Single Sign On Systeme |
| |
|
|
|
PKI Systeme können als Single Sign On Systeme betrachtet werden. Aber echte Single Sign On Systeme müssen die Passwortproblematik handhaben können. Diese Lösungen schalten die unsichere Verwendung von Passwörter durch Anwender aus, die technischen Problembereiche bleiben vielmals. Obwohl Passwörter nun komplex, lang und schnell geändert werden können, muss die Übertragung und Speicherung an der Anwendung gesichert erfolgen.
|
Passwort Synchronisation |
Passwort Synchronisation als Single Sign On Ansatz versucht über alle Anwendungen dasselbe Passwort zu verwenden. Durch die reduzierte Anzahl und Verwendungshäufigkeit ist es für einen Benutzer einfacher ein sicheres Passwort zu wählen und zu merken.
Nachteilig ist natürlich, dass ein Passwort für alles ein "Single Point of Weakness" darstellt. Das (starke) Passwort darf weiterhin hoffentlich nur im Gehirn abgespeichert sein und einmal kompromittiert gibt es den Zugang zu allem frei. Die Anwendungen brauchen einen Agent oder Plugin installiert, um die Synchronisation durchführen zu können. Der Austausch muss gesichert erfolgen - das Passwort ist wieder bei jeder Anwendung abgespeichert, die Eingabe bleibt dem Benutzer ebenso nicht erspart.
|
Zentraler Authentifizierungs-Server |
Mit einem zentralen Authentifizierungsserver versucht man die sensiblen Bereiche von den einzelnen Anwendungen auf den Authentifizierungsserver zu übertragen. Zentrale Lösungen können gut mit Mehr-Faktor Authentisierung wie Token, Smart Cards oder Biometrie und One Time Pass - Lösungen ausgestattet werden.
Der zentrale Authentifizierungsserver wird bei bestimmten Lösungen in eigenen Appliances realisiert, die somit einfachere Integration und Verwaltung in bestehenden Infrastrukturen ermöglicht.
Die Anwendungen benötigen allerdings einen Agent, Plug-in oder Funktion um mit dem Authentifizierungsserver zu arbeiten. Diese Lösungen bringen für die meisten Standardapplikationen entsprechende Software mit.
|
Zertifikatsbasierendes SSO |
Mithilfe einer PKI kann über ein zentrales Zertifikat ein Single Sign On verwirklicht werden. Bei dieser Lösung müssen die Anwendungen eine PKI - Authentisierung durchführen können. In Zusammenarbeit mit Kerberos kann dies auch nur einmal stattfinden - wie am Beispiel Windows - die Anwendungen müssen eben Kerberos "verstehen".
Eine PKI weist aber auch eine gewisse Komplexität auf und die Sicherheit des privaten Schlüssels muss gewährleistet sein. Security-Geräte wie Smart Cards oder Token sind ideale geschützte Orte für private Schlüssel.
|
Passwortbasierende Smart Card SSO |
Den Schutz, den eine Smart Card bietet, ist natürlich nicht nur für einen privaten Schlüssel geeignet. Dieser eignet sich natürlich auch für Passwörter jeder Länge und Sicherheitsstufe. Lösungen, die SSO mit Speicherung der Passwörter auf einer Smart Card umsetzen zeichnen sich durch schnelle Integration in bestehende Infrastruktur aus.
|
|
|
|
|
Impressum
