Der zweite Faktor und der Kampf gegen 123456
„Ein Ring, sie zu knechten …“ J.R.R. Tolkien hatte recht! Einfach ist besser. Warum sollte ich eine Handvoll Ringe wollen, wenn ich alles mit nur einem erreichen kann? Warum sollte ich mir zahllose Benutzernamen und Passwörter merken wollen, wenn eines ausreichen würde? Das ist die Idee hinter Single Sign-on, kurz SSO.
In der Online-Welt ist SSO die Magie hinter Funktionen wie Social Logins, mit denen sich Benutzer bei mehreren Portalen und Dienstanbietern anmelden, Online-Einkäufe tätigen, Medieninhalte streamen und Artikel lesen können – und das alles mit nur einem Benutzernamen und Passwort. Am Arbeitsplatz hilft die Kombination aus Identitätsmanagement und SSO den Unternehmen bei der Verwaltung der Autorisierungs- und Verifizierungsprotokolle, die festlegen, welche Mitarbeiter Zugriff auf welche Softwareprodukte haben.
In beiden Fällen und bei allen Anwendungen von SSO gibt es einen Hauptvorteil: Es entfällt die Notwendigkeit, sich bei jedem neuen Dienst immer wieder neu anmelden zu müssen. Und so funktioniert's:
SSO-Standards und -Konfigurationen
Es gibt drei häufig verwendete Technologie-Standards für die Implementierung von Single Sign-on: SAML, OAuth 2.0 und OpenID Connect. Während SAML in erster Linie für Enterprise SSO zur Authentifizierung von Anwendern und zur Autorisierung von Zugriffsrechten innerhalb eines geschlossenen Unternehmenssystems verwendet wird, nutzt man OAuth 2.0 (zur Autorisierung) und OpenID Connect (zur Authentifizierung) in der Regel gemeinsam für internet- und webbasierte Anwendungen.
Vereinfacht ausgedrückt: Wenn Sie sich im Intranet Ihres Unternehmens anmelden, ist SAML SSO dafür verantwortlich, Sie zu authentifizieren, d. h. zu verifizieren, dass Sie die Person sind, für die Sie sich ausgeben. In der Regel geschieht dies mit einem Passwort, gelegentlich auch mit einem Hardware-Token. So werden Sie dann autorisiert, die spezifische Software und die Systeme zu nutzen, für die Sie eine Zugangsberechtigung erhalten haben.
Wenn Sie jedoch eine Partie Candy Crush spielen möchten, ohne ein separates Benutzerkonto zu erstellen, können Sie Ihr Facebook-Konto verwenden, um Ihre Identität zu verifizieren. Diese sogenannte soziale Anmeldung wird durch SSO auf Basis eines OpenID Connect- und OAuth 2.0-Frameworks ermöglicht. In diesem Fall verifiziert OpenID Connect Ihre Identität für Candy Crush und OAuth 2.0 autorisiert Candy Crush, auf bestimmte Daten über Sie zuzugreifen, die bei Facebook gespeichert sind.
SSO-Konfigurationen
Es gibt drei gebräuchliche SSO-Konfigurationen: Local, Portal und Circle of Trust. Welche Konfiguration verwendet wird, hängt ganz davon ab, wo und wie SSO verwendet wird.
- Wie der Name schon vermuten lässt, dient eine lokale Konfiguration für SSO in einer lokalen Umgebung, wie etwa auf einem Personal Computer. Eine lokale Konfiguration liegt vor, wenn Sie Passwörter auf Ihrem Computer speichern, damit Sie sie nicht jedes Mal neu eingeben müssen, wenn Sie auf eine Software oder eine Online-Plattform zugreifen wollen.
- Eine Portal-Konfiguration ist das Gegenteil davon. Ihre Verifizierungsmethode ist nicht lokal gespeichert (z. B. auf Ihrem Computer), sondern wird von einem SSO-Server bereitgestellt. Bei sozialen Logins handelt es sich um Portal-Konfigurationen. In dem oben beschriebenen Beispiel wäre Facebook der SSO-Server, der die Autorisierungs- und Authentifizierungskontrollen für Candy Crush verwaltet.
- Die Circle-of-Trust-Konfiguration eignet sich ideal für ein Szenario, in dem ein Unternehmen oder ein Dienstleister mehrere Produkte anbietet. Mit der Circle-of-Trust-Konfiguration kann ein Anwender mit einem Satz von Benutzer-Anmelde-Informationen (d. h. einem Benutzernamen und einem Kennwort oder einem Token) verifiziert und für den Zugriff auf alle im Circle of Trust verbundenen Produkte autorisiert werden. Diese SSO-Konfiguration dürfte jedem vertraut sein, der mit Softwareprodukten von Microsoft oder SAP arbeitet. Ein Login gewährt Zugriff auf verschiedene Softwareprodukte. Dieselbe Konfiguration wird jedoch auch für viele soziale Logins verwendet. Wenn Sie sich z. B. bei Google anmelden, erhalten Sie Zugriff auf YouTube, Google Mail und die Google Office Suite.
Die Vor- und Nachteile von SSO
Wir wissen bereits, dass die Sicherheit von Benutzernamen und Passwörtern durch schwache und wiederverwendete Passwörter gefährdet werden kann. Dies macht SSO so reizvoll. Wenn sich Benutzer nur einen Benutzernamen und ein Passwort merken müssen, ist die Wahrscheinlichkeit geringer, dass sie auf leicht zu knackende Passwörter zurückgreifen. Darüber hinaus bemerken Unternehmen, die SSO integrieren, dass sie deutlich weniger Kosten und Zeit investieren müssen, um verlorene und vergessene Passwörter zurückzusetzen. Solche Unternehmen und Service-Provider tragen auch ein deutlich geringeres Risiko, durch den Diebstahl von Passwörtern und Daten sicherheitstechnische und finanzielle Schäden zu erleiden, die ihre Reputation beeinträchtigen könnten.
Trotzdem ist SSO nicht narrensicher. Wenn ein Passwort tatsächlich geknackt wird, ist dies mit einem viel grösseren Risiko für persönliche Daten und Unternehmensinformationen verbunden. Denn genau das Merkmal, das SSO so attraktiv erscheinen lässt, nämlich der einfache und schnelle Zugriff auf mehrere Dienste, entpuppt sich dann als Schwäche. Deshalb ist es unerlässlich, bereits bei der ersten Autorisierung und Authentifizierung zusätzliche Sicherheitsvorkehrungen zu treffen. Am besten gelingt dies mit einer Zwei-Faktor-Authentifizierung (2FA). Müssen Benutzer ihre Identität durch zusätzliche Sicherheitsprozesse (wie eine Einweg-Pin oder biometrische Merkmale) verifizieren, ist das Risiko eines unberechtigten Zugriffs minimal bis gar nicht vorhanden. So wird sichergestellt, dass der schnelle und einfache Zugang tatsächlich zum Kundenvorteil wird und keine Sicherheitsbedrohung darstellt.
Ein einfacher und universeller Zugang ist für Kunden und Nutzer ein attraktives Produktmerkmal. Und mit den richtigen Sicherheitsvorkehrungen bleibt dieser universelle Zugang in den richtigen Händen.
