Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

Single Sign-on im Web

18. Juni 2012

Immer mehr Webdienste bieten ihren Nutzern die Möglichkeit an, auf eine herkömmliche Registrierung zu verzichten, und sich stattdessen z.B. via "Facebook Connect" oder "Sign in with Twitter" anzumelden. Aufgrund der aktuellen Vorfälle rund um den Hack von "TweetGif" möchten wir auf die Vor- bzw. Nachteile eines solchen Single Sign-on Systems im Web hinweisen.

Was ist ein Single Sign-on System

Durch die enorm wachsende Zahl an Webdiensten die viele User Tag für Tag nutzen, ist es natürlich auch notwendig für jeden die meisten Dienste ein eigenes Profil anzulegen, was wiederum in verschiedensten Kombinationen aus Benutzernamen und Passwörtern resultiert. Genau hier setzen Single Sign-on Dienste wie "Facebook Connect", "Sign in with Twitter" oder "OpenID" an: sie bieten Drittanbietern (Apps, Blogs, etc.) an, die vorhandenen Benutzerdaten (OpenID) und Profilinformationen (FB Connect, Twitter) für eben diese zu verwenden - somit braucht man sich um eine weitere Pflege der (Profil-)Daten nicht weiter zu kümmern, da alles "zentral" im Konto bei Facebook oder Twitter passiert (Anm.: mit OpenID kann man sich nur einloggen, muss das Profil aber wieder für den jeweiligen Dienst mit Daten befüllen).

Ablauf des Verfahrens

1. Der Benutzer klickt auf einen Connect-Button (FB Connect, Sign in with Twitter, etc.) 2. er wird zu der gewählten Plattform weitergeleitet 3. er authentifiziert sich und autorisiert die Anfrage des gewünschten Dienstes 4. und wird wieder auf die Ausgangsplattform geleitet

Nachteile des Systems

Bei der Autorisierung von Drittanbieter-Diensten werden sogenannte Zugangstoken erstellt, welche den Diensten später den Zugriff auf die Account-Daten, ohne erneute Autorisierung (Authentifizierung reicht aus, d.h. Benutzername und Passwort), ermöglichen. Genau hier liegt aber das Problem, denn selbst beim Ändern des Passworts für z.B. Facebook oder Twitter, werden diese Zugangstoken nicht verändert, somit haben bereits autorisierte Drittanbieter weiterhin Zugriff auf die Daten. Im Falle des Hacks von "TweetGif" konnten die Anfreiger dann auf ca. 8000 Twitter-Accounts - ohne Passwörter - zugreifen. Die Wahrscheinlichkeit, dass Plattformen wie Facebook oder Twitter selbst gehackt werden, ist relativ gering, allerdings stellt jeder weitere Dienst, der auf die Daten zugreifen kann, ein potentielles Sicherheitsrisiko dar.

Quellen: heise.de, t3n.de

Autor:

Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Schwachstelle in Microsoft Remote Desktop Services - Updates verfügbar
16. Mai 2019 | Beschreibung | Microsoft ...
Update: ASUS Live Update verbreitete Schadsoftware
25. März 2019 | Update: ...
mehr ...
CEO Fraud goes WhatsApp
24. Mai 2019 | Uns wurde ...
Cyber Security Challenge 2019
17. Mai 2019 | Auch heuer ...
mehr ...
Jahresbericht 2017
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2012/6/18 - 15:26:04
Haftungsausschluss / Datenschutzerklärung