如果你是 Google、Microsoft 或 Apple 用戶,你應該很習慣只要登入一次就可以使用這些公司的其他所有服務。舉例來說,如果你登入使用 Gmail,接下來無論你打開雲端硬碟還是其他生產力工具,都不需要再另外登入一次。單一登入又寫作 SSO(Single sign-on),它能夠讓生活變得更輕鬆,但它是如何運作的呢?
什麼是單一登入(SSO)?它真的夠安全嗎?
單一登入是什麼?
從使用者的角度來看,單一登入非常簡單,當你登入一項服務後就等同一次性登入所有相關服務。舉例來說,只需要將你的登入憑證輸入到 Windows 電腦中,所有 Microsoft 的服務都會為你開放。有些公司,例如 Gooogle 或 Meta,甚至允許你使用同一個憑證登入非直接相關的其他服務。但請注意,不要將單一登入與密碼管理器混淆了,單一登入或多或少取代了你的憑證,而密碼管理器則保留你的憑證但會自動讓你登入。
單一登入如何運作?
通常,你使用的每項需要登入的服務都會有一組單獨的憑證,通常是使用者名稱或電子郵件地址和密碼。使用單一登入時,你的主服務(我們稱為網站 A)將用所謂的令牌取代另一個服務(網站 B)的憑證。當你下次登入網站 B 時,不再需要輸入使用者名稱和密碼,而是以網站 A 的令牌登入。這一切都無縫地在背景運作,從用戶角度看你只覺得少了一個步驟。
在幕後,單一登入以幾種不同方式運作。它尤其它公司提供做為服務,例如 Okta 的 Auth0,因此你可以快速設定它而無需處理太多技術問題。或者,如果組織中有人具有技術能力,則可以透過 Kerberos 或 SAML(為 Auth0 和類似服務提供支援)等協定來設定單一登入。
誰會使用單一登入?
在某種程度上而言,每個人或多或少都曾以某種形式使用過單一登入,包括你與我。所有大型科技公司都使用它來確保用戶可以順利存取所有不同服務而毋需重複輸入密碼的步驟,包括 Google、Microsoft 等不勝枚舉。如果你在一家大型企業上班,很可能也使用過單一登入,因為許多公司喜歡在內部網路上採用,確保員工可以在應用程式間順利切換。
單一登入有缺點嗎?
乍一看,使用單一登入並沒有太多缺點,畢竟,誰不喜歡應用程式間的無縫切換呢?然而,使用單一登入時,你會將安全性降低,因為過去攻擊者必須破解許多不同組密碼,而現在只要破解一組就可以了。更糟糕的是,一旦攻擊者破解了該帳戶,你將失去對所有關聯帳戶的控制,畢竟令牌是你存取這些帳戶的唯一方式。你無法重設帳戶,就像密碼管理器被破壞一樣,這也是為什麼你應該盡可能地不要在非相關網站上繼續採用單一登入,例如不要在購物網站上選擇用 Google 帳號登入等。
單一登入安全嗎?
雖然單一登入很方便,但通常建議除非是同一系統,例如 Gmail 與雲端硬碟同屬 Google,OneDrive 與 Windows 同屬Microsoft,否則盡量避免在第三方網站上使用,避免別人只要破解一道密碼就能在你所有帳號上暢行無阻。此外,建議你使用密碼管理器,既可獲得與單一登入相同的無縫體驗,還能獲得更高的安全性。
