Demgegenüber stehen ein gewisser Implementierungsaufwand sowie die inhärenten Schwächen von Single-Sign-On: Grundsätzlich können nur diejenigen Dienste verwendet werden, die auch vom jeweiligen SSO-System unterstützt werden. Versagt das SSO-System seinen Dienst, fällt auch der Zugriff auf die damit verbundenen Anwendungen weg. Das ist z. B. der Fall, wenn auch Social-Media-Accounts eingebunden sind, die in Büchereien und Bildungsinstitutionen, aus Produktionsgründen an bestimmten Arbeitsplätzen oder in Ländern mit aktiver Zensur (z. B. der Volksrepublik China) vom Netzwerk blockiert werden.
Auch die angepriesene Sicherheit von Single-Sign-On ist mit Vorsicht zu genießen: Verlässt ein Benutzer seinen Arbeitsplatz, kann ein Dritter die Zeitspanne bis zum automatischen Single-Sign-Out theoretisch dazu ausnutzen, bereits gewährte Zugriffe weiterzuverwenden. Problematisch ist es auch, wenn das „Master-Passwort“ für die SSO-Schnittstelle in fremde Hände fällt – dadurch hat der Angreifer sofortigen Zugriff auf alle assoziierten Dienste. Und dass auch die besten SSO-Verfahren trotz ihres guten Rufs nicht vor Phishing gefeit sind, wurde bereits bewiesen.
Kopfzerbrechen bereitet manchen auch die inzwischen gültige DSGVO, in der die Anforderungen des Schutzes personenbezogener Daten seit dem 25. Mai 2018 europaweit geregelt sind. In jedem Fall ist es notwendig, von den Nutzern eine explizite Einwilligungserklärung einzuholen, um Single-Sign-On rechtskonform implementieren und umsetzen zu können. Die juristische Lage war hierbei schon mit dem Telemediengesetz (TMG) sowie dem alten Bundesdatenschutzgesetz (BDSG-alt) problematisch. Einer der größten Streitpunkte bleibt deshalb vorerst die massenhafte Datensammlung durch Internetkonzerne wie Google und Facebook, wodurch Daten-Leaks zu einer regelrechten Katastrophe für die Privatsphäre sowie firmeninterne Daten werden können.
Angesichts dieser offensichtlichen Risiken ist es notwendig, ein besonderes Augenmerk auf die Sicherheit der serverseitig gespeicherten Daten zu legen. Sichere Single-Sign-On-Verfahren sollten also im Bestfall mit wirksamen Mitteln zur Zwei-Faktor-Authentifizierung zusätzlich verstärkt werden – dazu zählen etwa Smart Cards oder Tokens, die TANs generieren können.