Wie funktioniert Single Sign-On? (Und wie es sich auf die Sicherheit auswirkt) • BUOM
11. November 2021
Es kann schwierig sein, mehrere Konten für verschiedene Websites zu erstellen und den Überblick über alle Anmeldeinformationen zu behalten. Anstatt unterschiedliche Benutzernamen und Passwörter zu erstellen, können Sie die Vorteile der einmaligen Anmeldung nutzen. Wenn Sie wissen, was Single Sign-On ist, können Sie Ihr Online-Erlebnis optimieren und Ihre Online-Sicherheit verbessern. In diesem Artikel besprechen wir, wie Single Sign-On funktioniert und welche Auswirkungen es auf Ihre Sicherheit bei der Nutzung des Internets hat.
Was ist Single Sign-On?
Single Sign-On ist ein Dienst, der die Anmeldeinformationen eines Benutzers authentifiziert, sodass dieser mit einer Kombination aus Benutzername und Passwort auf mehrere Websites und Anwendungen zugreifen kann. Es verwendet das Agentenmodul, um die eindeutigen Authentifizierungsdaten des Benutzers von einem bestimmten SSO-Richtlinienserver abzurufen. Es verifiziert die Person, die das Benutzerarchiv als Referenz verwendet. Single Sign-On verifiziert den Endbenutzer für alle relevanten Websites und Anwendungen. Es entfernt außerdem alle Aufforderungen an Benutzer, ihre Passwörter während der aktuellen Sitzung einzugeben.
Wie funktioniert Single Sign-On?
Bei der einmaligen Anmeldung wird ein System namens Identitätsföderation verwendet, um Benutzern mit einer einzigen Kombination aus Benutzername und Passwort Zugriff auf mehrere Anwendungen zu ermöglichen. Insbesondere wird ein System namens Open Authorization verwendet, das von manchen als OAuth bezeichnet wird. OAuth verbindet den Endbenutzer mit SSO. Es gibt dem Dienst ein Zugriffstoken, das es ihm ermöglicht, bestimmte mit dem Benutzerkonto verknüpfte Informationen weiterzugeben.
Der Benutzer meldet sich mit seinen Hauptkontoinformationen bei der Anwendung an. Der SSO-Dienstanbieter fordert vom Identitätsanbieter eine Authentifizierung an, damit der Benutzer auf die gewünschte Anwendung zugreifen kann. Der SSO-Anbieter genehmigt dann die Anfrage des Benutzers und gewährt dem Benutzer Zugriff.
Was ist ein Single-Sign-On-Token?
Ein Single-Sign-On-Token ist eine Reihe von Informationen oder Daten, die während des Single-Sign-On-Prozesses von einer Partei zur anderen übertragen werden. Zu diesen Informationen gehören meist die E-Mail-Adresse des Benutzers und das System, das den Token ausstellt. Alle Token müssen digital signiert sein, um zu zeigen, dass der Empfänger des Tokens bestätigt hat, dass das Token von einer vertrauenswürdigen Quelle stammt. Der anfängliche Einrichtungsprozess erleichtert die Weitergabe der erforderlichen digitalen Signatur.
Wie wirkt sich Single Sign-On auf die Sicherheit aus?
Single Sign-On wirkt sich auf verschiedene Weise auf die Online-Sicherheit aus. So kann beispielsweise die Zahl der Phishing-Vorfälle reduziert werden. Beim Phishing sendet ein Betrüger E-Mails an Einzelpersonen und fordert sie auf, ihnen vertrauliche Informationen wie Kontokennwörter mitzuteilen. Durch die einmalige Anmeldung lässt sich dieses Problem vermeiden, da sich Benutzer mit einem primären Konto anmelden und nicht mehrere Passwörter für verschiedene Anwendungen vergeben müssen. Single Sign-On kann auch die Sicherheit verbessern, indem es die Abhängigkeit der Benutzer von schwachen, leicht zu erratenden Passwörtern verringert. Sie verfügen über ein einziges Passwort für den Zugriff auf mehrere Anwendungen, daher ist es wahrscheinlich, dass sie ihr ursprüngliches Passwort stark und schwer zu entschlüsseln festlegen.
Gibt es Risiken beim Single Sign-On?
