25.07.2014

Single Sign On: Weltweit einfache und sichere Logins!

Kennen Sie das? Ein Passwort benötigen Sie beim morgendlichen Anmelden für den Zugang zum Unternehmensnetz, ein weiteres für das Intranet, das dritte wird fällig für das gemeinsame Dokumentenmanagement beim externen Dienstleister, und damit hört es noch lange nicht auf. Single Sign On verspricht hier Abhilfe und mit WebSSO stellen wir Ihnen heute eine der neueren Ideen auf diesem Gebiet vor.

Von: Lars Behrens   Drucken Teilen   Kommentieren  

Lars Behrens, Dipl.-Paed

Lars Behrens ist Geschäftsführer der Firma MaLiWi IT. Staatlich geprüfter Netzwerkadministrator, Microsoft MCP/Linux LCP. Er hat langjährige Erfahrung in der Beratung bei Planung und Einrichtung von IT-Systemen und Netzwerken und dem Support heterogener Systeme (Apple Macintosh, Microsoft Windows, Linux). Universitätsstudium der Pädagogik, mehrere Jahre Tätigkeit im Ausland. Seminar- und Kursleiter, Referent und Fachbuchautor. Weiterhin ist er Herausgeber von dem Online-Fachportal «InformatikPraxis» bei der WEKA Business Media AG.

MaLiWi IT

 zum Portrait

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 
Single Sign on

Eine gemeinsame Basis für die verschiedenen Anmeldeverfahren, denen sich der durchschnittliche Nutzer von IT-Systemen im Laufe seines Büroalltages unterziehen muss, ist eigentlich ein alter Hut. Der kleinste gemeinsame Nenner ist dabei eine zentrale Vorhaltung der so genannten Credentials, also der Kombination aus Benutzername und Kennwort. Ein weit verbreiteter Standard für eine solche Speicherung stellt beispielsweise LDAP dar. Das Lightweight Directory Access Protocol ist dabei selber keine Datenbank, es stellt vielmehr ein strukturiertes Verzeichnis von Informationen zur Verfügung. Solche Informationen können eben Name/Passwortkombinationen sein. Selbstverständlich können diese Informationen auch in einer richtigen Datenbank wie etwa SQL gespeichert werden. Entscheidend ist die Frage der einfachen und möglichst standardisierten Anbindung weiterer Systeme. Dies geschieht über einen Authentifizierungsmechanismus. Längst etablierte Beispiele sind Logins im Unternehmen, die nicht allein vom Anmeldeserver abgefragt werden, sondern auch gleich vom Fileserver, vom Intranet und vom Webmailsystem. Idealerweise muss ein Benutzer, sofern die Systeme entsprechend untereinander verbunden sind, seine Credentials nur ein einziges Mal vorweisen und erhält dann Zugriff auf alle Ressourcen im Unternehmensverbund. Ebenfalls nicht unüblich, aber natürlich weitaus weniger kommod ist das Vorgehen, alle vertraulichen Ressourcen zwar gegen eine einzige Benutzerdatenbank authentifizieren zu lassen, aber den Benutzer bei jedem Zugriff aufs Neue nach den Credentials zu fragen. Der Vorteil hierbei ist, dass man sich nur ein einziges Passwort zu merken braucht. Echtes Single Sign On geht aber darüber hinaus.

Single Sign On: Safety first!

Ein Aspekt ist bei Single Sign On natürlich eminent wichtig: das Verfahren zur Umsetzung eines Single Sign On darf nicht weniger sicher sein als das Authentifizierungsverfahren selbst. Beispiel: Würde man bei einer Netzeinwahl per RADIUS letzteres mit dem Kerberos-Verfahren absichern, als vorgeschalteten Single Sign On-Mechanismus aber eine simple Passwortauthentisierung nutzen, die schlimmstenfalls die Nutzung so genannter weicher Passwörter gestattet, bräuchte ein Angreifer sich nicht mehr die Mühe zu machen, das als sehr sicher geltende Gespann RADIUS/Kerberos auszuhebeln. Mit einer simplen Wörterbuchattacke auf das Single Sign On hätte er recht gute Aussichten, sich Zugriff auf die gesamte Identität zu verschaffen.

