Новые конфигурации
Мобильные устройства как учетные данные для доступа
Был разработан новый вариант аутентификации с единым входом с использованием мобильных устройств в качестве учетных данных для доступа. Мобильные устройства пользователей могут использоваться для автоматического входа в различные системы, такие как системы контроля доступа к зданиям и компьютерные системы, с помощью методов аутентификации, которые включают OpenID Connect и SAML, в сочетании с X.509 ITU-T криптография сертификат, используемый для идентификации мобильного устройства на сервере доступа.
Мобильное устройство — это «то, что у вас есть», в отличие от пароля, который является «чем-то, что вы знаете», или биометрических данных (отпечаток пальца, сканирование сетчатки глаза, распознавание лиц и т. Д.), Который означает «то, что вы есть». Эксперты по безопасности рекомендуют использовать как минимум два из этих трех факторов (многофакторная аутентификация ) для лучшей защиты.
Организационная структура групп беспроводных пользователей
Перечень легитимных категорий пользователей и типов беспроводных устройств, имеющих право доступа в БЛВС, описан в таблице 4. Также в таблице 4 описаны права доступа беспроводных пользователей к ресурсам ЛВС и параметры подключения к БЛВС.
Таблица 4 – Группы беспроводных пользователей
|
№ п/п |
Группа |
Параметры |
Значение |
|
1 |
Группа «Корпоративные пользователи» |
Тип пользователей |
Сотрудники |
|
Тип беспроводных устройств |
Корпоративные мобильные компьютеры сотрудников |
||
|
Доступ к ресурсам |
ЛВС, КСПД, Интернет |
||
|
Аутентификация |
PEAP (доменные логин/пароль) |
||
|
Шифрование |
AES |
||
|
2 |
Группа «Беспроводные IP-телефоны» |
Тип пользователей |
Сотрудники оснащенные корпоративными беспроводными IP-телефонами |
|
Тип беспроводных устройств |
Корпоративные беспроводные IP-телефоны |
||
|
Доступ к ресурсам |
ЛВС |
||
|
Аутентификация |
EAP-FAST |
||
|
Шифрование |
AES |
||
|
3 |
Группа «Гости» |
Тип пользователей |
Посетители и сотрудники |
|
Тип беспроводных устройств |
Личные беспроводные устройства посетителей и сотрудников |
||
|
Доступ к ресурсам |
Временный доступ к сети Интернет |
||
|
Аутентификация |
Web-аутентификация |
||
|
Шифрование |
Не применяется |
Немного теории
Существует два вариант объединения локальных сетей: «точка-точка» и «звезда». Топология «точка-точка» (режим Ad-hoc в IEEE 802.11) фактически представляет собой радиомост между двумя удаленными сегментами сети. Это достаточно простое решение, для реализации которого достаточно двух точек доступа. Когда нужно связать два удаленных сегмента сети «по воздуху» — решение «точка-точка» вполне подходит. Иногда эти точки снабжаются усиливающими узконаправленными антеннами, чтобы передавать сигнал на большее расстояние.
При топологии «звезда» одна из точек является центральной (корневой) и взаимодействует с другими удаленными точками. Чтобы такая «звезда» действительно выглядела как звезда» — центральная точка имеет всенаправленую диаграмму вещания, и это ограничивает дальность связи ~7 км. Роль усиливающей антенны в этом случае немного другая — не «выстрелить» сигнал как можно дальше, а обеспечить стабильное равномерное покрытие на требуемой площади.
Схема именования устройств
Именование устройств БЛВС, за исключением точек доступа, осуществляется по схеме TypeXX_Function_Room, где:
— Type – тип устройства, может принимать следующие значения:
— WLC – контроллер БЛВС;
— NCS – сервер системы управления и мониторинга БЛВС;
— MSE – сервер мобильных сервисов БЛВС;
— ACS – сервер контроля доступа БЛВС;
— XX – порядковый номер устройства;
— Function – функция, которую выполняет установленное оборудование. Принимает следующее значение:
— WLAN – устройство БЛВС;
— Room –Именование точек доступа БЛВС осуществляется по схеме: Type-FL-XX, где:
— Type – тип устройства, принимает следующее значение:
— AP – точек доступа БЛВС;
— FL – двухзначный номер этажа размещения точки доступа;
— XX – порядковый номер точки доступа на этаже.
Наименования оборудования БЛВС приведены в таблице 2.
