Ces avantages doivent être mis en balance avec un certain effort d’implémentation ainsi qu’avec des faiblesses inhérentes à Single Sign-On : en principe, seuls les services supportés par le système SSO peuvent être utilisés. Si le système SSO n’est pas en mesure de s’acquitter de ses tâches, l’accès aux applications associées échoue également. C’est notamment le cas lorsque des comptes de réseaux sociaux sont bloqués par le réseau de bibliothèques et d’institutions publiques, de certains lieux de travail pour des raisons de production ou de pays exerçant une censure active (par ex. la République populaire de Chine).
La sécurité du Single Sign-On annoncée doit également être prise avec précaution : si un utilisateur quitte son poste de travail, un tiers peut en théorie utiliser l’intervalle jusqu’à un single sign-out automatique pour continuer à utiliser des accès déjà accordés. La situation peut également être problématique si le « mot de passe maître » pour l’interface SSO tombe aux mains de tiers donnant ainsi à l’attaquant un accès immédiat à tous les services associés. Par ailleurs, il a été prouvé que même les meilleures procédures SSO ne sont pas immunisées contre le phishing.
Le RGPD, qui est en vigueur depuis le 25 mai 2018 et définit les exigences en matière de protection des données à caractère personnel à l’échelle de l’Europe, a également donné la migraine à certains systèmes SSO. Dans tous les cas, il est nécessaire d’obtenir une déclaration de consentement explicite de la part de l’utilisateur pour implémenter et mettre en œuvre le Single Sign-On conformément à la législation. Quoi qu’il en soit, la situation juridique était déjà problématique avec la loi « Informatique et libertés ». L’un des plus gros points de litige reste par conséquent la collecte de données massive effectuée par les géants du numérique, comme Google et Facebook, les fuites de données pouvant devenir de véritables catastrophes pour la vie privée et les données internes des entreprises.
Au vu de ces risques évidents, il est nécessaire d’accorder une attention particulière à la sécurité des données côté serveur. Idéalement, les procédures Single Sign-On sûres devraient être renforcées avec des moyens efficaces d’authentification à double facteur dont font notamment partie les cartes à puce ou les jetons pouvant générer des TAN.