Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Single Sign-On: RUB-Forscher knacken Industriestandard für Identifizierung

10.08.2012
Webshops, Cloud Computing, Online-Banking: Tagtäglich fordern viele unterschiedliche IT-Systeme den Nutzer auf, sich immer wieder über Benutzername und Passwort zu identifizieren.
Als praktisches Mittel gegen die Flut von Mehrfachanmeldungen gilt das so genannte „Single Sign-On“. Hier weist sich der Nutzer genau einmal aus, alle weiteren Authentifizierungen erfolgen automatisch. Dass die Einmal-Anmeldung jedoch längst nicht so sicher ist wie bislang angenommen, zeigen jetzt Forscher vom Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität Bochum: Ungefähr 80 Prozent der untersuchten Systeme wiesen massive Sicherheitslücken auf.

Digitale Signatur soll schützen

Das „Single Sign-On“-Verfahren, kurz SSO, kann mit einem gut bewachten Tor verglichen werden, das die sensiblen Firmendaten schützt: Wer den Eingang einmal passiert hat, kann auf alle Informationen und Dienste zugreifen, denn er gilt als angemeldet und zugriffsberechtigt. Viele SSO-Systeme setzen auf die weit verbreitete Security Assertion Markup Language (SAML). Die Identitätsinformationen werden in einer SAML-Nachricht gespeichert und durch eine digitale Signatur geschützt. Doch die Bochumer Forscher fanden einen Weg, diesen Schutz zu umgehen.

Sicherheitsfunktion ausgehebelt

„Mit einem neuartigen XML Signature Wrapping-Angriff haben wir sämtliche Sicherheitsfunktionen der digitalen Signatur komplett ausgehebelt“, berichtet Prof. Dr. Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit. „Dadurch konnten wir uns jede beliebige Identität aneignen und uns sogar als Systemadministratoren ausgeben“. Die Wissenschaftler testeten 14 weit verbreitete SAML-Anbieter und -Systeme. Davon wiesen 12 kritische Lücken auf. Anfällig waren unter anderem der Cloud-Anbieter Salesforce, das IBM DataPower Security Gateway, Onelogin (benutzt in Joomla, Wordpress, SugarCRM und Drupal) und das Framework OpenSAML (Shibboleth, SuisseID und OpenSAML).
Gegenmaßnahmen vorgeschlagen

„Nachdem wir die Sicherheitslücken entdeckt hatten, kontaktierten wir umgehend die betroffenen Firmen und schlugen Gegenmaßnahmen vor“, berichtet der Sicherheitsexperte und externe Doktorand Andreas Mayer (Adolf Würth GmbH & Co. KG). „Durch die professionelle Zusammenarbeit mit den Herstellern konnten die kritischen Schwachstellen in den betroffenen Produkten geschlossen werden“, ergänzt Juraj Somorovsky vom Lehrstuhl für Netz- und Datensicherheit.

Ergebnisvorschau

Am 10. August 2012 stellt Juraj Somorovsky die Ergebnisse auf dem 21. USENIX Security Symposium in Bellevue, Washington (USA) vor. Das Paper ist im Internet veröffentlicht unter: http://www.nds.rub.de/research/publications/BreakingSAML

Weitere Informationen

Prof. Dr. Jörg Schwenk, Fakultät für Elektrotechnik und Informationstechnik der RUB, Lehrstuhl für Netz- und Datensicherheit, Tel. 0234/32-26692
joerg.schwenk@rub.de

Redaktion: Jens Wylkop

Dr. Josef König | idw
Weitere Informationen:
http://www.ruhr-uni-bochum.de/
http://www.nds.rub.de/research/publications/BreakingSAML

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Stromausfall: Krisen per Knopfdruck managen
17.04.2019 | Telekom-TechBoost-Serinus

nachricht Arbeiten 4.0: Voll im Flow dank Künstlicher Intelligenz
16.04.2019 | Karlsruher Institut für Technologie

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Neues „Baustein-Konzept“ für die additive Fertigung

Volkswagenstiftung fördert Wissenschaftler aus dem IPF Dresden bei der Erkundung eines innovativen neuen Ansatzes im 3D-Druck

Im Rahmen Ihrer Initiative „Experiment! - Auf der Suche nach gewagten Forschungsideen“
fördert die VolkswagenStiftung ein Projekt, das von Herrn Dr. Julian...

Im Focus: Vergangenheit trifft Zukunft

autartec®-Haus am Fuß der F60 fertiggestellt

Der Hafen des Bergheider Sees beherbergt seinen ersten Bewohner. Das schwimmende autartec®-Haus – entstanden im Rahmen eines vom Bundesministerium für Bildung...

Im Focus: Hybrid-Neuronen-Netzwerke mit 3D-Lithografie möglich

Netzwerken aus wenigen Neuronenzellen können gezielt künstliche dreidimensionale Strukturen vorgegeben werden. Sie werden dafür elektronisch verschaltet. Dies eröffnet neue Möglichkeiten, Fehler in neuralen Netzwerken besser zu verstehen und technische Anwendungen mit lebenden Zellen gezielter zu steuern. Dies stellt ein Team aus Forschenden aus Greifswald und Hamburg in einer Publikation in der Fachzeitschrift „Advanced Biosystems“ vor.

Eine der zentralen Fragen der Lebenswissenschaften ist, die Funktionsweise des Gehirns zu verstehen. Komplexe Abläufe im Gehirn ermöglichen uns, schnell Muster...

Im Focus: Was geschieht im Körper von ALS-Patienten?

Wissenschaftler der TU Dresden finden Wege, um das Absterben von Nervenzellen zu verringern und erforschen Therapieansätze zur Behandlung von ALS

Die Amyotrophe Lateralsklerose (ALS) ist eine unheilbare Erkrankung des zentralen Nervensystems. Nicht selten verläuft ALS nach der Diagnose innerhalb...

Im Focus: Quantum simulation more stable than expected

A localization phenomenon boosts the accuracy of solving quantum many-body problems with quantum computers which are otherwise challenging for conventional computers. This brings such digital quantum simulation within reach on quantum devices available today.

Quantum computers promise to solve certain computational problems exponentially faster than any classical machine. “A particularly promising application is the...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

VideoLinks
Industrie & Wirtschaft
Veranstaltungen

Künstliche Intelligenz: Lernen von der Natur

17.04.2019 | Veranstaltungen

Mobilität im Umbruch – Conference on Future Automotive Technology, 7.-8. Mai 2019, Fürstenfeldbruck

17.04.2019 | Veranstaltungen

Augmented Reality und Softwareentwicklung: 33. Industrie-Tag InformationsTechnologie (IT)²

17.04.2019 | Veranstaltungen

VideoLinks
Wissenschaft & Forschung
Weitere VideoLinks im Überblick >>>
 
Aktuelle Beiträge

Erster astrophysikalischer Nachweis des Heliumhydrid-Ions

18.04.2019 | Physik Astronomie

Radioteleskop LOFAR blickt tief in den Blitz

18.04.2019 | Physik Astronomie

Kühlen nach Art der Pflanzen

18.04.2019 | Biowissenschaften Chemie

Weitere B2B-VideoLinks
IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics