1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Single Sign-on Made in Germany…

SSO == SPOF

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. SSO == SPOF

    Autor: /mecki78 11.09.18 - 17:48

    Single Sign On == Single Point of Failure

    Mal ganz abgesehen von diversen anderen Problemen damit, wie z.B. dass sobald ich mich dort anmelde, um bei Dienst A angemeldet zu sein, ich automatisch überall angemeldet bin, was zwar der Sinn des ganzen ist, aber das will der Nutzer vielleicht gar nicht, da er vielleicht Dienst B lieber anonym und Dienst C lieber mit einem alternativen Account nutzen möchte.

    /Mecki

  2. Re: SSO == SPOF

    Autor: am (golem.de) 11.09.18 - 18:36

    > aber
    > das will der Nutzer vielleicht gar nicht, da er vielleicht Dienst B lieber
    > anonym und Dienst C lieber mit einem alternativen Account nutzen möchte.

    StudiVZ hatte bei seinem SSO-Angebot sowas in der Art implementiert.

    Grüße,
    Alexander Merz (golem.de)

  3. Re: SSO == SPOF

    Autor: Tautologiker 11.09.18 - 19:07

    /mecki78 schrieb:
    --------------------------------------------------------------------------------
    > Single Sign On == Single Point of Failure
    >
    > Mal ganz abgesehen von diversen anderen Problemen damit, wie z.B. dass
    > sobald ich mich dort anmelde, um bei Dienst A angemeldet zu sein, ich
    > automatisch überall angemeldet bin, was zwar der Sinn des ganzen ist, aber
    > das will der Nutzer vielleicht gar nicht, da er vielleicht Dienst B lieber
    > anonym und Dienst C lieber mit einem alternativen Account nutzen möchte.

    Nein, das stimmt so nicht. Du bist NICHT automatisch überall angemeldet, sondern erst wenn Du explizit zugestimmt hast, und auch nur mit den Informationen, deren Übermittlung Du jeweils explizit zugestimmt hast.

    Ich beziehe mich jetzt nur auf id4me, mit dem ich mich etwas tiefer beschäftigt habe, aber:

    Du hast immer noch auf jeder Seite, die das jeweilige System unterstützt, z.B. einen Button "Login with id4me" (genau so wie jetzt mit "Login with Facebook/ Login with Google").

    Erst dann wirst Du auf den SSO-Provider umgeleitet, und der fragt Dich dann "Seite XYZ möchte folgende Informationen haben: ... Stimmen Sie zu"? Dann kannst Du pro Seite auswählen, was sie von Dir sehen darf (nur Nickname? Auch Geburtsdatum? Auch Adresse? etc.).

    Und letzlich kannst du bei id4me z.B. auch mehrere komplett getrennte Identitäten verwalten (ggf. sogar auf Deinen eigenen Servern) und Dir aussuchen welche Du verwendest. (Bei den anderen Anbietern wird das so wahrscheinlich nicht gehen).

    Aber ja, am Ende ist dann Dein Authorisierungs/Authentisierungs-Provider ein SPOF, es sei denn, Du verwendest mehrere davon (wie ja auch jetzt schon z.B. Google/Facebook). Nur ganz so dramatisch wie Du es darstellst ist es halt nicht.

  4. Re: SSO == SPOF

    Autor: /mecki78 11.09.18 - 20:04

    Tautologiker schrieb:
    --------------------------------------------------------------------------------
    > Nein, das stimmt so nicht. Du bist NICHT automatisch überall angemeldet,
    > sondern erst wenn Du explizit zugestimmt hast, und auch nur mit den
    > Informationen, deren Übermittlung Du jeweils explizit zugestimmt hast.

    Ich habe nicht behauptet, dass du automatisch bei allen Anbietern einen Account hast, die deinen SSO unterstützen, natürlich muss du dort erst einmal bei jedem einen Account einrichten, weil SSO ersetzt nicht Accounts, es ersetzt nur die Anmeldung mit Passwörtern um Zugang zu deinen Account zu erhalten und es vereinfacht die Account Erstellung, da hier bestimmte Werte direkt vom SSO übernommen werden können, aber natürlich nicht müssen.

