Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

RUB-Forscher optimiert Single Sign-On: Wenn User-Träume sicher werden

18.09.2012
Mit dem Komfort steigt die Gefahr: Statt wiederholter Anmeldung ermöglicht „Single Sign-On“ dem Nutzer mit nur einem Login den Zugriff auf all seine passwortgeschützten Bereiche.
Doch auch Angreifer wissen um den Mehrwert, den eine einzige erfolgreiche Attacke hier für sie bereithält. Andreas Mayer, der als externer Doktorand am Lehrstuhl für Netz- und Datensicherheit (Prof. Dr. Jörg Schwenk) der Ruhr-Universität Bochum promoviert, ist es nun gelungen, die Sicherheit dieser zentralen Schnittstelle deutlich zu erhöhen.

Bislang kein Schutz vor gezielten Angriffen
Das System „Single Sign-On“, kurz SSO, scheint für jeden User traumhaft: „Einmal authentifiziert stehen ihm seine Informationen und Dienste sofort und ohne erneute lästige Passworteingabe zur Verfügung“, so Mayer. Doch genau diese Konzentration potenziere den möglichen Schaden, der dem Nutzer durch eben jenen „Single-Point-of-Attack“ entstehen könne.

Ohne passgenaue Sicherheitskonzepte drohen Identitätsdiebstähle in bislang ungeahnter Größenordnung, warnen die Forscher vom Horst Görtz Institut für IT-Sicherheit (HGI) der RUB. Dass die Einmal-Anmeldung längst nicht so sicher ist wie bislang angenommen, zeigten die Bochumer Wissenschaftler erst vor kurzem:

Sie knackten 12 von 14 SSO-Systemen, die massive Sicherheitslücken aufwiesen. „Wir rechnen in naher Zukunft mit vermehrten Angriffen auf browser-basierte SSO-Lösungen wie Facebook Connect, SAML, OpenID und Microsoft Cardspace“, so Mayer. „Es ist äußerst besorgniserregend, dass keines der aktuell eingesetzten und in den vergangenen zwölf Jahren entwickelten SSO-Protokolle wirksamen Schutz vor gezielten Angriffen bietet.“

Hochwirksame und quelloffene SSO-Lösung

Bislang können die vielen Bedrohungs-Szenarien wie Phishing, Pharming, Man-in-the-Middle Angriffe oder Cross-Site Scripting die steigende Popularität der SSO-Angebote nicht bremsen. Zu komfortabel ist das „Einmal-angemeldet-überall-drin“-Modell, zu arglos der Nutzer. Der Gefahr steuert Andreas Mayer mit seinen Ergebnissen entgegen: Er implementierte das normierte „SAML Holder-of-Key Web Browser SSO Profile“ erstmals im weltweit verbreiteten Open Source Framework „SimpleSAMLphp“ – das ist eine Programmieranwendung rund um die Authentifikation.

„Dadurch bindet der Holder-of-Key alle kritischen Authentisierungs- und Autorisierungsinformationen - die sogenannten Security Tokens - kryptographisch an den Browser des rechtmäßigen Benutzers“, erklärt Mayer. „Entstanden ist eine hochwirksame und quelloffene Lösung, die von allen gängigen Browsern unterstützt wird.“

Andreas Mayer arbeitet bei der Adolf Würth GmbH & Co. KG und schreibt nebenberuflich seine Doktorarbeit am Lehrstuhl für Netz- und Datensicherheit der RUB.

