Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

RUB-Forscher optimiert Single Sign-On: Wenn User-Träume sicher werden

18.09.2012
Mit dem Komfort steigt die Gefahr: Statt wiederholter Anmeldung ermöglicht „Single Sign-On“ dem Nutzer mit nur einem Login den Zugriff auf all seine passwortgeschützten Bereiche.
Doch auch Angreifer wissen um den Mehrwert, den eine einzige erfolgreiche Attacke hier für sie bereithält. Andreas Mayer, der als externer Doktorand am Lehrstuhl für Netz- und Datensicherheit (Prof. Dr. Jörg Schwenk) der Ruhr-Universität Bochum promoviert, ist es nun gelungen, die Sicherheit dieser zentralen Schnittstelle deutlich zu erhöhen.

Bislang kein Schutz vor gezielten Angriffen
Das System „Single Sign-On“, kurz SSO, scheint für jeden User traumhaft: „Einmal authentifiziert stehen ihm seine Informationen und Dienste sofort und ohne erneute lästige Passworteingabe zur Verfügung“, so Mayer. Doch genau diese Konzentration potenziere den möglichen Schaden, der dem Nutzer durch eben jenen „Single-Point-of-Attack“ entstehen könne.

Ohne passgenaue Sicherheitskonzepte drohen Identitätsdiebstähle in bislang ungeahnter Größenordnung, warnen die Forscher vom Horst Görtz Institut für IT-Sicherheit (HGI) der RUB. Dass die Einmal-Anmeldung längst nicht so sicher ist wie bislang angenommen, zeigten die Bochumer Wissenschaftler erst vor kurzem:

Sie knackten 12 von 14 SSO-Systemen, die massive Sicherheitslücken aufwiesen. „Wir rechnen in naher Zukunft mit vermehrten Angriffen auf browser-basierte SSO-Lösungen wie Facebook Connect, SAML, OpenID und Microsoft Cardspace“, so Mayer. „Es ist äußerst besorgniserregend, dass keines der aktuell eingesetzten und in den vergangenen zwölf Jahren entwickelten SSO-Protokolle wirksamen Schutz vor gezielten Angriffen bietet.“

Hochwirksame und quelloffene SSO-Lösung

Bislang können die vielen Bedrohungs-Szenarien wie Phishing, Pharming, Man-in-the-Middle Angriffe oder Cross-Site Scripting die steigende Popularität der SSO-Angebote nicht bremsen. Zu komfortabel ist das „Einmal-angemeldet-überall-drin“-Modell, zu arglos der Nutzer. Der Gefahr steuert Andreas Mayer mit seinen Ergebnissen entgegen: Er implementierte das normierte „SAML Holder-of-Key Web Browser SSO Profile“ erstmals im weltweit verbreiteten Open Source Framework „SimpleSAMLphp“ – das ist eine Programmieranwendung rund um die Authentifikation.

„Dadurch bindet der Holder-of-Key alle kritischen Authentisierungs- und Autorisierungsinformationen - die sogenannten Security Tokens - kryptographisch an den Browser des rechtmäßigen Benutzers“, erklärt Mayer. „Entstanden ist eine hochwirksame und quelloffene Lösung, die von allen gängigen Browsern unterstützt wird.“

Andreas Mayer arbeitet bei der Adolf Würth GmbH & Co. KG und schreibt nebenberuflich seine Doktorarbeit am Lehrstuhl für Netz- und Datensicherheit der RUB.

Weitere Informationen

Prof. Dr. Jörg Schwenk, Fakultät für Elektrotechnik und Informationstechnik der RUB, Lehrstuhl für Netz- und Datensicherheit, Tel. 0234/32-26692
joerg.schwenk@rub.de

Angeklickt

SimpleSAMLphp-Framework zum Download:
http://www.simplesamlphp.org

RUB-Forscher knacken Single Sign-On (RUB-Presseinformation Nr. 266 vom 10.8.2012):
http://aktuell.ruhr-uni-bochum.de/pm2012/pm00266.html.de

Redaktion: Jens Wylkop

Dr. Josef König | idw
Weitere Informationen:
http://www.simplesamlphp.org
http://aktuell.ruhr-uni-bochum.de/pm2012/pm00266.html.de

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Ein Baukasten für umsichtige Roboter
25.06.2019 | Technische Universität München

nachricht Künstliche Intelligenz lernt Nervenzellen am Aussehen zu erkennen
21.06.2019 | Max-Planck-Institut für Neurobiologie

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Einzelne Atome im Visier

Mit der NMR-Spektroskopie ist es in den letzten Jahrzehnten möglich geworden, die räumliche Struktur von chemischen und biochemischen Moleküle zu erfassen. ETH-Forschende haben nun einen Weg gefunden, wie man dieses Messprinzip auf einzelne Atome anwenden kann.

