Single Sign-on (SSO) oder Passwort-Manager Sicherer Zugang ohne komplexe Passwörter

Ein Gastbeitrag von Dr. Dominik Schürmann Lesedauer: 6 min |

Anbieter zum Thema

Bei der Wahl einer sicheren IT-Zugangslösung müssen sich IT-Verantwortliche zwischen Single Sign-on und Passwortmanager entscheiden. Ein neues Verfahren bietet die Vorzüge beider Welten – ohne deren Nachteile.

Für die Sicherheit ihrer Benutzerdaten haben Unternehmen die Wahl: Single Sign-on (SSO) oder Passwort-Manager – beide Lösungen haben spezifische Vor- und Nachteile.
Für die Sicherheit ihrer Benutzerdaten haben Unternehmen die Wahl: Single Sign-on (SSO) oder Passwort-Manager – beide Lösungen haben spezifische Vor- und Nachteile.
(Bild: THAWEERAT - stock.adobe.com)

Zwischen dem Arbeitsplatzrechner und dem Zugriff auf die betrieblichen IT-Ressourcen und -Prozesse steht ein Authentisierungs­vorgang. So wird sichergestellt, dass jeder Mitarbeiter auf die Daten und Vorgänge zugreifen kann, die er für seine Arbeit benötigt – und nur auf diese. Eine individuelle, auf jedes Arbeitsplatzprofil exakt zugeschnittene Zugangsberechtigung ist daher nicht nur ein wesentliches Element der IT-gestützten Produktivität, sondern auch des Datenschutzes und der IT-Sicherheit.

Dabei reicht in den heute gängigen komplexen und heterogenen IT-Landschaften ein einziger Login-Vorgang auf einem einzigen Zentralrechner nicht mehr aus. Forscher haben ermittelt, dass sich Anwender heute am Tag bei durchschnittlich 35 Rechnern, Servern, Websites oder internetbasierten Diensten einloggen – bei idealer Befolgung der IT-Security-Richtlinien natürlich jedes Mal mit einem anderen Passwort. Dafür sind im Schnitt 17 Sekunden zu veranschlagen. Im Monat summiert sich das auf gut drei Arbeitsstunden. Nicht eingerechnet sind da die laut Berechnung der Forscher (pdf) gut 11 Prozent der Login-Versuche, die abgewiesen werden – etwa wegen Tippfehlern oder falsch erinnerter Passwörter. On Top kommt noch die schlechte User Experience, denn 75 Prozent der Anwender hassen es, komplexe Passwörter eingeben zu müssen.

Um diesem täglichen Hürdenlauf ein Ende zu bereiten und dabei gleichzeitig die Zugangssicherheit zu verbessern, sind im Wesentlichen zwei Kategorien von Anwendungen im Gebrauch: Single Sign-on (SSO) und Passwort-Manager. Beide haben spezifische Vorzüge und Nachteile.

SSO: Einer für alles – mit Schattenseiten

Beim SSO genügt die einmalige Eingabe von User Identifikation und Passwort, um Zugang zu verschiedenen IT-Diensten und Anwendungen zu erhalten. Die Anmeldung wird über ein Protokoll zur Steuerung des Anmeldeprozesses sowie über eine Authentisierungs­schicht wie OpenID Connect realisiert. Dabei wird das Passwort nicht weitergegeben; vielmehr erfolgt die Authentisierung über einen Token. Auch ein Verfahren auf Basis des Standards Security Assertion Markup Language (SAML) ist in Gebrauch. Dieses Verfahren stützt sich zur Autorisierung auf einen verschlüsselten Session-Cookie.

Um SSO nutzen zu können, muss jede Anwendung an das Verfahren angebunden sein. Das gilt auch für Internet-Portale, Mailsysteme und Cloud-basierte Anwendungen. Zwar verfügen die großen Unternehmenslösungen in aller Regel über die entsprechenden Einrichtungen, doch ist nicht jede Software per se dazu in der Lage – sie muss mit entsprechenden Schnittstellen ausgestattet sein.

In der Praxis wird die SSO-Funktionalität heute häufig über externe Dienste wie Microsoft Azure Active Directory bereitgestellt. Damit zeichnet sich bereits ein Nachteil ab: Die Kosten dafür hängen von der Anzahl der Anwender und der Anzahl der Anwendungen ab. Gerade Power-Arbeitsplätze, die mit zahlreichen externen Portalen oder Webdiensten interagieren, verursachen hohe Gebühren für den SSO-Service. Der anhaltende Trend, private Geräte in geschäftlichen IT-Umgebungen zu nutzen – Stichwort „Bring Your Own Device“ (BYOD) – bringt zusätzliche Komplexität in das Verfahren. Behörden- und Einkaufsportale sowie die zunehmend für betriebliche Belange bedeutsamen Sozialen Netze sind in aller Regel einem SSO überhaupt nicht zugänglich.

Als Alternative gehen manche Anwender den Weg, sich über ihr Google- oder Facebook-Account zu authentisieren. Aus der Sicht des Security-Beauftragten (und auch unter Datenschutz-Gesichtspunkten) wird diese Schatten-IT kritisch gesehen, zumal sie zentral kaum zu kontrollieren ist. Fazit: Single-Sign-on funktioniert dort gut, wo man die gesamte Softwarelandschaft eines Betriebs unter Kontrolle hat. Die Praxis zeigt jedoch, dass sich das nicht immer realisieren lässt.

