Flexible Security for Your Peace of Mind

SSO vs Enterprise Password Manager : Quel est le meilleur moyen de réduire le risque lié à votre mot de passe ?

Les organisations qui cherchent à réduire le poids des mots de passe pour leurs utilisateurs envisagent souvent les fournisseurs d’authentification unique (SSO) ou le déploiement d’un gestionnaire de mots de passe d’entreprise. Chacun ayant ses avantages, quel est le meilleur choix pour une organisation ?

Les solutions d’authentification unique et les gestionnaires de mots de passe d’entreprise ne sont pas nécessairement mutuellement exclusifs, mais comment se comparent-ils ?

Les deux permettent aux employés d’utiliser une seule connexion pour gérer leur accès à de nombreux sites Web et applications différentes. Les gestionnaires de mots de passe le font via un coffre-fort de mots de passe stockés et protégés par un mot de passe. Les solutions d’authentification unique le font via la norme SAML (Secure Access Management Protocol) qui permet aux fournisseurs d’identité (comme les SSO) de transmettre les détails d’authentification aux fournisseurs de services (divers sites Web et applications).

Diagram

Description automatically generated
Comment fonctionne SSO avec SAML (source)

Les deux délivrent les employés de la gestion de nombreux mots de passe. L’employé moyen a 11 mots de passe ou plus dont il doit se souvenir et ce, uniquement pour pour le travail. Dans le même temps, Google rapporte que plus de 65 % des personnes interrogées admettent réutiliser des mots de passe sur plusieurs sites. Les multiples besoins de connexions rendent la réutilisation du mot de passe compréhensible, mais c’est aussi l’une des raisons pour laquelle les informations d’identification professionnelles en dehors du mot de passe Active Directory sont un vecteur de risque. Les solutions d’authentification unique réduisent le nombre de connexions qu’un employé doit mémoriser pour les sites compatibles avec SSO. Les gestionnaires de mots de passe d’entreprise utilisent les fonctionnalités d’enregistrement et de remplissage automatiques pour alléger la gestion des mots de passe et réduire le nombre de connexions qu’un employé doit mémoriser pour tous les sites et applications, quelle que soit la prise en charge SAML.

Graphical user interface, text, application, email

Description automatically generated

De nombreux organismes de réglementation proposent des conseils de sécurité sur la sélection du gestionnaire de mots de passe d’entreprise (directives du gestionnaire de mots de passe NCSC illustrées ci-dessus)

Les deux augmentent la sécurité du mot de passe. Pour les sites qui acceptent l’authentification unique, le mot de passe de ce site est supprimé et remplacé par l’authentification SSO. La réduction du nombre de mots de passe en jeu présente un avantage évident sur le risque que représentent les mots de passe non gérés pour une organisation. Les mots de passe utilisés par les employés qui ne sont pas gérés par le helpdesk seront souvent faibles ou réutilisés, car les helpdesk ne peuvent pas contrôler les politiques de mot de passe des autres sites Web. Les gestionnaires de mots de passe permettent aux helpdesk de supprimer facilement ce risque en offrant aux utilisateurs finaux un outil qui génère des mots de passe longs, complexes et aléatoires qui sont automatiquement enregistrés et saisis en leur nom lors de la connexion à un site Web. En plus de cela, un bon gestionnaire de mots de passe d’entreprise signalera aux utilisateurs finaux et aux administrateurs lorsque les mots de passe enregistrés sont réutilisés ou connus pour être compromis.

Pour les organisations qui hésitent entre l’authentification unique et un gestionnaire de mots de passe d’entreprise, sachez que le gestionnaire de mots de passe d’entreprise couvrira davantage de cas d’utilisation.

ObjectifsSSOSAML
Réduire le nombre de mots de passe dont les utilisateurs doivent se souvenirOui, mais pas pour tous les sites Web (SAML requis*)Oui, peut stocker toutes les informations d’identification
Augmenter la sécurité des mots de passe pour les employés individuellementOui, mais uniquement pour les sites Web SAMLOui, enregistre automatiquement les longs mots de passe aléatoires, signale les mots de passe faibles/réutilisés/compromis
Augmenter la sécurité des mots de passe pour les connexions partagéesNon, les connexions partagées ne sont pas prises en chargeOui, peut partager en toute sécurité des mots de passe avec des coffres partagés
Prendre en charge plusieurs identités pour un utilisateur (par exemple, plusieurs connexions d’adresse e-mail)Non, ne peut prendre en charge qu’une seule identité par sessionOui, peut enregistrer n’importe qu’elle combinaison d’e-mail et mot de passe, qu’elle soit liée à l’adresse e-mail professionnelle principale ou non
Augmenter la sécurité des mots de passe pour les applications et les sites Web Shadow ITNon, ne peut prendre en charge que les sites Web et les applications dont le helpdesk a connaissanceOui, les utilisateurs finaux peuvent enregistrer n’importe quelle combinaison d’informations d’identification

* SSO ne fonctionne qu’avec les sites Web qui prennent en charge SAML ; cependant, certains sites Web nécessitent des plans premium pour prendre en charge le SSO, comme on le voit ici, ce qui ajoute un coût supplémentaire à la mise en œuvre du SSO

Comme vous pouvez le voir dans le tableau ci-dessus, alors que les gestionnaires de mots de passe et l’authentification unique réduisent le poids de la gestion des mots de passe, les solutions SSO ont encore quelques lacunes. La meilleure approche pour les helpdesk consiste à utiliser l’authentification unique associée à un gestionnaire de mots de passe d’entreprise pour obtenir une protection par mot de passe quasi universelle.

(Dernière mise à jour le 25/05/2022)

Revenir sur le blog