Drucksache: Windows Developer 4.19 - Single Sign-on und die Sicherheit
Im Windows Developer 4.19 ist ein Artikel über die Sicherheit des Single Sign-on (SSO) erschienen.
Eine Leseprobe des Artikels gibt es auf entwickler.de.
Update 7.6.2019:
Der Artikel ist jetzt auch online
auf entwickler.de
zu lesen.
Ende des Updates
Single Sign-On (kurz SSO), das bedeutet, man muss sich nur einmal einloggen und schon ist man überall drin. Das ist praktisch. Aber auch gefährlich. Denn das SSO erspart Ihnen das Merken von Zugangsdaten für etliche Dienste - und einem Angreifer das Knacken dieser vielen Zugangsdaten. Der muss auch nur den SSO-Zugang knacken und kommt in Ihrem Namen überall rein. Aber dafür muss er erst mal eine passende Schwachstelle in der SSO-Lösung finden.
Andererseits erhöhen die SSO-Lösungen oft auch die Sicherheit, da sich die Benutzer statt vieler verschiedener Zugangsdaten nur die für den SSO-Dienst merken müssen. "Oft", weil das natürlich nur gilt, wenn die SSO-Zugangsdaten sicher sind und wenn die dadurch eingesparten Zugangsdaten unsicher wären. Z.B weil identische Daten für mehrere Dienste verwendet oder unsichere Passwörter gewählt werden, wie es leider so oft der Fall ist.
Ansonsten sieht es bei der Sicherheit der SSO-Lösungen recht gut aus. Die sind natürlich ein verlockendes Ziel für Angreifer, wie z.B. ein Angriff auf OneLogin zeigt. Aber zumindest die auf den Sicherheitskonferenzen vorgestellten Angriffe erfordern meist einen bösartigen Benutzer oder haben andere Einschränkungen, die Angriffe unwahrscheinlicher bzw. schwieriger machen.
Mit einer Ausnahme: Der von Dirk-Jan Mollema vorgestellte Angriff auf/über Exchange Server ist auch mit zum Zeitpunkt der Veröffentlichung des Angriffs und dem Schreiben dieses Artikels aktuellen Exchange-Versionen möglich, ein Patch steht noch aus. Aber immerhin gibt es Workarounds.
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Eilers, Carsten; Windows Developer 6.2018: "Angriffsziel Active Directory"
- [2] Mollema, Dirk-Jan; Fox-IT: "Relaying credentials everywhere with ntlmrelayx"
- [3] Wang, Jianing; Zhou, Junyu; Hack in the Box Dubai 2018: "NTLM Relay Is Dead, Long Live NTLM Relay" (Präsentation als PDF, Video auf YouTube)
- [4] Mollema, Dirk-Jan: "Abusing Exchange: One API call away from Domain Admin"
- [5] The ZDI Research Team; ZDI Blog: "An Insincere Form of Flattery: Impersonating Users on Microsoft Exchange"
- [6] CVE-2018-8604
- [7] Ludwig, Kelby; Black Hat USA 2018: "Identity Theft: Attacks on SSO Systems"
- [8] Ludwig, Kelby; OWASP AppSec 2018 USA: "Identity Theft: Attacks on SSO Systems" (Video auf YouTube)
- [9] Eilers, Carsten; Windows Developer 9.2018: "Von Semantik und Tokens"
- [10] Yang, Ronghai; Lau, Wing Cheong; Black Hat Europe 2016: "Signing Into One Billion Mobile App Accounts Effortlessly with OAuth2.0" (Video auf YouTube)
- [11] Scherschel, Fabian A.; Heise Online: "Nutzer-Tracking: Facebook-Login gibt Nutzerdaten an Dritte weiter"
- [12] Eilers, Carsten; Windows Developer 2.1019: "Kein Buch mit sieben Siegeln - Was Facebook alles über Sie weiß, und woher es das weiß"
- [13] Cox, Joseph; VICE: "Identity Manager OneLogin Has Suffered a Nasty Looking Data Breach"
Trackbacks