Weitere Informationen

Prof. Dr. Jörg Schwenk, Fakultät für Elektrotechnik und Informationstechnik der RUB, Lehrstuhl für Netz- und Datensicherheit, Tel. 0234/32-26692
joerg.schwenk@rub.de

Angeklickt

SimpleSAMLphp-Framework zum Download:
http://www.simplesamlphp.org

RUB-Forscher knacken Single Sign-On (RUB-Presseinformation Nr. 266 vom 10.8.2012):
http://aktuell.ruhr-uni-bochum.de/pm2012/pm00266.html.de

Redaktion: Jens Wylkop

Dr. Josef König | idw
Weitere Informationen:
http://www.simplesamlphp.org
http://aktuell.ruhr-uni-bochum.de/pm2012/pm00266.html.de

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Industrie 4.0: Fremde Eindringlinge im Unternehmensnetz erkennen
16.04.2018 | Fraunhofer-Institut für Sichere Informationstechnologie SIT

nachricht Die Thermodynamik des Rechnens
11.04.2018 | Eidgenössische Technische Hochschule Zürich (ETH Zürich)

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Software mit Grips

Ein computergestütztes Netzwerk zeigt, wie die Ionenkanäle in der Membran von Nervenzellen so verschiedenartige Fähigkeiten wie Kurzzeitgedächtnis und Hirnwellen steuern können

Nervenzellen, die auch dann aktiv sind, wenn der auslösende Reiz verstummt ist, sind die Grundlage für ein Kurzzeitgedächtnis. Durch rhythmisch aktive...

Im Focus: Der komplette Zellatlas und Stammbaum eines unsterblichen Plattwurms

Von einer einzigen Stammzelle zur Vielzahl hochdifferenzierter Körperzellen: Den vollständigen Stammbaum eines ausgewachsenen Organismus haben Wissenschaftlerinnen und Wissenschaftler aus Berlin und München in „Science“ publiziert. Entscheidend war der kombinierte Einsatz von RNA- und computerbasierten Technologien.

Wie werden aus einheitlichen Stammzellen komplexe Körperzellen mit sehr unterschiedlichen Funktionen? Die Differenzierung von Stammzellen in verschiedenste...

Im Focus: Spider silk key to new bone-fixing composite

University of Connecticut researchers have created a biodegradable composite made of silk fibers that can be used to repair broken load-bearing bones without the complications sometimes presented by other materials.

Repairing major load-bearing bones such as those in the leg can be a long and uncomfortable process.

Im Focus: Verbesserte Stabilität von Kunststoff-Leuchtdioden

Polymer-Leuchtdioden (PLEDs) sind attraktiv für den Einsatz in großflächigen Displays und Lichtpanelen, aber ihre begrenzte Stabilität verhindert die Kommerzialisierung. Wissenschaftler aus dem Max-Planck-Institut für Polymerforschung (MPIP) in Mainz haben jetzt die Ursachen der Instabilität aufgedeckt.

Bildschirme und Smartphones, die gerollt und hochgeklappt werden können, sind Anwendungen, die in Zukunft durch die Entwicklung von polymerbasierten...

Im Focus: Writing and deleting magnets with lasers

Study published in the journal ACS Applied Materials & Interfaces is the outcome of an international effort that included teams from Dresden and Berlin in Germany, and the US.

Scientists at the Helmholtz-Zentrum Dresden-Rossendorf (HZDR) together with colleagues from the Helmholtz-Zentrum Berlin (HZB) and the University of Virginia...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

VideoLinks
Industrie & Wirtschaft
Veranstaltungen

Internationale Konferenz zur Digitalisierung

19.04.2018 | Veranstaltungen

124. Internistenkongress in Mannheim: Internisten rücken Altersmedizin in den Fokus

19.04.2018 | Veranstaltungen

DFG unterstützt Kongresse und Tagungen - Juni 2018

17.04.2018 | Veranstaltungen

VideoLinks
Wissenschaft & Forschung
Weitere VideoLinks im Überblick >>>
 
Aktuelle Beiträge

Grösster Elektrolaster der Welt nimmt Arbeit auf

20.04.2018 | Interdisziplinäre Forschung

Bilder magnetischer Strukturen auf der Nano-Skala

20.04.2018 | Physik Astronomie

Kieler Forschende entschlüsseln neuen Baustein in der Entwicklung des globalen Klimas

20.04.2018 | Geowissenschaften

Weitere B2B-VideoLinks
IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics