Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Software & Services > Single Sign On ja, aber richtig!

Lokales Kennwortmanagement - ein Sicherheitsrisiko

Single Sign On ja, aber richtig!

27. Juli 2010, 10:17 Uhr |
Martin Kuppinger warnt vor Schummellösungen bei Single-Sign-On

Auf dem Black Hat-Treffen in den USA kommende Woche soll demonstriert werden, wie sich der lokale Kennwortspeicher des Firefox-Browsers mit Hilfe von sogenannten Cross Site Scripting-Attacken (XSS) knacken lässt. Nur: Dass solche lokalen Ansätze per se unsicher sind, ist keine Überraschung. Single Sign-On macht Sinn, aber nur wenn es richtig gemacht ist.

Das grundsätzliche Problem ist dabei die sichere Ablage von Credentials. Bei Enterprise Single Sign-On-Lösungen, wie sie inzwischen verbreitet im Einsatz sind, speichern die Kennwörter in zentralen Speichern. Auch hier gilt es zu hinterfragen, wie sicher diese sind. Grundsätzlich lassen sich aber zentrale Server-Systeme besser absichern als dezentrale Clients.

Bei rein lokalen Lösungen läuft es dagegen darauf hinaus, dass die Kennwörter systemseitig verschlüsselt abgelegt werden. Um sie wieder nutzen zu können, muss das System wie ein Browser oder ein lokaler Passwort-Manager diese aber auch wieder entschlüsseln können – und dazu braucht er Zugriff auf den Schlüssel. Da dieser nicht vom Benutzer eingegeben wird, muss er im System liegen. Und so gut man ihn auch versteckt oder wieder verschlüsselt oder auf Basis von Algorithmen unter Verwendung von bestimmten fixen Informationen im System erzeugt: Er ist eine Schwachstelle.

Besser sieht es da schon aus, wenn man zusätzliche Hardware-Elemente (auch als Tokens bezeichnet) wie Smartcards oder USB-Geräte verwendet, auf denen die Credentials in sicherer Weise abgelegt werden. Auch die Möglichkeiten, die TPMs (Trusted Platform Modules) bieten, sind definitiv interessant. Die Low End-Lösungen sind es aber nicht.

Noch besser ist der Schritt weg vom »Schummel-SSO«, bei dem es auf Anwendungsebene immer noch unterschiedliche Benutzernamen, Kennwörter und andere Credentials gibt und hin zu echtem Single Sign-On. Kerberos und Identity Federation heißen hier die Ansätze der Wahl. Hier gibt es ein hoffentlich gut geschütztes zentrales Authentifizierungssystem. Bei der Identity Federation heißt es Identity Provider, bei Kerberos ist es der Kerberos KDC (Key Distribution Center).

  1. Single Sign On ja, aber richtig!
  2. Ein sicheres Kennwort für Alles

Lesen Sie mehr zum Thema

Kuppinger Cole
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Kuppinger Cole

Informationssicherheit

Kuppinger-Cole: Private Endgeräte in der Firma…

Gastkommentar

Swift-Abkommen vs Sicherheit

Gastbeitrag: Virtualisierung will wohlüberlegt…

Desktop-Virtualisierung - mehr als nur ein Hype?

Gastbeitrag: Welcher Identity Provider für was?

Es gibt mehr als nur die interne IT

Gastbeitrag: Sicheres Cloud Computing

Sicherheit in der Cloud - eine Frage der Planung

Matchmaker+
estos GmbH

estos GmbH

Riello UPS GmbH

Riello UPS GmbH
GoTo Technologies Germany GmbH

GoTo Technologies Germany GmbH
Vodia Networks GmbH

Vodia Networks GmbH
d.velop AG

d.velop AG
TREND MICRO Deutschland GmbH

TREND MICRO Deutschland GmbH