Можно ли обойтись без удаленного доступа?
Можно, но это неудобно, нетехнологично, невыгодно. Страдает оперативность решения задач, производительность работников, эффективность процессов, а в итоге — организация зарабатывает меньше денег. Естественно, не для всех отраслей это одинаково актуально, но таких сфер, где это вообще не актуально, становится все меньше и меньше.
Приведу небольшой пример работы в организациях без удаленного доступа к информационным ресурсам. Многим из вас приходилось сталкиваться с ситуацией «сотрудник что-то не успел, взял работу на дом». А что работник с собой взял? Явно не токарный станок с металлическими болванками. Он взял с собой информацию. Причем, т.к. он не всегда точно знает, что ему может понадобиться (например, для подготовки какого-то отчета), он старается взять все, что может пригодиться. К чему может привести такая работа на дому, специалисту по информационной безопасности объяснять не надо.
Следует отметить, что в большинстве организаций доступ к серверам даже внутри корпоративной сети тоже является удаленным, т.к. серверы размещаются в территориально удаленных от основного места размещения работников организации ЦОДах. Другое дело, что доступ к ним осуществляется по выделенным каналам, доступ осуществляется с компьютеров, размещенных внутри защищаемого периметра и соответствующих единым политикам безопасности.
Все становится значительно сложнее, когда необходимо обеспечить защиту удаленного доступа к ресурсам организации через сеть Интернет, да еще, в ряде случаев, с личных мобильных устройств.
Портал и управляемость компании
Исследование, проведенное компанией RewardsPlus, показало,
что организации начали инвестировать большие средства в создание корпоративных
порталов для улучшения внутри корпоративных коммуникаций, аутсорсинга трудовых
ресурсов, а также для социализации сотрудников компании и укрепления у них
чувства самоидентификации с ней. По мнению аналитиков, портал должен не только
обеспечивать выполнение корпоративных функций, но и помочь сотрудникам
сбалансировать свои производственные обязанности и личные потребности.
Руководители должны иметь в виду, что, поскольку рабочее место становится все
более виртуальным, корпоративный портал будет основным средством общения внутри
компании. Для руководителей портал — это канал взаимодействия с сотрудниками,
ресурс укрепления организационной морали; для сотрудников — лучший способ
решать повседневные проблемы.
В чем состоят резервы повышения управляемости организации
при внедрении корпоративного информационного портала? Как известно,
деятельность менеджеров любого уровня отличает необходимость принимать решения
в условиях недостатка информации или при наличии противоречивых данных. Умение
работать в условиях неопределенности, принимать правильные решения всегда может
считаться одним из главных критериев эффективности деятельности управленца. С
точки зрения налаживания коммуникаций корпоративный портал решает ряд задач:
● прохождение
информационных потоков между подразделениями;
● устранение
различия в «языке» между отдельными подразделениями и отдельными сотрудниками
благодаря использованию единых форматов распространения информации;
● фильтрация
потоков информации благодаря возможности настраивать профили пользователя;
● минимизация
искажений информации при ее прохождении по многочисленным вертикальным и
горизонтальным каналам внутри организации;
● упрощение
процесса обучения сотрудников;
● обеспечение
своевременного доступа к корпоративной информации.
Все это позволяет рассматривать корпоративный портал как
систему управления знаниями, охватывающую большую часть корпоративной
информации.
Логическая топология БЛВС
Порты коммутаторов уровня доступа, к которым подключаются точки доступа, помещаются в виртуальные сети точек доступа. Данные подсети предназначены для адресации интерфейсов управления точек доступа. На DHCP-сервер развёрнутом на базе MS Windows Server 2008 для сетей точек доступа создаются пулы адресов из подсетей, указанных в таблице VLAN (Таблица 5).
Помимо IP-адреса, маски подсети и IP-адреса шлюза через опцию DHCP точкам доступа передаются IP-адреса management-интерфейсов контроллеров беспроводной сети. Используя полученную информацию, точки доступа инициируют процесс подключения к контроллеру по протоколу CAPWAP, в ходе которого строят два шифрованных туннеля, один для управления, другой – для передачи данных беспроводных клиентов. После успешной регистрации точек на контроллере, контроллер производит обновление программного обеспечения точек и файлов настроек точек доступа, если в этом есть необходимость.
