Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Datacenter & Verkabelung > Passworte sind meist die Wurzel allen Übels

Kommentar: Passwortschutz

Passworte sind meist die Wurzel allen Übels

31. Juli 2012, 14:01 Uhr | Mathias Hein, freier Consultant in Neuburg an der Donau
Fortsetzung des Artikels von Teil 1

Sind SSO und SAML die Rettungsanker?

Seit einigen Jahren versuchen die Unternehmen ihre Zugangs- und Authentifizierungsprobleme mit Single-Sign-On- (SSO-)Lösungen zu beseitigen. Frühen basierten SSO-Lösungen auf proprietären Herstellerprodukten. Erst mit der Veröffentlichung  von Normen, allen voran der Security-Assertion-Markup-Language (SAML), wurden diese Produkte massentauglich. Für viele Unternehmen ist SSO ist ein Muss. Die Mitarbeiter beginnen ihren Arbeitstag indem sie auf Cloud-Dienste oder andere Anwendungen zugreifen. Dabei wird bei jedem Zugriff auf einen Dienst jedes Mal ein Passwort als Zugangsidentifikation verlangt. Diese Zugangsmechanismen schaffen für Unternehmen ein schwer zu kontrollierendes Sicherheitsrisiko, denn das System ist immer nur so sicher wie das schwächste Passwort.

SAML ist ein XML-basiertes Framework, auf deren Basis die Dienstanbieter den kontrollierten Austausch von Sicherheitsinformationen realisieren. Dadurch muss beispielsweise ein Anbieter von Cloud-Anwendung keinerlei Authentifizierungsinformationen bereitstellen, sondern der Provider greift kontrolliert per SAML auf die Zugangsinformationen der Benutzer beim Kunden zu. Die Zugangsinformationen der Benutzer werden typischerweise per Active-Directory oder LDAP an den Provider beziehungsweise Dienstanbieter übermittelt. SAML sorgt somit für einen kontrollierten und sicheren Austausch von Benutzeridentitäten und Zugriffsrechte zwischen einem Unternehmen (Kunden) und dem Bereitsteller einer Dienstleistung (beispielsweise einem Cloud-Anbieter).

Das größte Problem von SAML besteht darin, dass es sich dabei um eine B2B-Lösung handelt, die sich nur mit erheblichen technischen Schwierigkeiten für den Consumer-Markt umsetzen lässt. Dies ist jedoch eine unbedingte Voraussetzung, um die sozialen Netzwerke in die Unternehmenskommunikation einzubinden. Wird im Unternehmen kein einheitliches Zugangsverfahren realisiert, dann handeln die Mitarbeiter nach bestem Wissen und Gewissen und tauschen ihre persönlichen Anmeldeinformationen mit den Service-Providern aus. Hacker können dadurch wertvolle Informationen auf den jeweiligen Web-Seiten gezielt abgreifen und mit diesen Daten Angriffe gegen Unternehmen initiieren.

Sollte SAML eines Tages endgültig standardisiert sein, wird die Authentifizierung weitaus sicherer werden. Auf dem Weg einer Standardisierung sind wir auf einem guten Weg. Viele Service-Provider nutzen bereits eine Pre-Standardversion von SAML und werden von Firmen wie Salesforce.com, Cisco oder Google dabei unterstützt. Der SAML-Standard ermöglicht die Entwicklung neuer Authentifizierungsdienste, welche die heute verfügbaren Mechanismen in Sachen Sicherheit bei weitem übertreffen. Bereits heute stellen viele SSO-Dienstleister ihre Services im B2B-Bereich als übergeordnete Sicherheitsinstanz zur Verfügung und agieren damit als Identity-Provider (IDP) für andere Dienste. Im Bereich der Consumer-Anwendungen bieten Google und Facebook eine ähnliche Funktion. Die auf den Consumer ausgerichteten SSO-Systeme basieren auf einer Art von SAML-lite und werden als "OpenID" bezeichnet. Ein SSO-Login erstellt somit einen gesicherten Handschlag zwischen der Website dem Anwender und dem IDP dar. Beim Zugriff des Nutzers auf die Website überprüft diese die Benutzer-Informationen mit dem IDP. Dieser beantwortet die Sicherheitsanfrage entweder mit einem "Ja" oder "Nein".

