Ieri Attivissimo ha scritto il seguente articolo sul suo blog: https://attivissimo.blogspot.com/2022/08/accedi-con-pessima-idea.html
affermando in pratica che la pratica del Single Sign On è rischiosa perché se le app / siti web su cui state facendo login vengono compromessi, allora tramite le chiavi API Twitter dell’app / sito web i malintenzionati prenderanno il controllo completo del vostro account:
>Gli aggressori che sfruttano questa falla possono leggere i messaggi diretti degli utenti-bersaglio, mettere like e condividere contenuti spacciandosi per loro, creare o cancellare tweet, aggiungere o rimuovere follower, accedere alle impostazioni dell’account Twitter e altro ancora.
Il consiglio che viene fornito è:
>Lasciate insomma perdere tutti i vari inviti a base di “Accedi con” e create invece un account separato.
La fonte da cui deduce tutto questo è il seguente paper della CloudSEK:
https://cloudsek.com/whitepapers_reports/how-leaked-twitter-api-keys-can-be-used-to-build-a-bot-army/
Personalmente ritengo che l’articolo sia quantomeno fuorviante e travisi quanto scritto da CloudSEK, che sparga allarmismo inutile e sia anche controproducente.
#Il punto è: che permessi state fornendo all’app/sito web?
In fase di login vi viene esplicitato quali permessi state concedendo. Il 90% dei siti web che vogliono fare SSO **non chiede alcun permesso di lettura sui vostri dati dell’account originale, ad eccezione dell’indirizzo email, nome e cognome.** Figuriamoci i permessi in scrittura.
Un’app/sito web che ha chiesto solo i dati strettamente necessari per il login, non potrà in nessun modo modificare il vostro account originale, nemmeno in caso di leak di tutte le API key.
#Pregi e difetti del SSO
Vi starete chiedendo: ma quindi conviene o no fare SSO?
Personalmente ritengo che (posto quanto detto nel punto precedente) i benefici superino i difetti
* Benefici:
1. Poter fare hardening di un solo account per avere gli stessi benefici sugli account federati. In altre parole: se fate “accedi con Google” e avete una password complessa e 2FA attivi, state “gratis” portando gli stessi benefici altrove, anche su servizi dove la 2FA magari non è ancora disponibile
2. Semplificazione della gestione: è ovvio che non dover gestire una password per ogni servizio è più semplice
* Difetti:
1. “keys to the castle”: la perdita del controllo dell’account originale causa la perdita del controllo di tutti gli account. Catastrofe, no? Però spesso questo succederebbe in ogni caso: perdere l’account Google dà accesso a gmail e una volta preso il controllo di gmail si possono resettare le password di gran parte dei servizi registrati con quell’email. Quindi che cambia?
Ditemi la vostra nei commenti, penso che Attivissimo questa volta abbia un po’ deluso.
P.s.: SPID è un SSO. Che facciamo torniamo a un account su ogni sito della PA?
17 comments
Sopravvaluti l’utente medio, secondo me non tutti controllano i permessi dati durante il “sign on”, se chiedi anche i permessi di scrittura/lettura sono convinto che una buona parte ci cascherà, da qui l’allarme.
Inoltre il problema di avere un unico account è molto più complicato di così, perché avere un account separato mi permette di avere DUE accessi al sito: tramite user/password e tramite email (con il reset password).
Se invece fai “accedi con” hai un solo metodo di accesso (es: google), se perdi quello sei a terra, se ti compromettono quello possono accedere a tutto (senza neanche dover fare reset password).
[deleted]
> SPID è un SSO. Che facciamo torniamo a un account su ogni sito della PA?
SPID è è un caso un po’ particolare, sono tutti servizi dello stesso “proprietario” (lo stato italiano).
Discorso diverso per me se fosse usato che so, per accedere a Reddit (anche perché a quel punto identifichi le persone fisiche).
Io uso SSO ovunque disponibile.
Con Google si vede subito chiaramente nella pagina del consenso se stai semplicemente usando l’account per autenticarti, e quindi stai fornendo solo alcuni dati di base come nome, cognome, email e immagine profilo in sola lettura, oppure se stai fornendo anche l’accesso ad altre sezioni dell’account.
Inoltre, anche dalle impostazioni dell’account c’è una netta separazione tra le due tipologie di accessi, quindi facendo dei controlli periodici vedi quali sono le eventuali applicazioni che hanno più permessi del dovuto, e puoi facilmente revocarli.
edit – bonus tip: molti siti web non hanno l’autenticazione a due fattori, ma hanno invece SSO. Utilizzando quindi l’autenticazione a due fattori sull’account Google, si aumenta quindi anche la sicurezza dell’account sul sito terzo
(poi per i paranoici, alcuni siti consentono SSO e 2FA in contemporanea, per esempio su Bitbucket io devo fare l’accesso con Google, inserire il codice 2FA di Google, e inserire il codice 2FA di Bitbucket)
Gli SSO sono parecchio comodi.
Credo che molto cambierà con l’introduzione delle FIDO passkey.
Anche io principalmente evito il SSO, semplicemente perché voglio essere libero di eliminare/cambiare i miei account social senza perdere gli accessi altrove
> Gli aggressori che sfruttano questa falla possono leggere i messaggi diretti degli utenti-bersaglio, mettere like e condividere contenuti spacciandosi per loro, creare o cancellare tweet, aggiungere o rimuovere follower, accedere alle impostazioni dell’account Twitter e altro ancora.
Quindi se fai il login con Google non possono fare niente
Ma veramente posti attivissimo ?
Paolo a volte è eccessivo IMHO. Io valuto caso per caso e comunque annualmente revoco gli accessi a tutto
Il mondo cerca di ridurre l’uso delle password perché sono facilmente violabili e si sparge il seme del dubbio sostenendo che è meglio moltiplicare gli account… poveri noi. SSO, se fatto tramite un identity provider serio, ha solo benefici (quindi escludo FB che quando si sono chiusi fuori dalla sala server perché avevano fatto SSO anche con quella non mi ha fatto giocare per 2 giorni 🤣)
Strano che non abbia colto l’occasione per ribadire che figata sia la sua auto elettrica e quanto siano *inferiori* quelli che ancora non ne hanno una.
Oh certo, fate un account ciascuno. Password: “Password123”
Francamente tutte queste diecimila autenticazioni sono una rottura di cazzo immonda, preferisco rischiare che mi hackerino pure il buco del culo piuttosto che farmi un nuovo account ogni volta che devo tagliarmi le unghie dei piedi
Mi fido molto piu` della qualita` dell’ infosec di Google che dei vari sitarelli. Certo, se mi compromettono l’ account google sono fregatissimo, ma su quell’ account ho anche due milioni di contromisure attive…
Avere 1000 password non è un Gran problema usando un password manager.
Grazie a lu caz? Ci voleva la scienza per capirlo?
4 anni fa nella multinazionale dove sono SysAdmin ho tolto il SSO di vSphere con Active Directory. Mormorio generale di disapprovazione.
Ho tolto anche i backup server da Active Directory. Mormorio più contenuto perchè li usavano in pochi.
Un anno fa abbiamo avuto un problema minore di sicurezza che sarebbe potuto diventare catastrofico. Applauso per non avere SSO.
Negli ultimi 36 mesi tutti gli audit di sicurezza hanno approvato e fatto i compliemntio per queste scelte.
​
La tua pigrizia di scrivere una password non deve diventare un mio problema di sicurezza.