Single Sign-on ein Risiko?
Fachbeitrag: Single Sign-on - Komfort für den Benutzer oder ein Sicherheitsrisiko?
Im gesamten Unternehmen können stärkere Passwörter als von der Policy vorgeschrieben durchgesetzt werden
Von Christian Koch, Consultant bei Secaron AG
(09.11.06) - Eine Anmeldung und man hat Zugriff auf alle Systeme - das ist der Traum eines jeden Benutzers. Wenn man heutzutage einen Blick auf die IT-Landschaften der Unternehmen wirft, so ist dies jedoch meist eine Wunschvorstellung. Die Benutzer haben mit Unmengen von Benutzernamen und Passwörtern für viele Anwendungen zu kämpfen. Problematisch ist dabei auch, dass die verschiedenen Anwendungen meist unterschiedliche Passwort-Policies haben. Nun muss sich der Anwender diese verschiedenen Benutzernamen und Passwörter aber auch noch merken können. Dies endet nicht selten in einer Liste von Namen und Passwörten am Arbeitsplatz des Benutzers oder darin, dass eine Reihe von Standardpasswörtern verwendet wird.
Die verschiedenen Arten von Single Sign-on
Die Idee hinter Single Sign-on (SSO) ist dem Benutzer den Komfort der einmaligen Anmeldung am System und dem Zugriff auf alle anderen Applikationen zu geben.
Grundsätzlich gibt es zwei Arten von Single Sign-on
>> Auf der einen Seite steht eine serverbasierte Lösung die meist für Webanwendungen verwendet wird und
>> auf der anderen Seite eine clientbasierte Lösung auf dem PC des Benutzers.
Bei Variante 1 ist der Hintergrund dem Benutzer mit einer Authentifizierung die Möglichkeiten des Zugriffs auf alle Webanwendungen eines Unternehmens zu geben und dabei auch die Rechte auf die einzelnen Anwendungen zu steuern. Der Single Sign-on ist dabei nur ein Teil der Gesamtlösung. Auf diese Variante wird im Rahmen dieses Artikels nicht eingegangen.
Variante 2 bildet eine reine Lösung zur einmaligen Anmeldung am PC des Benutzers und zum Zugriff auf alle weiteren installierten Anwendungen ohne extra Authentifizierung. Zur Realisierung wird immer eine Software auf dem PC benötigt, welche die Anmeldung an allen Anwendungen vornimmt. Die SSO Software (SSO Client) kennt alle Anmeldedaten des Benutzers in allen Anwendungen und kann somit automatisiert ohne Interaktion des Benutzers die Anmeldung durchführen.
In dieser Tatsache liegt auch das größte Risiko von Single Sign-on. Wenn die SSO-Software angreifbar ist, so besteht die Möglichkeit, dass ein Angreifer Zugriff auf alle Benutzernamen und Passwörter des Anwenders bekommt. Die sichere Speicherung dieser Daten ist dabei das wichtigste Kriterium für die Auswahl der geeigneten Software. Je nach Hersteller erfolgt die Speicherung der Anmeldedaten verschlüsselt auf der Festplatte des Clients, auf einem USB-Token oder auf einem zentralen Server. Aus reiner Sicherheitssicht ist der USB-Token zu bevorzugen, da hierbei eine Zwei-Faktor-Authentifizierung vorliegt. Nur bei Wissen der PIN und Besitz des Tokens kann ein Zugriff erfolgen. Aus reiner Komfortsicht ist sicherlich der zentrale Server zu bevorzugen, da dieser auch Roaming Profiles mit Single Sign-on ermöglicht und keine extra Hardware benötigt wird. Dieser zentrale Server stellt im Unternehmen dann aber auch das größte Sicherheitsrisiko dar.
Funktionsweise des SSO Client
Damit ein SSO-Client automatisch Anmeldedaten an Programme senden und auf Anmelde-Events der Anwendungen reagieren kann werden verschiedene Verfahren verwendet.
Bei normalen Windowsanwendungen erfolgt die Erkennung von Anmeldefenstern meist über "Windowhandler". Diese stellen eine ID zur Erkennung von Anmeldefenstern dar. Erscheint der Windowhandler im System, so erkennt dies der SSO-Client und schreibt automatisch die Anmeldedaten in die entsprechenden Felder der Maske.
Für die Konfiguration des SSO-Client werden die gültigen Windowhandler meist als Template hinterlegt und zentral verwaltet. Bei der ersten Anmeldung gibt der Benutzer seinen Benutzernamen und das aktuelle Passwort ein. Ab jetzt wird die Anmeldung von SSO-Client verwaltet. Die zweite große Gruppe für SSO-Client ist die Anmeldung an Webanwendungen. Hierbei erkennt der Client Eingabefelder auf Webseiten und gibt dem Benutzer die Möglichkeit die Eingaben zu speichern. Bei erneutem Zugriff erfolgt die Anmeldung automatisch.
Viele SSO-Clients besitzen auch die Möglichkeit auf Events der Passwort-Policy zu reagieren. Damit kann zum Beispiel der SSO-Client auf das Event "Passwort ist abgelaufen" reagieren und automatisch eine neues zufälliges Passwort erstellen. Dieses generierte Passwort kann jetzt sehr komplex sein, da es sich kein Benutzer für den täglichen Gebrauch merken muss. Damit kann im gesamten Unternehmen sichergestellt werden, dass nur starke Passwörter anhand der Passwortrichtlinie verwendet werden und dass kein Anwender für verschiedene Anwendungen das gleiche Passwort verwendet.
Fazit
Single Sign-on bietet eine gute Möglichkeit Sicherheit mit Komfort für den Benutzer zu kombinieren. Im gesamten Unternehmen können stärkere Passwörter als von der Policy vorgeschrieben durchgesetzt werden. Die SSO-Software bietet aber auch den größten Angriffsfaktor für das Unternehmen. Gelingt es einem Benutzer diese Software zu kompromittieren, so ist der Zugriff auf alle Anwendungen möglich.
Aus Betriebssicht stellt die SSO-Software auch eine sehr kritische Anwendung im Rahmen der Verfügbarkeit dar. Fällt sie aus, so kann kein Anwender auf seine Applikationen zugreifen, da nur der SSO-Client das Passwort kennt. Alles in allem kann man sagen, dass eine Single Sign-on Software schnell Akzeptanz bei den Benutzern findet, da sie eine Erleichterung darstellt. Der Einsatz ist jedoch nur nach genauer Analyse der einzelnen Anforderungen und nach Konzeption von Abläufen und Prozessen empfehlenswert. Secaron: ra)
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>