С целью управления контроллерами БЛВС на них настраивается виртуальный интерфейс управления (management interface) и виртуальный сервисный интерфейс (service interface) для взаимодействия с супервизором коммутатора ядра. Настройки коммутатора ядра для интеграции с контроллерами приведены в подразделе 2.15. Для каждой группы беспроводных пользователей создаются виртуальные интерфейсы dynamic, имеющие ассоциацию с виртуальными подсетями (VLAN) и идентификаторами беспроводных сетей (SSID). Далее для каждого идентификатора беспроводной сети создаются профили безопасности, параметры настроек которых определяются политиками безопасности для каждой группы беспроводных пользователей.
Аналогичная процедура настройки повторяется на втором контроллере.
Подключение беспроводных устройств к нужной БЛВС осуществляется по идентификатору SSID. В зависимости от выбранного SSID к беспроводному клиенту применяются политики безопасности и контроля доступа, соответствующие данной группе. После успешного прохождения аутентификации и авторизации пользователи каждой из групп помещаются в предназначенную для их группы виртуальную сеть (VLAN).
Описание групп беспроводных пользователей и соответствующих им профилей безопасности приведены в подразделе 2.9.
Описание процесса подключения беспроводных клиентов к БЛВС представлено в подразделе 2.12.
Маршрутизация между виртуальными подсетями БЛВС и другими сетями осуществляется на коммутаторе ядра ЛВС, для этого на коммутаторе ядра создаются соответствующие Interface VLAN. IP-адреса Interface VLAN коммутатора ядра выступают в роли шлюзов по умолчанию для своих подсетей. С целью изоляции трафика между разными сегментами БЛВС на Interface VLAN коммутатора ядра настраиваются списки доступа.
Перечень используемых в БЛВС виртуальных подсетей и идентификаторов беспроводных сетей приведен в подразделе 2.10.
IP-адресация устройств БЛВС представлена в подразделе 2.11.
Логическая топология БЛВС представлена в документе ИОС-СС-ИТ-БЛВС «Схема функциональной структуры».
Безопасность
В марте 2012 г. сообщил об обширном исследовании безопасности социальный вход механизмы. Авторы обнаружили 8 серьезных логических недостатков у известных поставщиков идентификаторов и веб-сайтов проверяющих сторон, таких как OpenID (включая Google ID и PayPal Access), , Janrain, Фрилансер, Фермерская вилла, и Sears.com. Поскольку исследователи проинформировали поставщиков идентификаторов и веб-сайты проверяющих сторон до публичного объявления об обнаружении недостатков, уязвимости были исправлены, и о нарушениях безопасности не сообщалось.
В мае 2014 г. появилась уязвимость под названием Скрытое перенаправление был раскрыт. Впервые о «уязвимости скрытого перенаправления, связанной с OAuth 2.0 и OpenID» сообщил его первооткрыватель Ван Цзин, студент-математик из Наньянский технологический университет, Сингапур. На самом деле почти все[ласковые слова ] Затронуты протоколы единого входа. Covert Redirect использует сторонних клиентов, восприимчивых к XSS или Open Redirect.
Для чего нужен корпоративный портал
Внедрение и использование корпоративного информационного
портала дает компании целый ряд преимуществ:
Повышение производительности. Легкий доступ к
персонализированной информации из корпоративных и внешних источников повышает
производительность труда сотрудников. На базе портала возможна организация
документооборота — получение данных из приложений и их ввод, создание и
редактирование документов в едином Web-интерфейсе.
Повышение конкурентоспособности. Поскольку портал
представляет собой единую точку входа в корпоративную информационную систему и
позволяет получать весь объем необходимой информации, он дает возможность
снизить затраты и повысить эффективность работы всех систем организации.
Web-интеграция открывает новые возможности анализа деловой информации,
сегментирования рынка и позиционирования, планирования и прогнозирования,
выполнения ряда иных функций.
Улучшение корпоративного взаимодействия. Портал
играет роль центрального информационного ресурса для сотрудников компании,
заказчиков, руководства, поставщиков, дистрибьюторов, партнеров и акционеров.
Своевременный обмен необходимой информацией обеспечивает более тесную связь
между всеми группами сотрудников и подразделениями. В то время как большинство
существующих на рынке систем документооборота позволяет только отслеживать
процесс прохождения документов внутри организации, корпоративный портал
обеспечивает и ряд других функций: хранение всех версий документа, определение
прав доступа ему, оповещение пользователей об изменении существующего документа
или появлении нового, публикация документов.
