Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Single Sign-On: RUB-Forscher knacken Industriestandard für Identifizierung

10.08.2012
Webshops, Cloud Computing, Online-Banking: Tagtäglich fordern viele unterschiedliche IT-Systeme den Nutzer auf, sich immer wieder über Benutzername und Passwort zu identifizieren.
Als praktisches Mittel gegen die Flut von Mehrfachanmeldungen gilt das so genannte „Single Sign-On“. Hier weist sich der Nutzer genau einmal aus, alle weiteren Authentifizierungen erfolgen automatisch. Dass die Einmal-Anmeldung jedoch längst nicht so sicher ist wie bislang angenommen, zeigen jetzt Forscher vom Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität Bochum: Ungefähr 80 Prozent der untersuchten Systeme wiesen massive Sicherheitslücken auf.

Digitale Signatur soll schützen

Das „Single Sign-On“-Verfahren, kurz SSO, kann mit einem gut bewachten Tor verglichen werden, das die sensiblen Firmendaten schützt: Wer den Eingang einmal passiert hat, kann auf alle Informationen und Dienste zugreifen, denn er gilt als angemeldet und zugriffsberechtigt. Viele SSO-Systeme setzen auf die weit verbreitete Security Assertion Markup Language (SAML). Die Identitätsinformationen werden in einer SAML-Nachricht gespeichert und durch eine digitale Signatur geschützt. Doch die Bochumer Forscher fanden einen Weg, diesen Schutz zu umgehen.

Sicherheitsfunktion ausgehebelt

„Mit einem neuartigen XML Signature Wrapping-Angriff haben wir sämtliche Sicherheitsfunktionen der digitalen Signatur komplett ausgehebelt“, berichtet Prof. Dr. Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit. „Dadurch konnten wir uns jede beliebige Identität aneignen und uns sogar als Systemadministratoren ausgeben“. Die Wissenschaftler testeten 14 weit verbreitete SAML-Anbieter und -Systeme. Davon wiesen 12 kritische Lücken auf. Anfällig waren unter anderem der Cloud-Anbieter Salesforce, das IBM DataPower Security Gateway, Onelogin (benutzt in Joomla, Wordpress, SugarCRM und Drupal) und das Framework OpenSAML (Shibboleth, SuisseID und OpenSAML).
Gegenmaßnahmen vorgeschlagen

„Nachdem wir die Sicherheitslücken entdeckt hatten, kontaktierten wir umgehend die betroffenen Firmen und schlugen Gegenmaßnahmen vor“, berichtet der Sicherheitsexperte und externe Doktorand Andreas Mayer (Adolf Würth GmbH & Co. KG). „Durch die professionelle Zusammenarbeit mit den Herstellern konnten die kritischen Schwachstellen in den betroffenen Produkten geschlossen werden“, ergänzt Juraj Somorovsky vom Lehrstuhl für Netz- und Datensicherheit.

Ergebnisvorschau

Am 10. August 2012 stellt Juraj Somorovsky die Ergebnisse auf dem 21. USENIX Security Symposium in Bellevue, Washington (USA) vor. Das Paper ist im Internet veröffentlicht unter: http://www.nds.rub.de/research/publications/BreakingSAML

Weitere Informationen

Prof. Dr. Jörg Schwenk, Fakultät für Elektrotechnik und Informationstechnik der RUB, Lehrstuhl für Netz- und Datensicherheit, Tel. 0234/32-26692
joerg.schwenk@rub.de

Redaktion: Jens Wylkop

Dr. Josef König | idw
Weitere Informationen:
http://www.ruhr-uni-bochum.de/
http://www.nds.rub.de/research/publications/BreakingSAML

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Mit Künstlicher Intelligenz zu besseren Entscheidungen
30.03.2020 | Universität Bielefeld

nachricht Künstliche Intelligenz findet das optimale Werkstoffrezept
26.03.2020 | Ruhr-Universität Bochum

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Corona-Pandemie: Medizinischer Vollgesichtsschutz aus dem 3D-Drucker

In Vorbereitung auf zu erwartende COVID-19-Patienten wappnet sich das Universitätsklinikum Augsburg mit der Beschaffung von persönlicher Schutzausrüstung für das medizinische Personal. Ein Vollgesichtsschutz entfaltet dabei in manchen Situationen eine bessere Schutzwirkung als eine einfache Schutzbrille, doch genau dieser ist im Moment schwer zu beschaffen. Abhilfe schafft eine Kooperation mit dem Institut für Materials Resource Management (MRM) der Universität Augsburg, das seine Kompetenz und Ausstattung im Bereich des 3D-Drucks einbringt, um diesen Engpass zu beheben.

Das Coronavirus SARS-CoV-2 wird nach heutigem Wissensstand maßgeblich durch Tröpfcheninfektion übertragen. Dabei sind neben Mund und Nase vor allem auch die...

Im Focus: Hannoveraner Physiker entwickelt neue Photonenquelle für abhörsichere Kommunikation

Ein internationales Team unter Beteiligung von Prof. Dr. Michael Kues vom Exzellenzcluster PhoenixD der Leibniz Universität Hannover hat eine neue Methode zur Erzeugung quantenverschränkter Photonen in einem zuvor nicht zugänglichen Spektralbereich des Lichts entwickelt. Die Entdeckung kann die Verschlüsselung von satellitengestützter Kommunikation künftig viel sicherer machen.

Ein 15-köpfiges Forscherteam aus Großbritannien, Deutschland und Japan hat eine neue Methode zur Erzeugung und zum Nachweis quantenverstärkter Photonen bei...

Im Focus: Physicist from Hannover Develops New Photon Source for Tap-proof Communication

An international team with the participation of Prof. Dr. Michael Kues from the Cluster of Excellence PhoenixD at Leibniz University Hannover has developed a new method for generating quantum-entangled photons in a spectral range of light that was previously inaccessible. The discovery can make the encryption of satellite-based communications much more secure in the future.

A 15-member research team from the UK, Germany and Japan has developed a new method for generating and detecting quantum-entangled photons at a wavelength of...

Im Focus: Nachwuchswissenschaftler der Universität Rostock erfinden einen Trichter für Lichtteilchen

Physiker der Arbeitsgruppe von Professor Alexander Szameit an der Universität Rostock ist es in Zusammenarbeit mit Kollegen von der Universität Würzburg gelungen, einen „Trichter für Licht“ zu entwickeln, der bisher nicht geahnte Möglichkeiten zur Entwicklung von hypersensiblen Sensoren und neuen Technologien in der Informations- und Kommunikationstechnologie eröffnet. Die Forschungsergebnisse wurden jüngst im renommierten Fachblatt Science veröffentlicht.

Der Rostocker Physikprofessor Alexander Szameit befasst sich seit seinem Studium mit den quantenoptischen Eigenschaften von Licht und seiner Wechselwirkung mit...

Im Focus: Junior scientists at the University of Rostock invent a funnel for light

Together with their colleagues from the University of Würzburg, physicists from the group of Professor Alexander Szameit at the University of Rostock have devised a “funnel” for photons. Their discovery was recently published in the renowned journal Science and holds great promise for novel ultra-sensitive detectors as well as innovative applications in telecommunications and information processing.

The quantum-optical properties of light and its interaction with matter has fascinated the Rostock professor Alexander Szameit since College.

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

VideoLinks
Industrie & Wirtschaft
Veranstaltungen

Europäischer Rheumatologenkongress EULAR 2020 wird zum Online-Kongress

30.03.2020 | Veranstaltungen

“4th Hybrid Materials and Structures 2020” findet web-basiert statt

26.03.2020 | Veranstaltungen

Wichtigste internationale Konferenz zu Learning Analytics findet statt – komplett online

23.03.2020 | Veranstaltungen

VideoLinks
Wissenschaft & Forschung
Weitere VideoLinks im Überblick >>>
 
Aktuelle Beiträge

Architektur statt Antibiotika

31.03.2020 | Architektur Bauwesen

Thermopiles für berührungslose Temperaturmessung beim Menschen

31.03.2020 | Medizintechnik

Die Klügere gibt nach – Hochschule Bremen entwickelt biologisch inspirierte Tauchdrohne

31.03.2020 | Interdisziplinäre Forschung

Weitere B2B-VideoLinks
IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics