Carsten Eilers Selbstständig

„SSO-Lösungen sind bequem und erhöhen oft auch die Sicherheit, da sich die Benutzer statt vieler verschiedener Zugangsdaten nur die für den SSO-Dienst merken müssen. „Oft“ deswegen, weil das natürlich nur gilt, wenn die SSO-Zugangsdaten sicher sind und wenn die dadurch eingesparten Zugangsdaten unsicher wären.“

Single Sign-on (kurz SSO), das bedeutet, man muss sich nur einmal einloggen und schon ist man überall drin. Das ist praktisch. Aber auch gefährlich. Denn das SSO erspart Ihnen das Merken von Zugangsdaten für etliche Dienste – und einem Angreifer das Knacken dieser vielen Zugangsdaten. Der muss auch nur den SSO-Zugang knacken und kommt in Ihrem Namen überall rein.

Ganz allgemein bedeutet Single Sign-on, dass sich der Benutzer bei einem Dienst authentifiziert, irgendeine Form von Token erhält und danach mit diesem Token im Rahmen seiner Berechtigungen ohne erneute Authentifizierung auch auf andere Dienste zugreifen darf. Angeblich wird SSO manchmal mit verzeichnisbasierten Authentifizierungssystemen verwechselt, bei denen der Benutzer sich bei jedem Dienst manuell anmeldet, dabei aber immer die gleichen, in einem zentralen Verzeichnis gespeicherten Zugangsdaten verwendet. Dabei ist der Unterschied eigentlich leicht zu erkennen und zu merken:

  • Single Sign-on = Einmal anmelden, danach erfolgt die weitere Authentifizierung/Autorisierung im Hintergrund
  • Verzeichnisbasierte Authentifizierung = Einmal anmelden, und mit den gleichen Daten woanders anmelden, und dann noch mal, und …

Eigentlich sollte man meinen, dass man das doch kaum verwechseln kann, oder?

Mögliche Angriffe aufs SSO

Auch bei den möglichen Angriffen unterscheiden sich die beiden Ansätze. Beim reinen Ausspähen von Zugangsdaten gibt es keinen Unterschied: Wer die Zugangsdaten kennt, kann sich damit sowohl beim SSO als auch bei der verzeichnisbasierten Authentifizierung genauso wie der Benutzer anmelden. Anders sieht es aus, wenn der Angreifer sich über andere Wege Zugriff verschafft:

  • Ein Angreifer, der sich erfolgreich Zugriff auf das SSO verschafft, kann danach auf alle damit verbundenen Dienste zugreifen, das SSO-System stellt ihm bereitwillig das nötige Token aus, da er ja als authentifiziert gilt.
  • Bei der verzeichnisbasierten Authentifizierung hat der Angreifer nur Zugriff auf den angegriffenen Dienst. Für den Zugriff auf weitere Dienste muss er deren Authentifizierung separat brechen. Außer, wenn er nach dem ersten Angriff die Zugangsdaten ausspähen kann, mit denen er sich dann wieder überall anmelden kann.
  • Beim SSO ist zusätzlich das Token ein weiteres Angriffsziel, da damit der Zugriff auf die anderen Dienste möglich ist. Gelangt der Angreifer an ein gültiges Token und gibt es keine weiteren Schutzmaßnahmen, kann er sich damit als der betreffende Benutzer ausgeben.

SSO-Lösungen im Überblick

Kommen wir zu einigen Möglichkeiten für das SSO. Einige habe ich bereits in vorherigen Artikeln behandelt, auch wenn dabei das Buzzword „Single Sign-on“ nicht gefallen ist. Dazu gehört z. B. Kerberos, unter Windows in der Kombination mit Active Directory.

Den vollständigen Artikel lesen Sie in der Ausgabe:

Windows Developer 4.19 - "Zentral zwischen Server und Cloud"

Alle Infos zum Heft
579882769SSO: Single Sign-on und die Sicherheit
X
- Gib Deinen Standort ein -
- or -