Повышение отдачи от инвестиций. Портал — это
интегрированное приложение, которое можно достаточно быстро внедрить, легко
поддерживать, затрачивая при этом сравнительно скромные ресурсы по сравнению с
системами со сходными функциями, но построенными на основе других концепций.
Все это снижает издержки и повышает отдачу от вложений в корпоративную
информационную систему
Использование «тонкого клиента» — браузера — для
визуализации информации позволяет, с одной стороны, экономить на обучении
персонала, а с другой, что особенно важно, дает возможность не устанавливать
клиентские приложения на множестве компьютеров. Сокращение затрат на
приобретение и обслуживание клиентского ПО и оборудования — один из основных
ресурсов снижения издержек при использовании корпоративного портала
Важно
упомянуть и о минимизации затрат на аренду Internet-канала за счет того, что
большая часть информации уже размещена в портале.
Единая платформа для ведения электронного бизнеса. Внедрение
корпоративного портала и обеспечение доступа к нему внешних пользователей
способствует укреплению деловых связей с заказчиками, партнерами, поставщиками
и повышает качество обслуживания заказчиков и партнеров за счет предоставления
им дополнительных возможностей и услуг.
Интеграция с другими системами
СКДПУ НТ предусматривает также взаимодействие с внешними системами, такими как SIEM, СОВ, средства многофакторной авторизации, шлюзы, оркестраторы и системы автоматизации. Список таких систем постоянно пополняется, расширяя их функциональные возможности в ИТ-инфраструктуре.
Например, для многофакторной аутентификации достаточно широко используется интеграция решения с продуктом компании «Мультифактор», а также реализации на базе Open Source решений.
Большинство заказчиков СКДПУ НТ применяет SIEM-системы, поэтому специалисты «АйТи Бастион» активно разрабатывают сценарии использования и интеграции с как можно большим количеством продуктов данного класса. Это такие отечественные продукты как RuSIEM, MaxPatrol SIEM. В режиме бета-тестирования СКДПУ НТ также работает с некоторыми другими системами. Уже подтверждена совместимость СКДПУ НТ с продуктами KICS, KOS «Лаборатории Касперского», PT ISIM и MaxPatrol SIEM компании Positive Technologies, решениями РуТокен компании «Актив» и другими.
В промышленном секторе благодаря интеграции с СОВ от «Лаборатории Касперского» и Positive Technologies собирается информация о попытках подключиться в обход системы СКДПУ НТ, и о таких действиях уведомляются администраторы безопасности.
Подключение устройств БЛВС к ЛВС
Подключение устройств БЛВС к ЛВС
Подключение точек доступа к ЛВС описано в таблице. В данной таблице приведены имена точек доступа, наименования коммутаторов и портов к которым осуществляется подключение точек доступа.
Подключение контроллеров к ЛВС
Контроллеры устанавливаются в слоты коммутаторов ядра согласно таблице 4. Для взаимодействия контроллера с супервизором на коммутаторе ядра создается сервисный VLAN:
После инициализации контроллера супервизор автоматически создаст агрегированный интерфейс port-channel.
Далее необходимо разрешить используемые на контроллерах VLAN (за исключением сервисного) и выполнить следующие настройки:
Выбор оборудования
Сеть передачи данных — сама по себе вещь довольно консервативная. А уж если речь идёт о распределённой централизованной инфраструктуре… Ничего хорошего в том, если центральный узел постоянно выходит из строя, и всем приходиться приостанавливать работу. Мелкие аварии на удалённых точках тоже могут доставить немало проблем — нужно как-то передавать сбойные устройства, отправлять им замену, в общем, тоже хлопот хватает.
Факторы, которые встали во главу угла при формировании списка требований:
Один вендор для всего: от точек доступа до центральных скоростных коммутаторов. Очень уж не хотелось разводить зоопарк различного оборудования от разных производителей и потом иметь трудности в обслуживании и модернизации. Помимо техподдержки в рамках «одного окна», есть потребность в создании единой экосистемы, когда всё оборудование легко интегрируется и без проблем взаимодействует между собой.
Доступность в России
Это важно. Купить замечательное устройство с кучей полезных функций, которое можно привезти, например, из США или другой удалённой страны, и потом при малейшей проблеме отправлять его по гарантии и терпеливо ждать, когда приедет замена… Такой вариант точно не подходит для динамичного бизнеса
Важно, чтобы все проблемы решались здесь и сразу, а не через неопределённое время после длительной переписки с заокеанскими коллегами.
