方便的加固检查清单，其中涵盖了我们的建议，可用于快速传达给您忙碌的团队。

更多信息

请务必立即下载我们的白皮书（此处）和我们的检查清单（此处）！如果您想了解更多关于我们其他研究的信息，请查看我们的博客，在 X (@doyensec) 上关注我们，或者随时通过 info@doyensec.com 联系我们，了解更多关于我们如何帮助您的组织“安全构建”的信息。

其他相关文章：

• SCIM Hunting - Beyond SSO - 08 May 2025
• Product Security Audits vs. Bug Bounty - 02 May 2024
• Testing Zero Touch Production Platforms and Safe Proxies - 04 May 2023
• Tampering User Attributes In AWS Cognito User Pools - 24 Jan 2023
• The Danger of Falling to System Role in AWS SDK Client - 18 Oct 2022
• 2019 Gravitational Security Audit Results - 02 Mar 2020