Single Sign-On (SSO) är en autentiseringsprocess som tillåter

en utvecklare att delegera autentiseringsansvaret till en

dedikerad tjänst. OAuth 2.0 är ett auktoriseringsramverk

som ofta står som grund för ett autentiseringslager som i sin

tur möjliggör SSO. En identitetsleverantör är tjänsten som

står för hantering av användaruppgifterna och

autentiseringen, två vanliga identitetsleverantörer är Google

och Facebook som i sin tur implementerar SSO med hjälp

utav autentiseringslagren OpenID Connect respektive

Facebooks egna autentiseringslager. Det har visat sig att

många klienter som ska utnyttja SSO med OAuth 2.0

implementerar det fel så att säkerhetsbrister uppstår, studier

har utförts med förslag till lösningar men många bristande

implementationer fortsätter produceras och existera. Att

skapa diverse verktyg för att främja säkerhet i dessa

sammanhang är en metod där OAuthGuard utvecklats med

visionen att även kunna skydda användaren, direkt från en

webbläsare. OAuthGuard har även tidigare använts för att

analysera säkerheten med Google SSO och visat att 50% av

undersökta klienter har brister, men motsvarande studie eller

verktyg saknas för Facebook SSO. Denna studie gjorde en

motsvarande undersökning för Facebook SSO-klienter med

en vidareutvecklad version av OAuthGuard och fann att de

lider av brister med liknande trend som tidigare studies

resultat mot Google-SSO-klienter, men att färre Facebook-

SSO-klienter har brister i jämförelse. Vid vidareutvecklingen

av OAuthGuard upptäcktes ett antal svårigheter och

framtiden för denna typ av verktyg behöver vidare

analyseras. Vidare analys behöver även göras för att bedöma

om Facebook-SSO kan vara att föredra över Google-SSO ur

säkerhetsperspektiv samt vidare utforskande av nya

säkerhetsfrämjande metoder behöver utföras.

Single Sign-On (SSO) is an authentication process that allows

a developer to delegate the authentication responsibility to a

dedicated service. OAuth 2.0 is an authorization framework

that often serves as a base for authentication layers to be built

upon that in turn allows for SSO. An identity provider is the

service that is responsible for handling user credentials and

the authentication, two common identity providers are

Google and Facebook that implement SSO with the

authentication layers OpenID Connect respectively

Facebooks own authentication layer. It has been shown that

many clients using OAuth 2.0 as base for SSO make faulty

implementations leading to security issues, a number of

studies has proposed solutions to these issues but faulty

implementations are continually being made. To create

various tools to promote security in these contexts is a

method where OAuthGuard has been developed with the

vision to also directly protect the common website user

directly from the browser. OAuthGuard has been used in an

earlier study to analyze the security of clients using Google

SSO and discovered that 50% of the analyzed clients had

flaws, no comparable study has been done for clients using

Facebook SSO, which is the second largest third party log in

variant. This study made a comparable investigation for

Facebook SSO clients with a further developed version of

OAuthGuard and found that these clients suffer from flaws

with a similar trend as the previous study with Google-SSO

clients, although fewer Facebook-SSO clients suffer from

these flaws. When further developing OAuthGuard a

dumber of difficulties was discovered and the future of these

kind of tools needs to be investigated. Further analysis needs

to be done to assess if Facebook-SSO should be

recommended over Google-SSO from a security perspective

and also further exploration of new methods to promote

security needs to be done.