Цена. Для независимого бизнеса, который зарабатывает свои деньги самостоятельно, стоимость решения — такой же важный фактор, как и эффективность. Понятно, что бесплатный сыр бывает только в мышеловке, но переплачивать никому не хочется. Поэтому нужны устройства надёжные и недорогие.
Простота управления. Чем проще и быстрее можно разобраться, установить, настроить и потом передать управление в техподдержку — тем лучше. И ещё важна хорошая документация, написанная по принципу: «прочитал и сделал».
Производительность, количество внешних линий, наличие определённых функций — это, несомненно, важные показатели. Но не менее важно постоянное развитие. Нужно быть уверенным в том, что через год, два, десять лет эта компания будет не просто формально присутствовать на рынке, а вести постоянный НИОКР и обновлять парк предлагаемых моделей.
Известное имя. Подытожив всё вышесказанное, становится понятно, что это должен быть не новоявленный полубренд, а известная компания с хорошей репутацией на рынке.
Одним из главных претендентов на роль такого вендора была компания Cisco Systems. Однако сразу остановила высокая цена.
Потом стали рассматривать предложения других известных брендов, которые так же соответствуют заявленным требованиям, но более скромны в финансовом вопросе. Рассматривалось оборудование пяти ведущих мировых производителей.
В итоге остановились на Zyxel.
Ниже комментарий IT директора компании ESTEL Леонида Немцова:
«Мы остановились на решениях Zyxel, потому что только здесь обнаружились отличное соотношение цена/качество, широкая линейка продукции бизнес-сегмента, удобство и простота первоначальной настройки»
Настройка точек доступа
Подготовка
Для локальной настройки нам понадобится персональный компьютер или ноутбук, права пользователя для настройки сетевых параметров, в первую очередь IP адреса и маски подсети.
На первом этапе понадобится подключение по проводной сети. Точки доступа будут расположены в труднодоступных местах, к уличной точке после установки предполагается доступ исключительно по WiFi. Поэтому лучше все настроить по максимуму перед физическим размещением.
Первое, что нужно — получить IP адрес для подключения к устройству.
Сделать это можно несколькими способами:
- Сбросить точку доступа к заводским настройкам и соединиться по IP адресу, указанному в инструкции.
- Если точка получила IP адрес DHCP — его можно узнать на сервере DHCP.
- Можно обойтись и более простым способом — воспользоваться утилитой ZON (Zyxel One Network utility), позволяющей находить сетевое оборудование Zyxel в локальной сети. Данный способ особенно хорош, если точка уже использовалась и нужно посмотреть предыдущие настройки, но IP адрес по какой-то причине не известен.
Настраиваем корневую точку доступа WAC6303D-S
После ввода логина и пароля перед нами появляется окно мастера первоначальной настройки точки доступа.
Сам процесс довольно несложный и позволяет выполнить максимум общих настроек «за один подход».
Рисунок 7. Установка пароля и сетевых настроек.
В конце работы будет представлено завершающее окно с возможностью проверки.
Рисунок 8. Завершающее окно мастера.
После завершения работы мастера попадаем в основной экран веб-интерфейса Dashboard с основными параметрами.
Рисунок 9. Dashboard веб-интерфейса WAC6303D-S.
Теперь нужно изменить параметры связи по умолчанию на те, которые нам нужны. Переходим в раздел Configuration — Wireless — AP Management и устанавливаем для частотного диапазона 2.4 Gz (Radio 1 Setting) параметр Radio 1 OP Mode в Root AP
Рисунок 10. Root AP mode
Далее необходимо установит WDS профиль. Для начала нужно узнать имя профиля по умолчанию.
Для этого переходим в раздел Configuration — Object WDS Profile. Профиль по умолчанию для WDS так и называется — «default» (см. рисунок 7).
Рисунок 11. WDS Profile.
Возвращаемся обратно в раздел Configuration — Wireless — AP Management и устанавливаем профиль «default» в настройках диапазона 2.4Gz.
Рисунок 12. Установка WDS профиля в настройках канала 2.4Gz.
После этого нужно установить SSID сети и реквизиты доступа, соответствующие требованиям вашей сети.
Также не забываем про настройку клиентского доступа, для которого, возможно, придется настроить параметры.
