Was ist SSO?

Single Sign-On ist eine Authentifizierungsmethode, bei der ein Benutzer mit einem einzigen Satz von Anmeldedaten (Benutzername + Passwort) auf mehrere Dienste und Anwendungen zugreifen kann. Sie haben dies sicherlich schon einmal gesehen, als Sie aufgefordert wurden, sich bei einigen Websites/Anwendungen von Google, Facebook, Apple usw. anzumelden.

An diesem System sind drei Parteien beteiligt: ein Endnutzer, ein Dienstanbieter und ein Identitätsanbieter. Wenn sich der Benutzer bei einem Dienst mit SSO anmeldet, autorisiert der Identitätsanbieter diesen Vorgang. Für einen nahtlosen Zugriff auf den Dienst eines Drittanbieters muss der Benutzer im Konto des Identitätsanbieters angemeldet sein, andernfalls wird er aufgefordert, sich zuerst bei diesem anzumelden. Wenn Sie beispielsweise in Ihrem Google-Konto angemeldet sind, können Sie auf alle damit verbundenen Dienste zugreifen, aber wenn Sie sich aus dem Google-Konto abmelden, verlieren Sie diesen Zugriff.

Die Vorteile dieses Ansatzes liegen darin, dass der Nutzer nicht für jeden Dienst eigene Anmeldedaten benötigt und die Dienstanbieter das Passwort des Nutzers nicht speichern. Allerdings birgt dieser Ansatz auch ein grosses Risiko, wenn ein böswilliger Akteur die Anmeldedaten des Benutzers für SSO erlangt.

Um Ihren SSO-Prozess zu schützen, empfehlen wir dringend die Aktivierung der 2-Faktor-Authentifizierung. Ausserdem sollten Sie separate Anmeldedaten für kritische Dienste haben (und diese natürlich mit 2FA/MFA schützen).

Zusammenfassend lässt sich sagen, dass SSO eine äusserst praktische Authentifizierungsmethode ist, aber Sie sollten mit Bedacht wählen, in welchen Fällen Sie sie einsetzen.

Wie sicher ist SSO mit Diensten von Drittanbietern?

Wie wir bereits gelernt haben, kann Single Sign-On sehr praktisch sein, da es einem Nutzer ermöglicht, mit einem einzigen Satz von Anmeldedaten auf zahlreiche Dienste zuzugreifen. Da wir von Natur aus faul sind, neigen wir dazu, auf "Mit Facebook anmelden" (oder eine andere verfügbare Option) zu klicken, nur um diesen (scheinbar) schmerzhaften Registrierungsprozess zu vermeiden.

Was kann schief gehen?

Wenn es einem Hacker gelingt, Ihre SSO-Anmeldedaten zu erlangen, hat er im schlimmsten Fall Zugriff auf alle Konten unter diesem Authentifizierungsdach. Nichtsdestotrotz können Sie Ihre Konten nach Möglichkeit mit 2FA schützen, aber auch Konten ohne 2FA-Optionen sind gefährdet.

Wir sollten auch erwähnen, dass Sie sich nicht bei den Diensten anmelden können, die mit dem SSO-Anbieter verbunden sind, wenn dieser aus irgendeinem Grund nicht verfügbar ist (sein Server ist ausgefallen oder seine Website ist in Ihrem Netzwerk verboten).

Und wir sollten auch den Datenschutz im Auge behalten. Je mehr Sie SSO nutzen, desto mehr weiss der Anbieter über Sie. Es ist auch erwähnenswert, dass Dienstanbieter Zugang zu einigen Ihrer persönlichen Daten vom Identitätsanbieter haben (z. B. können es öffentliche Informationen aus Ihrem sozialen Netzwerk sein, wenn es sich um einen Identitätsanbieter handelt). Sie können die gemeinsame Nutzung von Daten in Ihren Datenschutzeinstellungen einschränken.

Im Grunde ist SSO viel besser als die Verwendung schwacher Passwörter und deren Wiederverwendung. Es kann auch mit 2FA/MFA verstärkt werden. Aber es ist immer noch schwächer als die Verwendung eines Passwortmanagers, der Passwörter sicher speichert und starke und eindeutige Passwörter für jedes Ihrer Konten generiert.

Unsere Corporate Edition des PassSecurium™-Passwortmanagers arbeitet beispielsweise mit Azure AD zusammen, das in diesem Fall der SSO-Anbieter ist. PassSecurium™ authentifiziert die Benutzer nicht nur mit ihren Azure-Anmeldedaten, sondern ordnet ihnen auch Benutzerrollen zu und erteilt ihnen die für ihre Rolle erforderlichen Berechtigungen.

Wir hoffen, dass dieser Artikel hilfreich war und das komplizierte Thema Single Sign-On für Sie geklärt hat!