在 CISA 的 Secure by Design 白皮书中,我们敦促软件制造商考虑他们的商业行为可能会无意中降低客户的安全状况。我们建议将基本安全功能作为基本服务产品的一部分提供。消费者不应该为基本安全卫生支付溢价、隐藏附加费或额外费用。特别是,我们提到单点登录功能应该作为基本产品的一部分默认提供——消费者不应该需要承担繁重的“SSO 税”才能获得这一必要的安全措施。
虽然对某些功能收取更多费用似乎是合理的,但这种做法可能会阻碍组织采用强大的身份和访问管理 (IAM) 系统,从而阻碍安全状况的改善。组织,包括安全贫困线以下的组织,都应该享有基本的安全卫生。我们认为,安全不应被定价为奢侈品,而应被视为客户的权利。
但是,SSO 税并不是阻碍中小企业 (SMB) 采用 SSO 的唯一障碍。客户对 SSO 的看法各不相同。一些 SMB 认为它增加了价值,可以改善他们的安全状况,而另一些 SMB 则认为 SSO 的费用并不能带来显著的运营改善和相应的回报。后一种观点反映了对 SSO 优势的清晰传达的需要。我们希望更多地了解 SSO 在 SMB 中的应用情况,并开始编写一份报告来更清楚地阐明这一主题。我们与 SMB 进行了焦点小组讨论,以了解他们对 SSO 及其好处的了解程度,了解他们在实施和维护 SSO 方面的用户体验,并了解 SMB 在实施 SSO 计划时遇到的障碍。
该报告列举了以下主要内容:
首先,小型企业通常选择手动密码和手动操作方法,而不是 SSO 选项。这些方法的初始采用成本往往较低,但这种初始成本差异并未反映维护手动密码相关的隐性管理成本。SSO 购买成本差异的主要原因是 SSO 通常仅作为高级企业级服务提供。这种企业服务的每位用户成本可能比缺乏 SSO 且通常需要最低用户数量的低级服务高得多。对于许多组织来说,这可能是巨大的障碍。
其次,缺乏技术知识和意识是 SSO 采用的另一个重大障碍。供应商确信他们提供了足够的培训材料和操作指南来支持客户有效部署 SSO 技术。然而,客户的看法和用户体验各不相同。客户认为 SSO 是一个复杂的解决方案,有许多可能阻碍其成功部署的可变部件。在客户考虑采用 SSO 之前,需要解决这些实施挑战。
第三,客户对支持材料和说明的准确性和完整性的满意度各不相同。即使是一些经验更丰富、技术更精湛的用户也表示,需要提交大量支持单,并与供应商的客户支持人员进行多次互动,以填补空白或解决不准确和遗漏的问题。对于资源有限的中小企业来说,时间的机会成本和支持材料的麻烦使得追求正确的 SSO 实施看起来成本过高,并导致负面的用户体验。
显然,不仅在经济方面,而且在用户体验、SSO 服务提供结构和产品设计、功能意识以及正确实施和维护 SSO 所需的技术指南和说明方面还有很多工作要做,以便提高中小企业的采用率。制造商应该认识到中小企业客户面临的这些独特挑战,并配置他们的设置以减少运营摩擦和挫折。这样做符合安全设计原则 1:对客户安全结果负责。同时,CISA 将继续提高人们对 SSO 好处的认识。我们可以共同努力,切实提高我们国家的安全保障。
原文始发于微信公众号(河南等级保护测评):为什么中小企业不部署单点登录 (SSO)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论