Jogos, ez egy teljesen reális ütemterv lenne.
Az SSO (és hasonló jellegű dolgok) eltörését én kivétellistával orvosolnám, így a felhasználónak teljesen egyértelmű hogy kik ismerik "internetszerte" az identitását. (Tulajdonképpen ez kell az SSO-hoz is, meg a marketing profilozáshoz is, de ez szerintem jogilag is nehezen választható szét)
Esetleg (akárcsak a certeket) a kivétel listát is előre fel lehetne tölteni vállalati gépeknél.