SSO offen: Single-Sign-On-Systeme gehackt

Wie expandieren Sie erfolgreich nach China? In dem Webinar erfahren Sie, welches die vier Schlüssel zum digitalen Geschäftserfolg sind. Anmelden

Checkliste Enterprise-Ecommerce

So optimieren große Onlineshops ihre Angebote in Sortiment und Nutzerzahl nach Märkten, Ländern und Sprachen. Whitepaper abrufen

SSO offen: Single-Sign-On-Systeme gehackt

10.08.12 Als praktisches Mittel gegen die Flut von Mehrfachanmeldungen gilt 'Single Sign-On'. Hier weist sich der Nutzer genau einmal aus, alle weiteren Authentifizierungen erfolgen automatisch. Dass die Einmal-Anmeldung jedoch längst nicht so sicher ist wie bislang angenommen, zeigen jetzt Forscher vom Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität Bochum: Ungefähr 80 Prozent der untersuchten Systeme wiesen massive Sicherheitslücken auf. Auch CMS sind betroffen.

Artikel Merken

Viele SSO-Systeme setzen auf die weit verbreitete Security Assertion Markup Language (SAML). Die Identitätsinformationen werden in einer SAML-Nachricht gespeichert und durch eine digitale Signatur geschützt. Doch die Bochumer Forscher fanden einen Weg, diesen Schutz zu umgehen. "Mit einem neuartigen XML Signature Wrapping-Angriff haben wir sämtliche Sicherheitsfunktionen der digitalen Signatur komplett ausgehebelt", berichtet Prof. Dr. Jörg Schwenk

vom Lehrstuhl für Netz- und Datensicherheit. "Dadurch konnten wir uns jede beliebige Identität aneignen und uns sogar als Systemadministratoren ausgeben".

Die Wissenschaftler testeten 14 weit verbreitete SAML-Anbieter und -Systeme. Davon wiesen 12 kritische Lücken auf. Anfällig waren unter anderem der Cloud-Anbieter Salesforce , das IBM DataPower Security Gateway , Onelogin (benutzt in Joomla , Wordpress , SugarCRM und Drupal ) sowie das Framework OpenSAML (Shibboleth und SuisseID ).

Gegenmaßnahmen haben die Forscher nun in einem Paper vorgeschlagen .

(Autor: Joachim Graf)

In diesem Beitrag genannt:

Personen: Jörg Schwenk

Firmen und Sites: apache.org drupal.com ibm.de joomla.com onelogin.com rub.de salesforce.com shibboleth.net sugarcrm.com suisseid.ch wordpress.com

Tags: SSO sicherheit hacker cybercrime CMS

Trackback-URL Permalink

Trackbacks / Kommentare

Ihr Kommentar:
Schreiben Sie Ihre Meinung, Erfahrungen, Anregungen mit oder zu diesem Thema. Ihr Beitrag erscheint an dieser Stelle.

Artikel Weiterempfehlen
Empfehlen Sie diesen Artikel an Kollegen oder Freunde weiter.

Alle Meldungen vom 10.08.12:

	Mythos M-Commerce: Wie viel wirklich mobil gekauft wird	(10.08.12)
	Nutzer kaufen Winterreifen per Smartphone. Nicht.	(10.08.12)
	SSO offen: Single-Sign-On-Systeme gehackt	(10.08.12)
	Google zahlt Rekordstrafe an Apple	(10.08.12)
	Ranking: Berlin ist die dritt-beliebteste europäische Stadt für Start-ups	(10.08.12)
	Online-Videomarkt: Google startet Movies, Maxdome kauft sich Filme	(10.08.12)
	Kundenbewertungen: Vioma bietet Social-Media-Analyse für Hotels	(10.08.12)
	Customer-Journey-Allianz: Explido und Bluesummit kooperieren	(10.08.12)
	Testlauf bei Google: Neue Suche könnte das "Email-SEO" erschaffen	(10.08.12)
	Yahoo rüstet sich für Übernahmen	(10.08.12)
	Serviceplan Gruppe steigert Umsatz um 18,6 Prozent	(10.08.12)
	Apprupt bietet Advertisern Werbeform für Apple Passbook	(10.08.12)
	Ogilvy & Mather Düsseldorf beruft Markus Spiller als Digital Director	(10.08.12)
	Vanessa Dill wird neuer Myphotobook-CEO	(10.08.12)
	Googles Online Marketing Challenge: Würzburger Studenten gewinnen Europa-Preis	(10.08.12)
	HPI-Studententeam gewinnt 100.000 Euro für Internet-Geschäftsidee	(10.08.12)
	Ausschreibung: Content für Internetauftritt	(10.08.12)
	Ausschreibung: Softwarepflege	(10.08.12)
	Ausschreibung: Software und System-Deployment	(10.08.12)
	Ausschreibung: Datenbanksoftwarepaket	(10.08.12)
	Ausschreibung: Druckerzeugnisse	(10.08.12)
	Ausschreibung: Druckleistungen	(10.08.12)
	Ausschreibung: Verlegerische Dienstleistungen	(10.08.12)
	Sieben Fragen an Jens Hilbrands, Netnomics GmbH	(10.08.12)

SSO offen: Single-Sign-On-Systeme gehackt

Weitere Artikel zu diesem Themenbereich:

In diesem Beitrag genannt:

Nachrichten