Solche binäre Entscheidungen lassen natürlich viel Raum für Fehler. Vor kurzem wurden Berichte über Löcher bei der Open-ID-Identifizierung bekannt. Beispiel: Fragt eine Website beispielsweise die Bestätigung des Vornamens, des Nachnamens, der E-Mail-Adresse und der Postleitzahl eines Nutzers ab, ist Open-ID nicht immer in der Lage, alle gewünschten Informationen qualifiziert zu bestätigen. In einem bekanngewordenen Angriffsszenario wurde in der an den Open-ID-Dienst verschickten Anfrage ein Kernstück der angeforderten Informationen (beispielsweise die E-Mail-Adresse) gelöscht. Der Open-ID-Dienst signierte die fehlerhafte Anfrage trotzdem als "okay“. Hat ein Hacker keine Kenntnisse über die E-Mail-Adresse (diese wird beispielsweise zur Alarmierung benutzt, wenn der Nutzer von einem bisher unerkannten Gerät seine Anfrage abschickt) des Nutzers, kann er den Sicherheitsmechanismus trotzdem aushebeln und die Sicherheitsfunktionen umgehen. Darüber hinaus konnte das Facebook-Authentifizierungssystem manipuliert und gezielt Benutzer-Accounts aus dem sozialen Netzwerk entführt werden. Berichten zufolge wurden diese Löcher inzwischen gestopft, aber die bekannt gewordenen Einbrüche zeigen klar auf, dass die Bequemlichkeit im Consumer-Bereich meist zu Lasten der Sicherheit geht.

Das soll jedoch nicht heißen, dass ein SSO im Consumer-Bereich nie realisierbar sein wird. Selbst die noch fehlerhaften Open-ID-basierten SSO-Mechanismen sind besser als die reine Authentifizierung anhand von Passworten durch den Nutzer. Die Sicherheitsprobleme sind eben noch nicht vollständig gelöst und es muss noch viel Arbeit investiert werden, bis wir unsere Sicherheitsprobleme in den Griff bekommen.

In der Zwischenzeit, während wir auf bessere Authentifizierungsmechanismen warten, gibt viele Dinge, die wir tun können, um unsere Sicherheit zu erhöhen. Fast jedes Gerät verfügt bereits über starke Authentifizierungsfunktionen. Es liegt an den Anwendern diese auch zu nutzen. Laptops verfügen beispielsweise seit Jahren über eine Hardware-Kryptographie. Doch die wird im Alltag nicht genutzt.

Fazit

In der Zwischenzeit, während wir auf bessere Authentifizierungsmechanismen warten, gibt viele Dinge, die wir tun können, um unsere Sicherheit zu erhöhen. Fast jedes Gerät verfügt bereits über starke Authentifizierungsfunktionen. Es liegt an den Anwendern diese auch zu nutzen. Laptops verfügen beispielsweise seit Jahren über eine Hardware-Kryptographie. Doch die wird im Alltag nicht genutzt. Es bleibt viel zu tun! Es wird auch in Zukunft keine 100 Prozent Sicherheit geben. Von diesem unrealistischen Ziel hat sich die Industrie inzwischen verabschiedet. .Aber wir können die vorhandenen Sicherheitsmechanismen aktivieren und somit das Risiko eines Einbruchs reduzieren.

Anbieter zum Thema

Vertiv GmbH
Riello UPS GmbH
Rittal GmbH & Co. KG
AixpertSoft GmbH
Panduit
Matchmaker+
zu Matchmaker+
  1. Passworte sind meist die Wurzel allen Übels
  2. Sind SSO und SAML die Rettungsanker?

Lesen Sie mehr zum Thema

Server, Datacenter
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Server, Datacenter

Fokus auf Colocation-Services

Christian Zipp ist neuer CEO bei Nexspace

Schnell, skalierbar und nachhaltig

Siemens, Cadolto und Legrand zeigen modulares Edge-Rechenzentrum

Energieinfrastruktur für Rechenzentren

Siemens Energy und Eaton planen modulare Komplettlösungen

Schwarz Digits rüstet seine Cloud auf

StackIT soll der erste deutsche Hyperscaler werden

Security und Cloud aus einer Hand

Plusserver kauft MSSP Cosanta

Matchmaker+
Rittal GmbH & Co. KG

Rittal GmbH & Co. KG
Panduit

Panduit

Xelion GmbH

Xelion GmbH
AfB gemeinnützige GmbH

AfB gemeinnützige GmbH
kiwiko eG - IT-Expertennetzwerk

kiwiko eG - IT-Expertennetzwerk
Zyxel Networks A/S

Zyxel Networks A/S