Dass Single Sign On-Verfahren grundsätzlich auch ein nicht unerhebliches Gefahrenpotenzial bergen, belegt eine Meldung vom Jahr 2012: «The single sign on-protocols that allow users to sign in to a range of Web sites with their Google or Facebook accounts suffer from security flaws that could allow scammers to log in as somebody else, security researchers have reported.» (siehe www.itbusiness.ca)

Einmal mehr: Sichere Passwörter verwenden!

Und weitere aktuelle Angriffsszenarien unterstreichen, wie wichtig sichere Authentifizierungssysteme sind – allen voran die Verwendung hoch sicherer Credentials, angefangen beim schlichten und berühmt-berüchtigten Mausi/Spatzi-Credential. Es wird immer wieder in erschreckender Klarheit deutlich, dass ein Grossteil der Sicherheit in der elektronischen Welt an sicheren Passwörtern hängt. Wer einmal die Webseite www.wpacracker.com besucht, wird sich womöglich wundern: dort wird ein Cloud-Dienst angeboten, um Passwörter zu hacken.

Neben zwei englischen Wörterbüchern (einem mit 135 Millionen Einträgen und einem weiteren sogar mit 284 Millionen weiteren Einträgen!) ist auch ein Deutsches Wörterbuch verfügbar. Zudem steht ein Wörterbuch mit 100 Millionen Abwandlungen bekannter Passwörter zur Verfügung. WPACracker selber wirbt damit, das englische Wörterbuch innerhalb von etwa 20 Minuten durchtesten zu können – Sie können, wenn Sie mögen, es ja gerne einmal drauf ankommen lassen. (Quelle: www.ceilers-news.de)

Und das Georgia Tech Research Institute verweist auf die Möglichkeiten zur Berechnung von Passwortkombinationen, die inzwischen sogar Grafikkarten bieten: «Bereits jetzt können wir sagen, dass siebenstellige Passwörter hoffnungslos veraltet sind. Nachdem die Rechenleistung der Grafikkarten jedes Jahr besser wird, steigt auch die Bedrohung ständig an.» (zit. n. www.tecchannel.de)

Web Single Sign On

Im Grunde genommen ist auch WebSSO – also Web Single Sign On – ein aus IT-Sicht alter Hut. Die Idee, einen Benutzer mit ein und derselben Authentifizierung auf mehrere Systeme zugreifen zu lassen, wurde bereits im letzten Jahrzehnt umgesetzt. Neu an dem Entwurf des US-Amerikaners Nathaniel Mccallums (der ansonsten seine Brötchen als Mitarbeiter des Linux-Betriebssystemspezialisten RedHat verdient) ist dabei, eine gesamte Sicherheitsinfrastruktur auf Zertifikaten aufbauen zu lassen – und den Schwerpunkt der Umsetzung auf die Cloud zu legen. Sein Entwurf für ein Web Single Sign On setzt entsprechend auf HTTPS/TLS mit Client-Zertifikaten auf. Möchte ein Benutzer Zugriff auf eine per WebSSO abgesicherte Ressource erlangen, fragt dieses System zuerst nach dessen Zertifikat. Dieses kann es dabei nicht nur aus einem lokalen System beziehen – wie es etwa beim Anmeldevorgang in der klassischen Microsoft-Domäne der Fall wäre, – sondern auch und vor allem aus einem verteilten System im (auch weltweiten) Netzwerk.

Das Interessante an Mccallums WebSSO ist, dass jeder User eine weltweit (!) eindeutige Identität auf der Basis bereits bestehender Zertifizierungsinstanzen erhält. Eine solche Zertifizierungsinstanz kennen wir alle: die kantonale Passstelle. Zeigen Sie nun Ihre Identitätskarte beispielsweise bei einem Autovermieter vor, vertraut dieser der ausstellenden Passstelle – und damit letztlich Ihnen.

In der Welt der IT begegnen uns Zertifizierungsinstanzen ebenfalls ständig: Webseiten, die per SSL/TLS abgesichert sind (erkennbar am führenden https:// in der Browseradresse), weisen sich Ihrem Browser gegenüber per Zertifikat aus, welches von einer Zertifizierungsinstanz wie VeriSign ausgestellt wurde. Der Trick bei der ganzen Sache: wichtige Zertifizierungsinstanzen wie besagtes VeriSign, StartSSL oder Thawte haben ihre eigenen Zertifikate, die die Echtheit der für die Webseitenbetreiber (meist gegen Gebühr) ausgestellten SSL-Zertifikate bescheinigen, in den Browsern wie Firefox, Internet Explorer oder Chrome implementiert. Dadurch kann der Browser beim Aufruf einer per SSL abgesicherten Webseite anhand der integrierten Zertifikate überprüfen, ob die Webseite tatsächlich diejenige ist, die zu sein sie vorgibt.

