¿Qué es Inicio de sesión único?
El inicio de sesión único (SSO) es un esquema de autenticación que permite a un usuario autenticarse una sola vez ante un proveedor de identidad central y, a continuación, acceder a múltiples aplicaciones y servicios independientes sin que se le vuelvan a solicitar credenciales.
También conocido como: SSO, single sign on
El SSO funciona centralizando la autenticación en un proveedor de identidad (IdP) como Okta, Azure AD o Google Workspace. Cuando un usuario intenta acceder a una aplicación (el proveedor de servicios), la aplicación lo redirige al IdP. Si el usuario ya se ha autenticado ante el IdP, se devuelve un token o una aserción a la aplicación confirmando su identidad, y se le concede acceso sin introducir una contraseña. Protocolos como SAML 2.0, OpenID Connect y OAuth 2.0 estandarizan este intercambio.
Desde el punto de vista de la seguridad, el SSO es un arma de doble filo. En el lado positivo, reduce la fatiga de contraseñas y la cantidad de credenciales que los usuarios deben gestionar, disminuyendo la probabilidad de reutilización de contraseñas entre servicios. Centraliza la aplicación de las políticas de autenticación: la MFA, la complejidad de las contraseñas y la gestión de sesiones se configuran una sola vez en el IdP. Y simplifica la desactivación de accesos: desactivar a un usuario en el IdP revoca de inmediato el acceso a todas las aplicaciones conectadas.
El riesgo del SSO es la concentración: si el IdP se ve comprometido, el atacante obtiene acceso a todo. Esto convierte al IdP en un activo crítico que requiere las protecciones más sólidas: MFA de hardware para los administradores, monitorización robusta y una respuesta a incidentes rigurosa. El robo de tokens de sesión es otra preocupación, ya que una cookie de sesión de SSO robada puede conceder acceso a varios servicios simultáneamente.
Cómo usa Vaulted Inicio de sesión único
Vaulted funciona intencionadamente sin cuentas de usuario ni integración de SSO. Es una decisión de diseño deliberada para una herramienta de compartición de secretos de conocimiento cero: sin cuentas no hay base de datos de credenciales que vulnerar, ni tokens de sesión que robar, ni dependencia de un proveedor de identidad. Cualquiera con el enlace puede acceder al secreto cifrado, y el acceso se controla a través del propio enlace, la protección opcional con frase de contraseña, los límites de visualizaciones y la caducidad, no mediante autenticación basada en la identidad.