Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

Single Sign-on im Web

18. Juni 2012

Immer mehr Webdienste bieten ihren Nutzern die Möglichkeit an, auf eine herkömmliche Registrierung zu verzichten, und sich stattdessen z.B. via "Facebook Connect" oder "Sign in with Twitter" anzumelden. Aufgrund der aktuellen Vorfälle rund um den Hack von "TweetGif" möchten wir auf die Vor- bzw. Nachteile eines solchen Single Sign-on Systems im Web hinweisen.

Was ist ein Single Sign-on System

Durch die enorm wachsende Zahl an Webdiensten die viele User Tag für Tag nutzen, ist es natürlich auch notwendig für jeden die meisten Dienste ein eigenes Profil anzulegen, was wiederum in verschiedensten Kombinationen aus Benutzernamen und Passwörtern resultiert. Genau hier setzen Single Sign-on Dienste wie "Facebook Connect", "Sign in with Twitter" oder "OpenID" an: sie bieten Drittanbietern (Apps, Blogs, etc.) an, die vorhandenen Benutzerdaten (OpenID) und Profilinformationen (FB Connect, Twitter) für eben diese zu verwenden - somit braucht man sich um eine weitere Pflege der (Profil-)Daten nicht weiter zu kümmern, da alles "zentral" im Konto bei Facebook oder Twitter passiert (Anm.: mit OpenID kann man sich nur einloggen, muss das Profil aber wieder für den jeweiligen Dienst mit Daten befüllen).

Ablauf des Verfahrens

1. Der Benutzer klickt auf einen Connect-Button (FB Connect, Sign in with Twitter, etc.) 2. er wird zu der gewählten Plattform weitergeleitet 3. er authentifiziert sich und autorisiert die Anfrage des gewünschten Dienstes 4. und wird wieder auf die Ausgangsplattform geleitet

Nachteile des Systems

Bei der Autorisierung von Drittanbieter-Diensten werden sogenannte Zugangstoken erstellt, welche den Diensten später den Zugriff auf die Account-Daten, ohne erneute Autorisierung (Authentifizierung reicht aus, d.h. Benutzername und Passwort), ermöglichen. Genau hier liegt aber das Problem, denn selbst beim Ändern des Passworts für z.B. Facebook oder Twitter, werden diese Zugangstoken nicht verändert, somit haben bereits autorisierte Drittanbieter weiterhin Zugriff auf die Daten. Im Falle des Hacks von "TweetGif" konnten die Anfreiger dann auf ca. 8000 Twitter-Accounts - ohne Passwörter - zugreifen. Die Wahrscheinlichkeit, dass Plattformen wie Facebook oder Twitter selbst gehackt werden, ist relativ gering, allerdings stellt jeder weitere Dienst, der auf die Daten zugreifen kann, ein potentielles Sicherheitsrisiko dar.

Quellen: heise.de, t3n.de

Autor:

Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Sicherheitslücke in Mailserver-Software Exim - Patches verfügbar
6. September 2019 | Beschreibung Das ...
Kritische Schwachstelle in bzip2 - je nach Setup für RCE ausnutzbar
24. Juni 2019 | Beschreibung In ...
mehr ...
Remote Desktop Services. Mal wieder.
14. August 2019 | Ich ...
BlueKeep, mal wieder
25. Juli 2019 | Das "Schöne" ...
mehr ...
Jahresbericht 2017
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2012/6/18 - 15:26:04
Haftungsausschluss / Datenschutzerklärung