WebSSO soll laut Entwickler Mccallum folgende Features mit sich bringen:

  • Eine Single Sign On-Technik, die ebenso in lokalen Netzen, dem Internet und der Cloud funktioniert.
  • Dezentrale Authentifizierung.
  • Delegation von Credentials - damit ist gemeint, dass die vom Benutzer angegebenen Credentials (Name/Passwort, Smartcard o.ä.) nach Prüfung auch Echtheit innerhalb der Single Sign On-Infrastruktur an die verschiedenen, beteiligten Systeme vertraulich verteilt werden.
  • Baut auf bestehender HTTPS-Technik auf.
  • Multi-Protokoll Unterstützung (also bspw. nicht auf HTTP beschränkt).
  • Absicherung aller beteiligten Instanzen über eine PKI-Infrastruktur.

SuisseID und WebSSO

Für ein solches SSO-Verfahren können, wie bereits benannt, verschiedene Credentials genutzt werden – das heisst, dass Nutzer idealerweise selber entscheiden können, ob sie eine Benutzername/Passwort-Kombination (in diesem Fall aus Sicherheitsgründen ein einmalig gültiges Passwort oder eine vom Onlinebanking bekannte TAN) verwenden wollen oder zusätzlich ein externes Identifizierungsmedium wie eine Smartcard. Und beim Thema Smartcard denkt so mancher sicher sogleich an ein weiteres, aktuelles Thema: wir berichteten bereits über die SuisseID. Lässt sich diese für Single Sign On nutzen?

Hierzu gibt es inzwischen eine ganze Reihe bejahender Aussagen, beispielsweise zur SuisseID der Post: «Diverse Applikation und Betriebssysteme sind dafür bereits vorbereitet und müssen durch den Benutzer nur von Benutzername und Passwort auf Single Sign On mittels Smartcard (SuisseID) umgestellt werden.»

Und einen interessanten Aspekt für Unternehmen, die etwa einen Webshop betreiben und diesen per SuisseID absichern wollen, nennt die Webseite gleich mit: «Die SuisseID (kann man) zur Authentifizierung bei eigenen Applikationen nutzen.»

Auch hier könnte die Vermählung mit dem neuen WebSSO eine erhebliche Erleichterung bei der Authentifizierung bringen, ohne, dass die Sicherheit dabei vernachlässigt wird. Wir bleiben auf jeden Fall am Thema Single Sign On und WebSSO dran – es bleibt spannend!

Sie finden die gesamte Präsentation auf http://websso.github.io

Produkt-Empfehlungen

  • InformatikPraxis

    InformatikPraxis

    DIE ultimative Praxislösung für IT-Entscheider!

    ab CHF 168.00

  • IT-Sicherheit

    IT-Sicherheit

    Schützen Sie Ihr Unternehmen konsequent vor Systemstörungen und Risiken.

    Mehr Infos

  • Cloud-Computing

    Cloud-Computing

    Erfahren Sie welchen Nutzen Cloud-Computing Ihnen und Ihrem Unternehmen bringen kann.

    Mehr Infos

Seminar-Empfehlung

Praxis-Seminar, 1 Tag, ZWB, Zürich

IT-Verträge entwerfen und verhandeln

Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

Nächster Termin: 19. Juni 2018

mehr Infos

Seminar-Empfehlung

Praxis-Seminar, 1 Tag, ZWB, Zürich

Selbst- und Zeitmanagement für Führungskräfte

Sich selbst erfolgreich und optimal organisieren

Nächster Termin: 05. April 2018

mehr Infos

Seminar-Empfehlung

Praxis-Seminar, 1 Tag, ZWB, Zürich

Führen von Führungskräften

Fokus und Zusammenarbeit mit eigenen Führungskräften stärken

Nächster Termin: 22. März 2018

mehr Infos