Рисунок 13. Настройка SSID и других параметров.
Для промышленных инсталляций систем рекомендуется использовать WPA Enterprise с соответствующей системой аутентификации, например, через сервер RADIUS. Подробней об этом можно прочитать в статье Настройка WPA2 Enterprise c RADIUS
Настроим уличную точку NWA55AXE
Методы поиска IP адреса и первоначальные настройки выполняются практически идентично по аналогии с WAC6303D-S.
Вначале проходим мастер настройки и устанавливаем общие параметры, включая настройку времени, часового пояса, IP адрес и так далее.
После этого просто переходим в раздел настройки беспроводных соединений и устанавливаем режим Repeater и профиль WDS default.
Рисунок 14. Настройка параметров беспроводной связи точки NWA55AXE.
Далее устанавливаем SSID сети и настройки доступа идентично как для корневой точки доступа (см. выше рисунки 10-13)
Аналогичным образом настраиваем точку доступа WAX610D.
Рисунок 15. Настройка параметров беспроводной связи точки WAX610D.
Итоговая проверка
Отключаем связь уличной (NWA55AXE) и удаленной (WAX610D) точек доступа по проводной сети (не забываем про питание от PoE) и выполняем повторный поиск утилитой ZON. Они должны быть доступны по беспроводной связи. На экране ZON у нас видны все три точки.
Рисунок 16. Утилита ZON видит все три точки, в том числе по беспроводной связи.
Также крайние точки должны отображаться как Neighbors в Dashboard промежуточной точки доступа NWA55AXE, через которую идёт обмен данными между ними. Мы видим в качестве «соседа справа» — WAX610D и «соседа слева» — WAC6303D-S.
Рисунок 17. «Соседи» (Ethernet Neighbor) в интерфейсе Dashboard промежуточной точки доступа NWA55AXE (Repeater) .
Куда и как развиваться
Исходя из существовавших на тот момент бизнес-процессов, удалённые филиалы должны работать на серверах корпоративного ЦОД, расположенного на территории завода в Санкт-Петербурге.
Всё решилось после подсоединения третьего филиала. Увеличение числа пользователей перешло некоторую критическую отметку и «старый-добрый» Microsoft Forefront TMG просто перестал «тянуть» в условиях увеличения нагрузки.
В то время компания взяла тренд на развитие сети собственной дистрибуции с расположением филиалов по всей России. Был намечен план развития с открытием до пяти филиалов в месяц, то есть планировался ощутимый рост всего, в первую очередь — трафика. Требовалась переделка всей сетевой инфраструктуры с направленностью на масштабирование. Стало понятно, что программные продукты универсального типа уже не подходят в качестве замены сетевого оборудования для внешней сети. Потребовалось специализированное аппаратное решение.
Критика
Период, термин сокращенный вход в систему (RSO) использовалось некоторыми, чтобы отразить тот факт, что Единая точка входа нецелесообразно удовлетворять потребность в различных уровнях безопасного доступа на предприятии, и поэтому может потребоваться более одного сервера аутентификации.
Поскольку единый вход обеспечивает доступ ко многим ресурсам после первоначальной аутентификации пользователя («ключи от замка»), это увеличивает негативное влияние в случае, если учетные данные доступны другим людям и используются не по назначению. Следовательно, единый вход требует повышенного внимания к защите учетных данных пользователя и в идеале должен сочетаться с надежными методами аутентификации, такими как смарт-карты и одноразовый пароль жетоны.
Единый вход также делает системы аутентификации очень важными; потеря их доступности может привести к отказу в доступе ко всем системам, объединенным под SSO. SSO может быть настроен с возможностью переключения сеанса при отказе, чтобы поддерживать работу системы. Тем не менее, риск сбоя системы может сделать единый вход нежелательным для систем, доступ к которым должен быть гарантирован в любое время, таких как системы безопасности или системы производственного цеха.
Кроме того, использование методов единой регистрации с использованием социальные сети Такие как может сделать сторонние веб-сайты непригодными для использования в библиотеках, школах или на рабочих местах, которые блокируют сайты социальных сетей по соображениям производительности. Это также может вызвать трудности в странах с активным цензура режимы, такие как Китай и это «Проект Золотой Щит, «где сторонний веб-сайт не может подвергаться активной цензуре, но эффективно блокируется, если заблокирован вход пользователя в социальную сеть.
