Avast News

Die Wahrheit über das Single Sign-on (SSO)

Grace Macej, 19 Februar 2021

Das SSO erleichtert Ihnen die Anmeldung, doch ist es sicher genug, um all Ihre Geheimnisse zu bewahren?

Haben Sie jemals die Option „Mit Google anmelden“ oder „Mit Facebook anmelden“ verwendet, um auf ein Benutzerkonto bei einem Drittanbieter zuzugreifen? Wenn ja, dann haben Sie vom sogenannten Single Sign-on (SSO) Gebrauch gemacht. Höchstwahrscheinlich haben Sie sich für diese Option entschieden, da Sie sich so den Aufwand ersparen wollten, der mit dem Erstellen und Aufbewahren eines weiteren Log-ins (inkl. Passwort) verbunden gewesen wäre. Und genau darin liegt auch der Sinn des SSOs – es handelt sich um ein Mittel gegen "Passwortermüdung" und soll uns den Alltag im Web bequemer machen. 

Die Geschichte des SSOs

Dem Wirtschaftsmagazin Forbes zufolge wurde das SSO in den späten 1980ern als eine Art Identity and Access Management System (deutsch: Identitäts- und Zugriffsmanagement-System) erfunden, um Unternehmen und Regierungsbehörden die Konsolidierung der Anmeldedaten ihrer Mitarbeiter in einer einzigen Infrastruktur zu erleichtern. Dann begann die Digitalisierung der Berufswelt und die Arbeitgeber erkannten schnell ein Sicherheitsproblem, als Ihre Mitarbeiter anfingen ihre zahlreichen Passwörter auf Post-its festzuhalten, die sie dann auf Ihren Schreibtisch oder an den Monitor klebten.  

Das SSO hat den gesamten Prozess erheblich vereinfacht. Unternehmen haben fortan dank dem SSO nicht nur den Komfort genossen, der damit einherging, dass mit einer einzigen Authentifizierung mehrere Anwendungen freigeschaltet werden konnten, sondern es auch für den Umkehrprozess eingesetzt, denn das SSO diente nun ebenso als zentrale Anlaufstelle zum Entziehen der Zugriffsrechte von ausscheidenden Mitarbeitern. Dies erwies sich besonders in solchen Unternehmen als nützlich, in denen Mitarbeiter für Ihre Arbeit von Dutzenden von Anwendungen Gebrauch machen mussten. 

Heutzutage müssen sich Menschen mit mehr Passwörtern "plagen" denn je und SSO-Optionen werden einem praktisch überall angeboten. Internetnutzer greifen gerne zum SSO, da es komfortabel ist. Betreiber von Webseiten wiederum bieten gerne SSO-Optionen an, da diese den Benutzeraufwand, also den Aufwand, den ein Benutzer aufwenden muss, um auf eine Seite oder App zuzugreifen, verringern. 

Der Komfort des SSOs liegt auf der Hand – doch wie sicher ist es eigentlich? Einige Leute glauben, dass das SSO anfällig ist, da es trotz seiner genialen Benutzerfreundlichkeit einen "Passierschein" zu all Ihren Online-Geheimnissen darstellt. Finden Cyberkriminelle erst einmal Ihre SSO-Anmeldedaten heraus, erschließt sich Ihr gesamtes digitales Leben. Verfechter der Privatsphäre weisen außerdem darauf hin, dass die Nutzung von Google und Facebook zur Anmeldung bei Webseiten von Drittanbietern dazu führt, dass diese zwei Internetriesen noch mehr Metadaten und Informationen über Ihre digitale Identität erhalten. 

Die Rolle der FIDO-Alliance im SSO

Hier kommt die FIDO-Alliance, ein offener, aus über 200 Unternehmen und Regierungsbehörden bestehender Industrieverband, ins Spiel, die es sich zum Ziel gesetzt hat, „das weltweite Passwortproblem zu lösen“. Auf der Webseite des Verbands wird behauptet, dass Passwörter die Hauptursache für über 80 % aller Datenpannen sind. Die ausgewiesene Lösung? Die Abschaffung aller Passwörter. 

Die FIDO-Alliance hat ein SSO entwickelt, bei dem die Authentifizierung ohne Passwort erfolgt. Das Eintippen von Anmeldedaten entfällt, da bei dieser Authentifizierung Ihre biometrischen Daten, wie z. B. Ihr Fingerabdruck, Ihr Gesicht oder Ihre Stimme genutzt werden. Außerdem wird eine zweistufige Authentifizierung angeboten, bei der zur Bestätigung ein Sicherheitsschlüssel in das jeweilige Gerät oder den jeweiligen Computer eingesteckt werden muss. Diese Anmeldearten mindern die Risiken, die von Hackertricks, wie dem Credential Stuffing, Wörterbuchangriffen und Keyloggern, ausgehen. Die FIDO Alliance hat erkannt, dass der beste Weg der Authentifizierung einer Person nicht in der Verwendung von alphanumerischen Codes besteht, die von jedermann eingegeben werden könnten, sondern vielmehr in der Erkennung von eindeutigen Merkmalen der zu authentifizierenden Person selbst. 

Im Laufe der Zeit werden diese Technologien immer ausgereifter. Je weniger Möglichkeiten wir Hackern geben, unsere Identität zu fälschen, desto mehr Kontrolle gewinnen wir über unser digitales Leben. Wenn Sie noch Passwörter nutzen, sollten Sie unbedingt die Mehrfachverwendung von Passwörtern für verschiedene Konten vermeiden. Und wenn Sie vom SSO Gebrauch machen, sollten Sie Ihre alles entscheidende Authentifizierung mit einer zwei- oder mehrstufigen Verifizierung schützen.

Interessiert an mehr News von uns? Folgen Sie uns auf Facebook und auf Twitter