Single sign-on, quando il login è pericoloso
,
Un team di esperti informatici ha lavorato per oltre 10 mesi sull’effettiva validità dei sistemi Single sign-on (SSO), sempre più diffusi in rete perché permettono all’utente di autenticarsi una volta soltanto e accedere a tutti i portali in cui il servizio è abilitato. Questi servizi, che solitamente includono accessi a Google, Facebook, Twitter e altri portali particolarmente diffusi, sono però soggetti a gravi difetti che potenzialmente permettono a terzi di prendere possesso dei profili degli utenti che ne fanno uso.
Le SSO solitamente offrono interfacce di programmazione che trasmettono le informazioni di accesso del visitatore al fornitore di servizio. Se le credenziali utente sono valide, il provider restituisce una sorta di certificato che permette al sito web di terze parti di fornire l’accesso al portale richiesto. Il problema, secondo i ricercatori, risiede proprio in questo passaggio perché i dati inoltrati dal sito web al provider passano necessariamente dal browser web, generando la possibilità agli intenzionati di manipolare le credenziali e accedere a un account utente senza fornire username e password.
Il team ha segnalato le vulnerabilità ai soggetti interessati, che includono anche servizi SSO piuttosto famosi e utilizzati, i quali nella stragrande maggioranza dei casi hanno già applicato le modifiche richieste affinché questi problemi non possano più verificarsi. Uno dei coautori del rapporto, il professore di informatica e scienze dell’informatica presso l’Indiana University, Xiaofeng Wang, avverte però che, data la complessità dell’integrazione dei servizi web SSO, non è escluso che anche altri sistemi del genere possano essere soggetti a questo tipo di errori.
