Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Single Sign-On: RUB-Forscher knacken Industriestandard für Identifizierung

10.08.2012
Webshops, Cloud Computing, Online-Banking: Tagtäglich fordern viele unterschiedliche IT-Systeme den Nutzer auf, sich immer wieder über Benutzername und Passwort zu identifizieren.
Als praktisches Mittel gegen die Flut von Mehrfachanmeldungen gilt das so genannte „Single Sign-On“. Hier weist sich der Nutzer genau einmal aus, alle weiteren Authentifizierungen erfolgen automatisch. Dass die Einmal-Anmeldung jedoch längst nicht so sicher ist wie bislang angenommen, zeigen jetzt Forscher vom Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität Bochum: Ungefähr 80 Prozent der untersuchten Systeme wiesen massive Sicherheitslücken auf.

Digitale Signatur soll schützen

Das „Single Sign-On“-Verfahren, kurz SSO, kann mit einem gut bewachten Tor verglichen werden, das die sensiblen Firmendaten schützt: Wer den Eingang einmal passiert hat, kann auf alle Informationen und Dienste zugreifen, denn er gilt als angemeldet und zugriffsberechtigt. Viele SSO-Systeme setzen auf die weit verbreitete Security Assertion Markup Language (SAML). Die Identitätsinformationen werden in einer SAML-Nachricht gespeichert und durch eine digitale Signatur geschützt. Doch die Bochumer Forscher fanden einen Weg, diesen Schutz zu umgehen.

Sicherheitsfunktion ausgehebelt

„Mit einem neuartigen XML Signature Wrapping-Angriff haben wir sämtliche Sicherheitsfunktionen der digitalen Signatur komplett ausgehebelt“, berichtet Prof. Dr. Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit. „Dadurch konnten wir uns jede beliebige Identität aneignen und uns sogar als Systemadministratoren ausgeben“. Die Wissenschaftler testeten 14 weit verbreitete SAML-Anbieter und -Systeme. Davon wiesen 12 kritische Lücken auf. Anfällig waren unter anderem der Cloud-Anbieter Salesforce, das IBM DataPower Security Gateway, Onelogin (benutzt in Joomla, Wordpress, SugarCRM und Drupal) und das Framework OpenSAML (Shibboleth, SuisseID und OpenSAML).
Gegenmaßnahmen vorgeschlagen

„Nachdem wir die Sicherheitslücken entdeckt hatten, kontaktierten wir umgehend die betroffenen Firmen und schlugen Gegenmaßnahmen vor“, berichtet der Sicherheitsexperte und externe Doktorand Andreas Mayer (Adolf Würth GmbH & Co. KG). „Durch die professionelle Zusammenarbeit mit den Herstellern konnten die kritischen Schwachstellen in den betroffenen Produkten geschlossen werden“, ergänzt Juraj Somorovsky vom Lehrstuhl für Netz- und Datensicherheit.

Ergebnisvorschau

Am 10. August 2012 stellt Juraj Somorovsky die Ergebnisse auf dem 21. USENIX Security Symposium in Bellevue, Washington (USA) vor. Das Paper ist im Internet veröffentlicht unter: http://www.nds.rub.de/research/publications/BreakingSAML

Weitere Informationen

Prof. Dr. Jörg Schwenk, Fakultät für Elektrotechnik und Informationstechnik der RUB, Lehrstuhl für Netz- und Datensicherheit, Tel. 0234/32-26692
joerg.schwenk@rub.de

Redaktion: Jens Wylkop

Dr. Josef König | idw
Weitere Informationen:
http://www.ruhr-uni-bochum.de/
http://www.nds.rub.de/research/publications/BreakingSAML

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Keine Chance mehr für Datenkraken
16.05.2019 | Karlsruher Institut für Technologie

nachricht Nach Meltdown und Spectre: TU Graz-Forscher entdecken neue Sicherheitslücken
15.05.2019 | Technische Universität Graz

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Quanten-Cloud-Computing mit Selbstcheck

Mit einem Quanten-Coprozessor in der Cloud stoßen Innsbrucker Physiker die Tür zur Simulation von bisher kaum lösbaren Fragestellungen in der Chemie, Materialforschung oder Hochenergiephysik weit auf. Die Forschungsgruppen um Rainer Blatt und Peter Zoller berichten in der Fachzeitschrift Nature, wie sie Phänomene der Teilchenphysik auf 20 Quantenbits simuliert haben und wie der Quantensimulator das Ergebnis erstmals selbständig überprüft hat.

Aktuell beschäftigen sich viele Wissenschaftler mit der Frage, wie die „Quantenüberlegenheit“ auf heute schon verfügbarer Hardware genutzt werden kann.

Im Focus: Self-repairing batteries

UTokyo engineers develop a way to create high-capacity long-life batteries

Engineers at the University of Tokyo continually pioneer new ways to improve battery technology. Professor Atsuo Yamada and his team recently developed a...

Im Focus: Quantum Cloud Computing with Self-Check

With a quantum coprocessor in the cloud, physicists from Innsbruck, Austria, open the door to the simulation of previously unsolvable problems in chemistry, materials research or high-energy physics. The research groups led by Rainer Blatt and Peter Zoller report in the journal Nature how they simulated particle physics phenomena on 20 quantum bits and how the quantum simulator self-verified the result for the first time.

Many scientists are currently working on investigating how quantum advantage can be exploited on hardware already available today. Three years ago, physicists...

Im Focus: Accelerating quantum technologies with materials processing at the atomic scale

'Quantum technologies' utilise the unique phenomena of quantum superposition and entanglement to encode and process information, with potentially profound benefits to a wide range of information technologies from communications to sensing and computing.

However a major challenge in developing these technologies is that the quantum phenomena are very fragile, and only a handful of physical systems have been...

Im Focus: A step towards probabilistic computing

Working group led by physicist Professor Ulrich Nowak at the University of Konstanz, in collaboration with a team of physicists from Johannes Gutenberg University Mainz, demonstrates how skyrmions can be used for the computer concepts of the future

When it comes to performing a calculation destined to arrive at an exact result, humans are hopelessly inferior to the computer. In other areas, humans are...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

VideoLinks
Industrie & Wirtschaft
Veranstaltungen

MS Wissenschaft startet Deutschlandtour mit Fraunhofer-KI an Bord

17.05.2019 | Veranstaltungen

Wie sicher ist autonomes Fahren?

16.05.2019 | Veranstaltungen

Chemie – das gemeinsame Element

16.05.2019 | Veranstaltungen

VideoLinks
Wissenschaft & Forschung
Weitere VideoLinks im Überblick >>>
 
Aktuelle Beiträge

Integrierte Zuckermoleküle schonen Zellkulturen

17.05.2019 | Biowissenschaften Chemie

Erstmals Einsatz von gefäßschützendem Antikörper bei kardiogenem Schock

17.05.2019 | Biowissenschaften Chemie

Additive Maschinen lernen Superlegierungen kennen

17.05.2019 | Maschinenbau

Weitere B2B-VideoLinks
IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics