如果你是 谷歌、Microsoft 或 Apple 用户,你应该很习惯只要登录一次就可以使用这些公司的其他所有服务。 举例来说,如果你登入使用 Gmail,接下来无论你打开云端硬盘还是其他生产力工具,都不需要再另外登入一次。 单一登入又写作 SSO(Single sign-on),它能够让生活变得更轻松,但它是如何运作的呢?
什么是单一登录(SSO)? 它真的够安全吗?
单一登入是什么?
从用户的角度来看,单一登入非常简单,当你登入一项服务后就等同一次性登入所有相关服务。 举例来说,只需要将你的登录凭证输入到Windows电脑中,所有Microsoft的服务都会为你开放。 有些公司,例如 Gooogle 或 Meta,甚至允许你使用同一个证书登录非直接相关的其他服务。 但请注意,不要将单一登录与密码管理器混淆了,单一登入或多或少取代了你的凭证,而密码管理器则保留你的凭证但会自动让你登入。
单一登入如何运作?
通常,你使用的每项需要登录的服务都会有一组单独的凭证,通常是用户名或电子邮件地址和密码。 使用单一登录时,你的主服务(我们称为网站 A)将用所谓的令牌取代另一个服务(网站 B)的凭证。 当你下次登录网站 B 时,不再需要输入用户名称和密码,而是以网站 A 的令牌登录。 这一切都无缝地在背景运作,从用户角度看你只觉得少了一个步骤。
在幕后,单一登入以几种不同方式运作。 它尤其它公司提供做为服务,例如 Okta 的 Auth0,因此你可以快速设置它而无需处理太多技术问题。 或者,如果组织中有人具有技术能力,则可以通过 Kerberos 或 SAML(为 Auth0 和类似服务提供支持)等协议来设置单一登录。
谁会使用单一登录?
在某种程度上而言,每个人或多或少都曾以某种形式使用过单一登入,包括你与我。 所有大型科技公司都使用它来确保用户可以顺利存取所有不同服务而毋需重复输入密码的步骤,包括 谷歌、Microsoft 等不胜枚举。 如果你在一家大型企业上班,很可能也使用过单一登入,因为许多公司喜欢在内部网络上采用,确保员工可以在应用程序间顺利切换。
单一登入有缺点吗?
乍一看,使用单一登入并没有太多缺点,毕竟,谁不喜欢应用程序间的无缝切换呢? 然而,使用单一登入时,你会将安全性降低,因为过去攻击者必须破解许多不同组密码,而现在只要破解一组就可以了。 更糟糕的是,一旦攻击者破解了该账户,你将失去对所有关联账户的控制,毕竟令牌是你存取这些账户的唯一方式。 你无法重设帐户,就像密码管理器被破坏一样,这也是为什么你应该尽可能地不要在非相关网站上继续采用单一登录,例如不要在购物网站上选择用 谷歌 帐号登入等。
单一登录安全吗?
虽然单一登录很方便,但通常建议除非是同一系统,例如 Gmail 与云端硬盘同属 谷歌,OneDrive 与 Windows 同属 Microsoft,否则尽量避免在第三方网站上使用,避免别人只要破解一道密码就能在你所有帐号上畅行无阻。 此外,建议你使用密码管理器,既可获得与单一登录相同的无缝体验,还能获得更高的安全性。
