Single sign-on comodo ma può essere non sicuro

Sempre più spesso si fa uso di soluzioni Single Sign On (SSO) per accedere a servizi e siti web senza dover effettuare ripetitive registrazioni o inserire user e password: l'utilizzo di queste soluzione offre la possibilità a siti di terze parti di utilizzare account Facebook, Google, Twitter o simili per effettuare l'autenticazione.

Il meccanismo è semplice da capire e può essere così descritto in sintesi: un sito di terze parti richiede l'autenticazione dell'utente per accedere a specifiche risorse. Per effettuare l'autenticazione all'utente viene offerta la classica opzione basata su user e password oppure la possibilità di utilizzare il proprio account Facebook, Google o simile. In quest'ultimo caso tra il fornitore del servizio SSO e il sito di terze parti si innesca un meccanismo per la verifica delle credenziali dell'utente; in questo delicato processo al sito di terze parti viene inibita ogni informazione sensibile relativa all'account dell'utente.

Il successo di soluzioni simili è facile da immaginare: per chi sviluppa soluzioni e servizi web la possibilità di delegare a altri e ben titolati partner tutte le problematiche di autenticazione e sicurezza è un vantaggio non da poco, mentre per l'utente c'è la facilità di gestire svariati servizi senza doversi preoccupare di ricordare e diversificare le credenziali di accesso. Inoltre, il fatto che dietro a soluzioni SSO ci siano importanti e riconosciuti brand fa crescere la fiducia nei confronti di queste soluzioni.

Fatta questa rapida sintesi veniamo al dunque, cioè a quanto è stato scoperto nel corso di dieci mesi da parte di alcuni ricercatori dell' Indiana University. Arstechnica.com riporta un delicato e al tempo stesso inequivocabile passaggio del documento pubblicato:

The result shows that these prominent web SSO systems contain serious logic flaws that make it completely realistic for an unauthorized party to log into their customers' accounts

Secondo gli studiosi quindi all'interno dei diffusi SSO ci sarebbero importanti difetti logici che renderebbero realistico l'accesso agli specifici account da parte di soggetti non autorizzati . Per il momento il tutto rientra nel campo del "possibile" e non sono segnalati al momento problemi riconducibili a queste vulnerabilità. Una più ampia presentazione del problema è attesa in occasione dell'  IEEE Symposium on Security and Privacy previsto nel mese di maggio.

Il team di ricercatori ha informato i vari SSO dei relativi problemi rilevati senza ovviamente divulgare in modo pubblico tali contenuti. Da parte di alcuni SSO c'è stata anche una pronta reazione nel mettere in atto le dovute azioni correttive.