问：我的公司正在决定企业是否应该优先考虑使用单点登录。在这种情况下，它可以大幅改善安全性吗？

　　答：单点登录（SSO）是一把双刃剑。SSO自己不会真正的改善安全性，而且事实上，如果配置不合理就会降低安全性。SSO是用于为用户提供便利的。

　　随着公司系统的增加，每一个都要求有自己的密码，SSO可以减轻登录到每个系统上所花费的时间的负担。但是同时，如果SSO受到攻击，它就会把城堡钥匙交给恶意用户。另一方面，信任状也减少了，也就是说可能丢失或者受到攻击的量减少了。

　　所以即使SSO不是安全万能药，它也可以对企业的信息安全项目作出积极贡献。下面是如何做。
 
　　SSO系统通常是基于复杂的系统管理应用上的，例如IBM Tivoli，或者硬件应用，例如Imprivata Inc.的产品。结果，SSO系统把认证集中在特别的服务器上。他们通过使用存有SSO模块的专门服务器实现。这些服务器 是作为SSO的看门人，确保所有的认证都首先经过SSO服务器，然后传送存储的信任状，用以认证使用SSO系统特殊应用。这种集中化要求更多的策划、调整和审计，防御除单点认证系统之外的恶意访问。
 
　　此外，SSO系统通常在存储认证信任状和加密密钥上有更安全的方式，这样黑客破解就会更困难。他们还可以存在于公司的IT架构深处，通常是在多重防火墙之后的安全位置。

　　所有这些都要求大量的额外存储，这是审计员和法律人员所喜欢的。所以，虽然法规不是必然等同于安全，但是法规也需要些额外的步骤可以提高安全性。萨班斯法案的404部分要求对控件的存档，并且大部分的SSO系统都可以满足这个要求。
 
　　这些文档要求包括对用户帐户的日志和监控。跟踪用户，剪除长期离职员工的不活跃的帐户，监控可疑活动都是SSO的一部分，并且这些还可疑增加企业的IT安全性。