Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Single Sign-On: RUB-Forscher knacken Industriestandard für Identifizierung

10.08.2012
Webshops, Cloud Computing, Online-Banking: Tagtäglich fordern viele unterschiedliche IT-Systeme den Nutzer auf, sich immer wieder über Benutzername und Passwort zu identifizieren.
Als praktisches Mittel gegen die Flut von Mehrfachanmeldungen gilt das so genannte „Single Sign-On“. Hier weist sich der Nutzer genau einmal aus, alle weiteren Authentifizierungen erfolgen automatisch. Dass die Einmal-Anmeldung jedoch längst nicht so sicher ist wie bislang angenommen, zeigen jetzt Forscher vom Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität Bochum: Ungefähr 80 Prozent der untersuchten Systeme wiesen massive Sicherheitslücken auf.

Digitale Signatur soll schützen

Das „Single Sign-On“-Verfahren, kurz SSO, kann mit einem gut bewachten Tor verglichen werden, das die sensiblen Firmendaten schützt: Wer den Eingang einmal passiert hat, kann auf alle Informationen und Dienste zugreifen, denn er gilt als angemeldet und zugriffsberechtigt. Viele SSO-Systeme setzen auf die weit verbreitete Security Assertion Markup Language (SAML). Die Identitätsinformationen werden in einer SAML-Nachricht gespeichert und durch eine digitale Signatur geschützt. Doch die Bochumer Forscher fanden einen Weg, diesen Schutz zu umgehen.

Sicherheitsfunktion ausgehebelt

„Mit einem neuartigen XML Signature Wrapping-Angriff haben wir sämtliche Sicherheitsfunktionen der digitalen Signatur komplett ausgehebelt“, berichtet Prof. Dr. Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit. „Dadurch konnten wir uns jede beliebige Identität aneignen und uns sogar als Systemadministratoren ausgeben“. Die Wissenschaftler testeten 14 weit verbreitete SAML-Anbieter und -Systeme. Davon wiesen 12 kritische Lücken auf. Anfällig waren unter anderem der Cloud-Anbieter Salesforce, das IBM DataPower Security Gateway, Onelogin (benutzt in Joomla, Wordpress, SugarCRM und Drupal) und das Framework OpenSAML (Shibboleth, SuisseID und OpenSAML).
Gegenmaßnahmen vorgeschlagen

„Nachdem wir die Sicherheitslücken entdeckt hatten, kontaktierten wir umgehend die betroffenen Firmen und schlugen Gegenmaßnahmen vor“, berichtet der Sicherheitsexperte und externe Doktorand Andreas Mayer (Adolf Würth GmbH & Co. KG). „Durch die professionelle Zusammenarbeit mit den Herstellern konnten die kritischen Schwachstellen in den betroffenen Produkten geschlossen werden“, ergänzt Juraj Somorovsky vom Lehrstuhl für Netz- und Datensicherheit.

Ergebnisvorschau

Am 10. August 2012 stellt Juraj Somorovsky die Ergebnisse auf dem 21. USENIX Security Symposium in Bellevue, Washington (USA) vor. Das Paper ist im Internet veröffentlicht unter: http://www.nds.rub.de/research/publications/BreakingSAML

Weitere Informationen

Prof. Dr. Jörg Schwenk, Fakultät für Elektrotechnik und Informationstechnik der RUB, Lehrstuhl für Netz- und Datensicherheit, Tel. 0234/32-26692
joerg.schwenk@rub.de

Redaktion: Jens Wylkop

Dr. Josef König | idw
Weitere Informationen:
http://www.ruhr-uni-bochum.de/
http://www.nds.rub.de/research/publications/BreakingSAML

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Smart Glasses Guide: Neues Tool zur Auswahl von Datenbrillen und Anwendungen
15.10.2018 | Fraunhofer-Institut für Produktionstechnologie IPT

nachricht Einzigartige Infrastruktur für Deep Learning – DFKI erhält ersten NVIDIA DGX2 Supercomputer Europas
11.10.2018 | Deutsches Forschungszentrum für Künstliche Intelligenz GmbH, DFKI

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Größter Galaxien-Proto-Superhaufen entdeckt

Astronomen enttarnen mit dem ESO Very Large Telescope einen kosmischen Titanen, der im frühen Universum lauert

Ein Team von Astronomen unter der Leitung von Olga Cucciati vom Istituto Nazionale di Astrofisica (INAF) Bologna hat mit dem VIMOS-Instrument am Very Large...

