Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

RUB-Forscher optimiert Single Sign-On: Wenn User-Träume sicher werden

18.09.2012
Mit dem Komfort steigt die Gefahr: Statt wiederholter Anmeldung ermöglicht „Single Sign-On“ dem Nutzer mit nur einem Login den Zugriff auf all seine passwortgeschützten Bereiche.
Doch auch Angreifer wissen um den Mehrwert, den eine einzige erfolgreiche Attacke hier für sie bereithält. Andreas Mayer, der als externer Doktorand am Lehrstuhl für Netz- und Datensicherheit (Prof. Dr. Jörg Schwenk) der Ruhr-Universität Bochum promoviert, ist es nun gelungen, die Sicherheit dieser zentralen Schnittstelle deutlich zu erhöhen.

Bislang kein Schutz vor gezielten Angriffen
Das System „Single Sign-On“, kurz SSO, scheint für jeden User traumhaft: „Einmal authentifiziert stehen ihm seine Informationen und Dienste sofort und ohne erneute lästige Passworteingabe zur Verfügung“, so Mayer. Doch genau diese Konzentration potenziere den möglichen Schaden, der dem Nutzer durch eben jenen „Single-Point-of-Attack“ entstehen könne.

Ohne passgenaue Sicherheitskonzepte drohen Identitätsdiebstähle in bislang ungeahnter Größenordnung, warnen die Forscher vom Horst Görtz Institut für IT-Sicherheit (HGI) der RUB. Dass die Einmal-Anmeldung längst nicht so sicher ist wie bislang angenommen, zeigten die Bochumer Wissenschaftler erst vor kurzem:

Sie knackten 12 von 14 SSO-Systemen, die massive Sicherheitslücken aufwiesen. „Wir rechnen in naher Zukunft mit vermehrten Angriffen auf browser-basierte SSO-Lösungen wie Facebook Connect, SAML, OpenID und Microsoft Cardspace“, so Mayer. „Es ist äußerst besorgniserregend, dass keines der aktuell eingesetzten und in den vergangenen zwölf Jahren entwickelten SSO-Protokolle wirksamen Schutz vor gezielten Angriffen bietet.“

Hochwirksame und quelloffene SSO-Lösung

Bislang können die vielen Bedrohungs-Szenarien wie Phishing, Pharming, Man-in-the-Middle Angriffe oder Cross-Site Scripting die steigende Popularität der SSO-Angebote nicht bremsen. Zu komfortabel ist das „Einmal-angemeldet-überall-drin“-Modell, zu arglos der Nutzer. Der Gefahr steuert Andreas Mayer mit seinen Ergebnissen entgegen: Er implementierte das normierte „SAML Holder-of-Key Web Browser SSO Profile“ erstmals im weltweit verbreiteten Open Source Framework „SimpleSAMLphp“ – das ist eine Programmieranwendung rund um die Authentifikation.

„Dadurch bindet der Holder-of-Key alle kritischen Authentisierungs- und Autorisierungsinformationen - die sogenannten Security Tokens - kryptographisch an den Browser des rechtmäßigen Benutzers“, erklärt Mayer. „Entstanden ist eine hochwirksame und quelloffene Lösung, die von allen gängigen Browsern unterstützt wird.“

Andreas Mayer arbeitet bei der Adolf Würth GmbH & Co. KG und schreibt nebenberuflich seine Doktorarbeit am Lehrstuhl für Netz- und Datensicherheit der RUB.

Weitere Informationen

Prof. Dr. Jörg Schwenk, Fakultät für Elektrotechnik und Informationstechnik der RUB, Lehrstuhl für Netz- und Datensicherheit, Tel. 0234/32-26692
joerg.schwenk@rub.de

Angeklickt

SimpleSAMLphp-Framework zum Download:
http://www.simplesamlphp.org

RUB-Forscher knacken Single Sign-On (RUB-Presseinformation Nr. 266 vom 10.8.2012):
http://aktuell.ruhr-uni-bochum.de/pm2012/pm00266.html.de

Redaktion: Jens Wylkop

Dr. Josef König | idw
Weitere Informationen:
http://www.simplesamlphp.org
http://aktuell.ruhr-uni-bochum.de/pm2012/pm00266.html.de

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Intel und Universität Luxemburg kooperieren, um selbstfahrende Autos sicherer zu machen
24.11.2017 | Universität Luxemburg - Université du Luxembourg

nachricht Europäisches Konsortium baut effizientestes Rechenzentrum der Welt
22.11.2017 | Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Metamaterial mit Dreheffekt

Mit 3D-Druckern für den Mikrobereich ist es Forschern des Karlsruher Instituts für Technologie (KIT) gelungen ein Metamaterial aus würfelförmigen Bausteinen zu schaffen, das auf Druckkräfte mit einer Rotation antwortet. Üblicherweise gelingt dies nur mit Hilfe einer Übersetzung wie zum Beispiel einer Kurbelwelle. Das ausgeklügelte Design aus Streben und Ringstrukturen, sowie die zu Grunde liegende Mathematik stellen die Wissenschaftler in der aktuellen Ausgabe der renommierten Fachzeitschrift Science vor.

„Übt man Kraft von oben auf einen Materialblock aus, dann deformiert sich dieser in unterschiedlicher Weise. Er kann sich ausbuchten, zusammenstauchen oder...

Im Focus: Proton-Rekord: Magnetisches Moment mit höchster Genauigkeit gemessen

Hochpräzise Messung des g-Faktors elf Mal genauer als bisher – Ergebnisse zeigen große Übereinstimmung zwischen Protonen und Antiprotonen

Das magnetische Moment eines einzelnen Protons ist unvorstellbar klein, aber es kann dennoch gemessen werden. Vor über zehn Jahren wurde für diese Messung der...

Im Focus: New proton record: Researchers measure magnetic moment with greatest possible precision

High-precision measurement of the g-factor eleven times more precise than before / Results indicate a strong similarity between protons and antiprotons

The magnetic moment of an individual proton is inconceivably small, but can still be quantified. The basis for undertaking this measurement was laid over ten...

Im Focus: Reibungswärme treibt hydrothermale Aktivität auf Enceladus an

Computersimulation zeigt, wie der Eismond Wasser in einem porösen Gesteinskern aufheizt

Wärme aus der Reibung von Gestein, ausgelöst durch starke Gezeitenkräfte, könnte der „Motor“ für die hydrothermale Aktivität auf dem Saturnmond Enceladus sein....

Im Focus: Frictional Heat Powers Hydrothermal Activity on Enceladus

Computer simulation shows how the icy moon heats water in a porous rock core

Heat from the friction of rocks caused by tidal forces could be the “engine” for the hydrothermal activity on Saturn's moon Enceladus. This presupposes that...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics
Veranstaltungen

Mathematiker-Jahrestagung DMV + GDM: 5. bis 9. März 2018 an Uni Paderborn - Über 1.000 Teilnehmer

24.11.2017 | Veranstaltungen

Forschungsschwerpunkt „Smarte Systeme für Mensch und Maschine“ gegründet

24.11.2017 | Veranstaltungen

Schonender Hüftgelenkersatz bei jungen Patienten - Schlüssellochchirurgie und weniger Abrieb

24.11.2017 | Veranstaltungen

 
VideoLinks
B2B-VideoLinks
Weitere VideoLinks >>>
Aktuelle Beiträge

Mathematiker-Jahrestagung DMV + GDM: 5. bis 9. März 2018 an Uni Paderborn - Über 1.000 Teilnehmer

24.11.2017 | Veranstaltungsnachrichten

Maschinen über die eigene Handfläche steuern: Nachwuchspreis für Medieninformatik-Student

24.11.2017 | Förderungen Preise

Treibjagd in der Petrischale

24.11.2017 | Biowissenschaften Chemie