Single Sign-On ist riskant, da ein Online-Angreifer eine einzelne Schwachstelle im Identitätsföderationssystem ausnutzen könnte. Wenn ein Angreifer eine einzelne Schwachstelle in SSO ausnutzt, kann er Zugriff auf mehrere Anwendungen erhalten, die der Benutzer in der Vergangenheit besucht hat. Single Sign-On kann auch nicht bestimmte Sicherheitsstufen bieten, die Anwendungen erfordern. Ein Benutzer kann auch dem Risiko ausgesetzt sein, den Zugriff auf mehrere Anwendungen zu verlieren, wenn er nicht auf sein Hauptkonto oder seine Hauptanwendung zugreifen kann.
Viele Menschen sind aufgrund der Bequemlichkeit bereit, diese Risiken des Single Sign-On auf sich zu nehmen. Sie können diese Probleme lösen, indem sie Single Sign-On nur für Websites mit geringem Risiko verwenden, wie zum Beispiel normale Chat-Apps oder Blog-Sites. Der Benutzer kann eine andere Methode verwenden, um vertraulichere Kontoinformationen zu verarbeiten. Beispielsweise kann ein Arbeitgeber, der ein Online-System zur Verwaltung personenbezogener Daten seiner Mitarbeiter nutzt, einen internen Authentifizierungsprozess nutzen, um die Sicherheit zu verbessern und die Wahrscheinlichkeit von Hackerangriffen zu verringern.
Meldet SSO Benutzer von ihren Sitzungen ab?
Single Sign-On bietet Benutzern in der Regel keine Single-Sign-On-Funktionen. Der Abmeldevorgang variiert je nach App und Website und hängt oft von den Einstellungen der Website oder App ab. Benutzersitzungen bleiben in der Regel mindestens einige Minuten lang aktiv, nachdem der Benutzer die Aufgaben erledigt hat, die er erledigen muss. Benutzer können sich vor böswilligen Aktivitäten schützen, indem sie sich nach Beendigung der Anwendung manuell von der Anwendung abmelden. Sie können auch bestimmte Anwendungseinstellungen überprüfen, um zu verstehen, wann eine aktive Sitzung enden sollte.
Welche Arten von Single Sign-On gibt es?
Hier sind einige der gängigsten Arten von Single Sign-On:
SAML-Authentifizierung
Bei der SAML-Authentifizierung kommt eine Auszeichnungssprache namens SAML zum Einsatz. Es hilft beim Austausch von Autorisierungsdaten und funktioniert am besten mit sicheren Verbindungen. Die SAML-Authentifizierung übernimmt die Kommunikation mit dem Benutzer, Dienstanbieter und Identitätsanbieter. Der Identitätsanbieter ist für die Pflege des Benutzerverzeichnisses als Referenz verantwortlich.
Kerberos-Authentifizierung
Bei der Kerberos-Authentifizierung wird eine Anmeldemeldung angezeigt, die den Benutzer auffordert, seinen primären Benutzernamen und sein Kennwort einzugeben. Sobald der Benutzer seine Informationen eingibt, stellt das System ein Ticket aus, das von manchen als TGT bezeichnet wird. TGT sucht nach Servicetickets für andere Websites, die eine Person nutzen möchte. Dieser Vorgang erfolgt, ohne dass das System den Benutzer dazu auffordert, seine Informationen erneut zu senden. Mit dieser Methode können sie auf verschiedene Softwareanwendungen zugreifen, darunter Versionskontrollsysteme und Wikis. Es funktioniert auch über ungesicherte Internetverbindungen, da sowohl der Server als auch der Benutzer gegenseitig ihre Anwesenheit bestätigen.
Smartcard-Authentifizierung
Für die Smartcard-Authentifizierung benötigen Endbenutzer eine physische Karte. Sie beginnen den Authentifizierungsprozess, indem sie ihre Smartcard mit dem Host-Computer verbinden. Computersoftware interpretiert die Smartcard-Daten und ermöglicht dem Benutzer die Anmeldung bei mehreren Anwendungen. Manche Leute bevorzugen diese Authentifizierungsmethode, weil es für Hacker schwierig ist, in die Sitzung eines Benutzers einzudringen, da eine physische Karte erforderlich ist.