Im Focus: Auf Wiedersehen, Silizium? Auf dem Weg zu neuen Materalien für die Elektronik

Wissenschaftler des Max-Planck-Instituts für Polymerforschung (MPI-P) in Mainz haben zusammen mit Wissenschaftlern aus Dresden, Leipzig, Sofia (Bulgarien) und Madrid (Spanien) ein neues, metall-organisches Material entwickelt, welches ähnliche Eigenschaften wie kristallines Silizium aufweist. Das mit einfachen Mitteln bei Raumtemperatur herstellbare Material könnte in Zukunft als Ersatz für konventionelle nicht-organische Materialien dienen, die in der Optoelektronik genutzt werden.

Bei der Herstellung von elektronischen Komponenten wie Solarzellen, LEDs oder Computerchips wird heutzutage vorrangig Silizium eingesetzt. Für diese...

Im Focus: Goodbye, silicon? On the way to new electronic materials with metal-organic networks

Scientists at the Max Planck Institute for Polymer Research (MPI-P) in Mainz (Germany) together with scientists from Dresden, Leipzig, Sofia (Bulgaria) and Madrid (Spain) have now developed and characterized a novel, metal-organic material which displays electrical properties mimicking those of highly crystalline silicon. The material which can easily be fabricated at room temperature could serve as a replacement for expensive conventional inorganic materials used in optoelectronics.

Silicon, a so called semiconductor, is currently widely employed for the development of components such as solar cells, LEDs or computer chips. High purity...

Im Focus: Blauer Phosphor – jetzt erstmals vermessen und kartiert

Die Existenz von „Blauem“ Phosphor war bis vor kurzem reine Theorie: Nun konnte ein HZB-Team erstmals Proben aus blauem Phosphor an BESSY II untersuchen und über ihre elektronische Bandstruktur bestätigen, dass es sich dabei tatsächlich um diese exotische Phosphor-Modifikation handelt. Blauer Phosphor ist ein interessanter Kandidat für neue optoelektronische Bauelemente.

Das Element Phosphor tritt in vielerlei Gestalt auf und wechselt mit jeder neuen Modifikation auch den Katalog seiner Eigenschaften. Bisher bekannt waren...

Im Focus: Chemiker der Universitäten Rostock und Yale zeigen erstmals Dreierkette aus gleichgeladenen Ionen

Die Forschungskooperation zwischen der Universität Yale und der Universität Rostock hat neue wissenschaftliche Ergebnisse hervorgebracht. In der renommierten Zeitschrift „Angewandte Chemie“ berichten die Wissenschaftler über eine Dreierkette aus Ionen gleicher Ladung, die durch sogenannte Wasserstoffbrücken zusammengehalten werden. Damit zeigen die Forscher zum ersten Mal eine Dreierkette aus gleichgeladenen Ionen, die sich im Grunde abstoßen.

Die erfolgreiche Zusammenarbeit zwischen den Professoren Mark Johnson, einem weltbekannten Cluster-Forscher, und Ralf Ludwig aus der Physikalischen Chemie der...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

VideoLinks
Industrie & Wirtschaft
Veranstaltungen

Rettungsdienst und Feuerwehr - Beschaffung von Rettungsdienstfahrzeugen, -Geräten und -Material

18.10.2018 | Veranstaltungen

11. Jenaer Lasertagung

16.10.2018 | Veranstaltungen

DFG unterstützt Kongresse und Tagungen - Dezember 2018

16.10.2018 | Veranstaltungen

VideoLinks
Wissenschaft & Forschung
Weitere VideoLinks im Überblick >>>
 
Aktuelle Beiträge

Nanodiamanten als Photokatalysatoren

18.10.2018 | Materialwissenschaften

Schichten aus Braunschweig auf dem Weg zum Merkur

18.10.2018 | Physik Astronomie

Rettungsdienst und Feuerwehr - Beschaffung von Rettungsdienstfahrzeugen, -Geräten und -Material

18.10.2018 | Veranstaltungsnachrichten

Weitere B2B-VideoLinks
IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics