Lokales Kennwortmanagement - ein Sicherheitsrisiko
Single Sign On ja, aber richtig!
Fortsetzung des Artikels von Teil 1
Ein sicheres Kennwort für Alles
Dahinter kann in beiden Fällen beispielsweise das Microsoft Active Directory stehen, dessen Sicherheit damit zu einem entscheidenden Faktor wird: Haben Sie alle Domänencontroller in physisch adäquat gesicherten Räumen stehen? Haben Sie ein PAM (Privileged Account Management) für die Administratoren ihrer Windows-Umgebung implementiert?
Die Anwendungen selbst erhalten nur noch eine verschlüsselte Bestätigung über die erfolgreiche Authentifizierung, ein so genanntes Token (nicht zu verwechseln mit den Hardware-Tokens). Dieses enthält die erforderlichen Informationen. Es gibt nur noch ein Kennwort.
Federation ist dabei der Ansatz der Zukunft. Er basiert auf Web Services, funktioniert damit auch über die Unternehmensgrenzen und im Internet und wird zunehmend unterstützt. Kerberos ist dagegen vor allem für die primäre Authentifizierung im Netzwerk und den unternehmensinternen Einsatz mit ohnehin kerberos-fähigen Anwendungen interessant.
Klar ist aber: Wenn man es richtig macht, braucht man sich um Schwachstellen, wie sie Browser (und nicht nur Firefox) per se haben, keine Gedanken machen. Denn dann ist Single Sign-On kein Sicherheitsrisiko, sondern eine Chance für mehr Sicherheit.
*Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole [1], das sich im Schwerpunkt mit den Themenbereichen Identity und Access Management, Governance, Risk Management, Compliance sowie Cloud Computing und Virtualisierung beschäftigt.
- Single Sign On ja, aber richtig!
- Ein sicheres Kennwort für Alles
Lesen Sie mehr zum Thema