Die Kernspinresonanz-Spektroskopie – kurz NMR-Spektroskopie – ist eine der wichtigsten physikalisch-chemischen Untersuchungsmethoden. Damit lässt sich...

Im Focus: Partielle Mondfinsternis am 16./17. Juli 2019

Gemeinsame Pressemitteilung der Vereinigung der Sternfreunde (VdS) und des Hauses der Astronomie in Heidelberg - Wie im letzten Jahr findet auch 2019 eine in den späten Abendstunden in einer lauen Sommernacht gut zu beobachtende Mondfinsternis statt, und zwar in der Nacht vom 16. auf den 17. Juli. Die Finsternis ist zwar nur partiell - der Mond tritt also nicht vollständig in den Erdschatten ein - es ist aber für die nächsten Jahre die einzige gut sichtbare Mondfinsternis im deutschen Sprachraum.

Am Dienstagabend, den 16. Juli, wird ein kosmisches Schauspiel zu sehen sein: Der Vollmond taucht zu einem großen Teil in den Schatten der Erde ein, es findet...

Im Focus: Fraunhofer IDMT zeigt akustische Qualitätskontrolle auf der Fachmesse für Messtechnik »Sensor + Test 2019«

Das Ilmenauer Fraunhofer-Institut für Digitale Medientechnologie IDMT präsentiert vom 25. bis 27. Juni 2019 am Gemeinschaftsstand der Fraunhofer-Gesellschaft (Stand 5-248) seine neue Lösung zur berührungslosen, akustischen Qualitätskontrolle von Werkstücken und Bauteilen. Da die Prüfung zerstörungsfrei funktioniert, kann teurer Prüfschrott vermieden werden. Das Prüfverfahren wird derzeit gemeinsam mit verschiedenen Industriepartnern im praktischen Einsatz erfolgreich getestet und hat das Technology Readiness Level (TRL) 6 erreicht.

Maschinenausfälle, Fertigungsfehler und teuren Prüfschrott reduzieren

Im Focus: Fraunhofer IDMT demonstrates its method for acoustic quality inspection at »Sensor+Test 2019« in Nürnberg

From June 25th to 27th 2019, the Fraunhofer Institute for Digital Media Technology IDMT in Ilmenau (Germany) will be presenting a new solution for acoustic quality inspection allowing contact-free, non-destructive testing of manufactured parts and components. The method which has reached Technology Readiness Level 6 already, is currently being successfully tested in practical use together with a number of industrial partners.

Reducing machine downtime, manufacturing defects, and excessive scrap

Im Focus: Erfolgreiche Praxiserprobung: Bidirektionale Sensorik optimiert das Laserauftragschweißen

Die Qualität generativ gefertigter Bauteile steht und fällt nicht nur mit dem Fertigungsverfahren, sondern auch mit der Inline-Prozessregelung. Die Prozessregelung sorgt für einen sicheren Beschichtungsprozess, denn Abweichungen von der Soll-Geometrie werden sofort erkannt. Wie gut das mit einer bidirektionalen Sensorik bereits beim Laserauftragschweißen im Zusammenspiel mit einer kommerziellen Optik gelingt, demonstriert das Fraunhofer-Institut für Lasertechnik ILT auf der LASER World of PHOTONICS 2019 auf dem Messestand A2.431.

Das Fraunhofer ILT entwickelt optische Sensorik seit rund 10 Jahren gezielt für die Fertigungsmesstechnik. Dabei hat sich insbesondere die Sensorik mit der...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

VideoLinks
Industrie & Wirtschaft
Veranstaltungen

17. Internationale Conference on Carbon Dioxide Utilization in Aachen

25.06.2019 | Veranstaltungen

Meeresleuchten, Klimawandel, Küstenmeere Afrikas – Spannende Vielfalt bei „Warnemünder Abenden 2019“

24.06.2019 | Veranstaltungen

Plastik: Mehr Kreislauf gegen die Krise gefordert

21.06.2019 | Veranstaltungen

VideoLinks
Wissenschaft & Forschung
Weitere VideoLinks im Überblick >>>
 
Aktuelle Beiträge

Einzelne Atome im Visier

25.06.2019 | Physik Astronomie

Clever Chillen mit weniger Kältemittel: Neue Blue e Chiller von 11 bis 25 kW

25.06.2019 | Energie und Elektrotechnik

Neuer Therapieansatz fördert die Reparatur von Blutgefässen nach einem Hirnschlag

25.06.2019 | Biowissenschaften Chemie

Weitere B2B-VideoLinks
IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics