Datum: | Sicherheit, WT-News

Heutzutage verlangt fast jede Internetseite eine Authentifizierung, damit Sie auf die Inhalte, Applikationen und Funktionen darauf zugreifen können. Dadurch wird mit zunehmender Anzahl besuchter Seiten oder genutzter Dienste leider auch der Passwort-Dschungel stetig unübersichtlicher. Mit Hilfe von Single Sign-On erhalten Sie nach einem einmaligen Login Zugriff auf mehrere Ressourcen bzw. Services und ersparen sich damit separate Anmeldungen. In diesem Beitrag erklären wir Ihnen, wie das Verfahren funktioniert, welche Vor- und Nachteile SSO gegenüber anderen Authentifizierungsmethoden hat und wo es in der Praxis zu finden ist.

Welche Arten von SSO-Systemen gibt es?

In der Praxis unterscheidet man beim Single Sign-On vornehmlich zwischen Portal-Lösungen, Ticketsystemen und lokalen Lösungen.

Worin unterscheidet sich SSO vom Same-Password-Verfahren (SUSP)?

Zwar nutzt auch SUSP die gleichen Anmeldedaten für verschiedene Services, im Gegensatz zu SSO ist aber dennoch für jeden Dienst eine separate Anmeldung inklusive Login-Eingabe erforderlich.

Wie steht es beim Single Sign-On um die Sicherheit und den Datenschutz?

SSO verringert zwar die Gefahr, dass Sie Opfer von Phishing oder einer Man-in-the-Browser-Attacke werden. Geraten die Zugangsdaten aber dennoch in die falschen Hände, kann das weitreichende Folgen haben.

1. Definition: Was bedeutet Single Sign-On und wie funktioniert es?

Single Sign On Bedeutung: Passwort auf Tastatur

Anstatt mehrerer Accounts und Passwörter benötigen Sie Dank SSO nur noch einen einzelnen Login-Datensatz.

Single Sign-On (SSO) bedeutet frei übersetzt so viel wie „Einmalanmeldung“ und beschreibt ein Verfahren, mit dem Sie über einen einzigen Authentifizierungsprozess Zugriff auf verschiedenen Anwendungen, Dienste oder Ressourcen erhalten. Anstatt mehrerer Accounts und Passwörter benötigen Sie somit nur noch einen einzelnen Login-Datensatz.

Zu diesem Zweck weist SSO Ihnen eine übergreifende Identität zu, die gleichzeitig für mehrere Services gültig und allen beteiligten Anwendungen bekannt ist. Darüber hinaus verfügt das System auch über alle Ihre Zugangsdaten und bestätigt diese gegenüber den betreffenden Diensten und Anwendungen.

Gut zu wissen: Das Konzept einer zentralisierten bzw. verknüpften elektronischen Identität, die sich über mehrere Systeme erstreckt, bezeichnet man als „föderierte Identität“.

1.1. SSO-Authentifizierungssysteme

Die Implementierung der Mechanismen kann dabei auf unterschiedliche Art und Weisen erfolgen. Grundsätzlich differiert man aber zwischen drei Authentifizierungssystemen:

  • OpenID ist ein dezentrales Open Source SSO-Authentifizierungssystem, das sich in erster Linie für webbasierte Services eignet. Für die Verwendung benötigt der Nutzer einen sogenannten OpenID-Account (Identifier-URL), den er von einem OpenID-Identity-Provider (z.B. Google) erhält. Mit diesem wird der Benutzer gegenüber allen anderen SSO-Services authentifiziert. Der zugehörige OI-Provider überträgt im Anschluss einen Token, der der betreffenden Webseite als Beweis für die Identität des Anwenders dient.

  • Das OAuth2-Protokoll hat sich in den letzten Jahren zu einer Art Standard für die Clientautorisierung bei APIs entwickelt und wird mittlerweile auch von vielen großen Anbietern wie Google, Facebook oder Twitter verwendet. Anstatt sich wie OpenID direkt bei einer Webseite authentifizieren, delegiert der Nutzer diese Aufgabe an einen Client. Dieser meldet sich dann mit einem Token des OI-Providers bei der Webseite an. Das hat den Vorteil, dass Sie Ihre Daten nicht direkt an die betreffende Website übertragen müssen.
  • Das webbasierte Single Sign-On Protokoll SAML (Security Assertion Markup Language) ist das älteste der drei Verfahren. Es stellt dem Browser des Benutzers einen verschlüsselten Session-Cookie inklusive Ablaufdatum zur Verfügung, mit dem sich dieser eindeutig gegenüber den anderen Diensten verifizieren kann. Die Dienste selbst können sich dabei entweder im lokalen Netzwerk oder im Internet befinden.

Die Anmeldung bleibt so lange erhalten, bis Sie sich mit Ihrem zentralen Account abmelden („Single Sign-Off“) oder ein automatischer Logout nach einem vorgegebenen Zeitraum initiiert wird.

Gut zu wissen: Authentifizierung ist nicht gleich Autorisierung. Leider kommt es aufgrund der Ähnlichkeit der beiden Begriffe häufig zu Verwechslungen. Während Authentifizierung bei einer Identifikation des Benutzers anhand seiner Zugangsdaten erfolgt, erteilt dieser bei einer Autorisierung einem Dienst die Berechtigung für die Nutzung bestimmter Profildaten.

2. Welche Vor- und Nachteile hat Single Sign-On gegenüber anderen Authentifizierungsverfahren?

Single Sign On schützt gegen Phishing unter Windows

Da die Daten beim Single Sign-on nur an einer einzigen Stelle hinterlegt sind, vermindert sich auch das Risiko von Phishing-Attacken und Man-in-the-Browser-Angriffen

Einer der größten Vorteile von SSO ist sicherlich der Zeitgewinn. Denn durch die einmalige Authentifizierung ersparen Sie sich das Eintippen ständig neuer Benutzernamen und Passwörter. Das macht Sie nicht nur produktiver, sondern erhöht gleichzeitig auch die Sicherheit, da die Phrase nur einmal übertragen wird und Sie sich nicht mit einer langen Liste (häufig noch unsicherer) Kennwörter herumschlagen müssen. Ein einzelnes Passwort merkt man sich für gewöhnlich leichter, daher darf dieses auch ruhig ein wenig komplizierter sein.

Möchten Sie den Zugriff für einen Anwender sperren oder überarbeiten, sind dafür keine zeitraubenden und fehleranfälligen Konfigurationen an mehreren Logins auf unterschiedlichen Datenbanken mehr erforderlich. Stattdessen werden die entsprechenden Änderungen an der übergreifenden Identität vorgenommen und so auf alle beteiligten Instanzen repliziert.

Ein weiteres Plus: Da die Daten nur an einer einzigen Stelle hinterlegt sind, vermindert SSO zugleich auch das Risiko von Phishing-Attacken und Man-in-the-Browser-Angriffen.

Single Sign-on hat nicht nur Vorteile

Hacker vor dem PC

Geraten die Zugangsdaten in die Hände von Hackern, kann das schlimme Folgen haben, da damit der Zugriff auf gleich mehrere Systeme ermöglicht wird.

Doch trotz aller positiven Aspekte hat das Verfahren auch einige Nachteile, die wir natürlich nicht außer Acht lassen möchten. So kann SSO beispielsweise nur mit Diensten verwendet werden, die das System auch verwalten kann. Richtig gefährlich wird es allerdings dann, wenn Ihre Zugangsdaten einmal in die falschen Hände geraten sollten, da damit der Zugriff auf gleich mehrere System ermöglicht wird.

Zudem hängt die Verfügbarkeit der unterschiedlichen Dienste und Anwendungen direkt vom Single Sign-On ab. Heißt im Klartext: Ist das System einmal defekt oder arbeitet aus einem anderen Grund nicht richtig, können Sie es auch nicht partiell verwenden. Das gilt im Übrigen auch für gesperrte User. Wird Ihr Login (z.B. aufgrund mehrmaliger Falscheingabe) für einen SSO-Service geblockt, haben Sie auch auf alle anderen keinen Zugriff mehr.

3. Welche Arten von SSO gibt es und wo findet man diese in der Praxis?

Aufgrund Ihrer großen Nutzerfreundlichkeit findet man SSO-Verfahren sowohl im privaten als auch im professionellen Bereich und auf dem Markt hat sich mittlerweile eine ganze Reihe von Diensten etabliert, mit denen sich diese realisieren lassen. Dabei handelt es sich überwiegend um einen der folgenden drei Lösungsansätze:

3.1. Portal-Lösungen

Office 365 unter Windows

Auch Office 365 ist im Prinzip nichts anderes als eine Portal-Lösung: Mit nur einer Anmeldung können Sie (sofern lizenziert) alle zugehörigen Programme nutzen.

Der Name lässt es bereits erahnen: Bei einer Portallösung melden Sie sich an einem Portal an, in dem verschiedene Anwendungen, Dienste und Prozesse integriert sind. Mit Ihrer Anmeldung wird Ihre Identität einmalig verifiziert und Sie erhalten im Anschluss Zugang zu allen Inhalten, Funktionen und Ressourcen.

Ein typisches Beispiel für Portallösung ist Ihr Google-Account: Mit nur einer Anmeldung können Sie unter anderem Google Mail und die Cloud Platform nutzen, im Play Store einkaufen oder Maps personalisieren.

3.2. Ticketsysteme

Beim Ticketsystem handelt es sich um eine SSO-Lösung, die aus einem Netzwerk von miteinander bekannten Diensten besteht. Für den Zugriff loggen Sie sich einmal ein und erhalten ein virtuelles Ticket. Mit diesem identifizieren Sie sich gegenüber den anderen Teilnehmern. Das System bescheinigt  Sie anschließend als „vertrauenswürdig“ und gibt Sie für die anderen Teilnehmer frei.

Zu den bekanntesten Vertretern der Kategorie Ticketsysteme zählen beispielsweise das Liberty Alliance Project und der Authentifizierungsdienst Kerberos.

3.3. Lokale Lösungen

Bei lokale Lösungen werden die Zugangsdaten und Passwörter an einer zentralen Stelle (z.B. einem externen Datenträger, einem Netzwerk-Rechner im Unternehmen oder in der Cloud) hinterlegt und mit einem einzigen Benutzernamen und einem sogenannten „Meta-Passwort“ verschlüsselt.

Dafür setzt man in der Regel einen SSO-Client ein, der auf dem regelmäßig genutzten Arbeitsplatz installiert wird. Dieser ist so konfiguriert, dass er die Informationen automatisch aus der jeweiligen Quelle holt und in die gerade geöffnete Anmeldemaske einträgt.

Bei den Passwortdiensten von Apple (Safari) und Google (Chrome) handelt es sich beispielsweise derartige SSO-Clients.

62 Bewertungen

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne Ø 4,48
Single Sign-on (SSO): Erklärung, Anwendungsbeispiele, Vor- und Nachteile
Loading...

Hinterlasse eine Antwort

(wird nicht veröffentlicht)

Nutzungsrichtlinien beachten