Passwort-Manager: Nicht ohne komplexe Zeichenfolge

Die zweite Möglichkeit, dem ständigen Passwort-Hickhack zu entgehen, besteht in der Nutzung eines Passwort-Managers. Dieser speichert die Passwörter sämtlicher Dienste und Websites an zentraler Stelle in einer Datenbank, Vault genannt. Dieser kann je nach Anbieter lokal oder in der Cloud liegen.

Der Vorteil des Passwort-Managers hinsichtlich der User Experience ähnelt demjenigen des SSO: Der Mitarbeiter an seinem Arbeitsplatz gibt morgens sein Masterpasswort ein und hat dann den ganzen Arbeitstag über keinen Stress mehr mit Passwörtern, so das Versprechen dieses Ansatzes. Im Gegensatz zum SSO wird hier nicht jede einzelne Software und Website in ein System eingebunden, stattdessen erfolgt das Authentisierungsritual über eine Browser-Erweiterung. Bei dieser Technik ist die Wahl eines sicheren Masterpassworts besonders wichtig, denn mit ihm wird der Vault verschlüsselt. Die Sicherheit dieser Datenbank steht und fällt mit der Komplexität des Masterpassworts. Damit aber steht der User vor dem Dilemma: Wählt er ein leicht zu merkendes Passwort, das dann aber meist nicht sonderlich sicher ist? Oder doch lieber eines, das sicher ist, das er sich aber nicht so leicht merken kann - und das in der betrieblichen Realität eben doch häufig wieder auf einen Zettel unter dem Keyboard oder ein Post-It am Bildschirm notiert wird? Um die Sicherheit zu erhöhen, können Passwortmanager um eine Zwei-Faktor-Authentisierung erweitert werden, also beispielsweise durch eine PIN, die dem User über einen anderen Kanal zugesandt wird.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Weil sämtliche Passwörter in einer zentralen Datenbank abgelegt sind, wird letztere immer wieder zum Ziel von Cyberattacken. Schlagzeilen machte unlängst der Angriff auf den Passwortmanager-Dienstleister LastPass: Cyberkriminellen gelang es, zahlreiche Kunden-Vaults zu kopieren. Damit können diese nun in aller Ruhe daran gehen, die Passwort-Datenbanken mittels Brute-Force-Attacke zu entschlüsseln und die gewonnenen Identitätsdaten für ihre finsteren Zwecke zu nutzen. Die Chance, dass ihnen das gelingt, hängt von der Komplexität des Master-Passworts ab. Hier gilt die Regel: Passwörter, die sich ein User ausgedacht hat, um sie sich leichter merken zu können, sind leichter zu knacken als solche, die per Zufallsgenerator erzeugt wurden.

Das Beste aus zwei Welten: Authentisierung per Smartphone

Einen anderen Weg geht das Startup-Unternehmen Heylogin mit seinem Ansatz, der maximale Sicherheit mit einer positiven User Experience vereint. Technisch betrachtet handelt es sich dabei um einen Passwort-Manager, doch stützt sich das Unternehmen mit seinem Verfahren zur Login-Absicherung auf ein Werkzeug, das heute ohnehin jeder Mitarbeiter und jede Mitarbeiterin besitzt: Das Smartphone. Moderne Geräte sind mit einem Sicherheitschip bestückt, auf dem sich beispielsweise Bezahlmechanismen hinterlegen lassen; auch die Benutzerauthentisierung der Handys läuft über diesen Chip. Das Heylogin-Verfahren nutzt ihn, um einen Sicherheitsschlüssel zu generieren, der dann für das Login verwendet wird. Dieser Schlüssel wird per Zufallsgenerator erzeugt, was schon einmal einen Sicherheitsvorteil gegenüber einem User-generierten Passwort bietet. Zudem ist dieses „Geheimnis“ mit 256 bit so lang, dass er jedem Brute-Force-Angriff standhält. Mit einem modernen symmetrischen Verschlüsselungsalgorithmus geschützt, ist dieser Schlüssel nicht einmal mit einem Quantencomputer zu knacken. Mit dem Verfahren braucht sich der User keine komplexen Masterpasswörter zu merken – und die IT-Abteilung muss dennoch nicht um die Zugangssicherheit bangen.

Der Anwender an seinem Bildschirm-Arbeitsplatz muss sich nur noch maximal den Zugangscode zu seinem Handy merken, und oft nicht einmal das. Denn viele Mobiltelefone sind heute durch biometrische Zugangsverfahren geschützt. Der einzige denkbare Weg für einen Hackerangriff führt über die physische Wegnahme des Handys mit anschließendem Knacken des Zugangsverfahrens – doch physische Attacken lassen sich bekanntlich nicht skalieren und sind für Cyberkriminelle daher uninteressant. Aus der Sicht der betrieblichen IT-Verantwortlichen bietet das Verfahren noch einen weiteren Vorteil: Es lässt sich in das SSO-System Microsoft Azure Active Directory integrieren und skaliert damit genauso gut wie verbreitete SSOs.

Über den Autor: Dr. Dominik Schürmann hat in IT-Sicherheit promoviert und während seiner Zeit an der TU Braunschweig über 15 wissenschaftliche Publikationen veröffentlicht. Neben der Forschung entwickelte er Apps für E-Mail-Verschlüsselung und betreute 3 Jahre in Folge den Google Summer of Code. Nun ist er CEO der Heylogin GmbH und hat zusammen mit seinem Co-Founder Vincent Breitmoser und einem 9 köpfigen Team den ersten Passwort-Manager auf den Markt gebracht, der ganz ohne Master-Passwort auskommt.

(ID:49414956)