    Nur hast du erst mal einen Account, dann kennt der Anbieter bereits deine Daten, dann musst du nicht erneut erlauben das Daten übergeben werden, weil die wurden bereits übergeben und sind für deinen Account dort dauerhaft hinterlegt und dann musst du auch nicht eine Erlaubnis erteilen, weil du hast bereits eine Erteilt und die ist nach wie vor gültig. Das was du hier beschreibst, das muss man beim ersten mal machen, wenn man sich irgendwo neu anmeldet, aber danach geht es nur noch darum festzustellen wer du bist und wessen Account dir gehört.

    Es gibt zwar Dienste, wo man dank SSO keinen Account mehr braucht, da sie alle Daten, die sie brauchen vom SSO holen, nur dann musst du erstens wirklich jedes mal den Zugriff zustimmen (alleine das schreckt Nutzer dermaßen ab, das kannst du dir nicht vorstellen) und dann kann der Dienst auch keinerlei Daten mit deinen Account verknüpfen, weil du hast ja gar keinen. Sprich: Das geht nur mit Diensten, die "zustandslos" arbeiten können und wo Nutzer eigentlich gar keine Accounts bräuchten. Schon ein einfaches Webforum kann so aber nicht arbeiten, außer deine Posts werden dort mit deinem echten Namen oder deiner E-Mail Adresse veröffentlicht, denn ein Pseudonym muss eindeutig und damit lokal an einen Account gebunden sein und schon musst du dort einen Account haben.

    Und ID4me ist kein eigener Standard, das ist im Prinzip einfach nur OpenID Connect. OpenID war vor Jahren schon mal groß im kommen, hat sich dann aber nicht universell durchsetzen konnte und ist heute wieder von fast allen Seiten verschwunden ist, weil es nichts Halbes und nichts Ganzes ist. Es vereinigt alle Nachteile eines passwortbasierten Logins mit denen von SSO und bietet somit keinerlei Vorteile gegenüber einer zentralen Passwortverwaltung. Ob ich jetzt auf den ID4me Sign-In Button klicke und dann automatisch angemeldet werde oder ob ich im Browser auf den "Log me In" Button von Bitwarden, LastPass oder 1Passwort klicke und dann automatisch angemeldet werde, macht bitte welchen Unterschied in Sachen Komfort oder Sicherheit? Nur funktioniert eben eine zentrale Passwortverwaltung mit jeder, wirklich jeder Webseite da draußen, ID4me aber eben nur mit denen, die dieses Verfahren explizit unterstützen. Sicherlich ist eine zentrale Passwortverwaltung auch ein SPOF, aber da sie mit allen Diensten funktioniert, ist es der bessere SPOF.

    /Mecki

  5. Re: SSO == SPOF

    Autor: Tautologiker 11.09.18 - 22:02

    Sorry, aber du widersprichst Dir selbst.

    Zitat von Dir: ". dass sobald ich mich dort anmelde, um bei Dienst A angemeldet zu sein, ich automatisch überall angemeldet bin, was zwar der Sinn des ganzen ist, aber das will der Nutzer vielleicht gar nicht, da er vielleicht Dienst B lieber anonym und Dienst C lieber mit einem alternativen Account nutzen möchte."

    Du kannst die Dienste A, B und C mit komplett unterschiedlichen SSO-Providern nutzen. Nur weil A Deine Google-Daten verwendet, kennt B die noch lange nicht, sondern verwendet z.B. Deine vorher eingegebenen Facebook-Daten -- um mal bei den schon existierenden Providern zu bleiben.

    Und wenn B doch Deine Google-Daten verwenden will (nachdem DU ihm gesagt hast, dass Du mecki@googlesso.com bist), musst DU trotzdem erstmal beim SSO-Provider Google freigeben, dass B die Daten auch nutzen darf. Vorher hat B keinen Plan von Deiner Google-Identität.

    Zum zweiten Punkt: Die Idee ist nicht, dass man *gar keinen* Account mehr braucht, sondern dass Authentifizierung (und Authorisierung für den Zugriff auf persönliche Daten) externalisiert werden. Selbstverständlich kann (und wird) der Anbieter z.B. lokal einen Forum-Account für Dich anlegen und dort auch Daten zwischenspeichern. Um diesen Account aber zu verwenden, muss explizit eine aktuell gültige Erlaubnis von Dir vorliegen (bzw. Deinem SSO-Anbieter). Dafür musst Du Dich aber nicht bei jeder einzelnen Transaktion anmelden, sondern dafür gibt es Gültigkeitsspannen bei der Authentifizierung.

    Und zum dritten Punkt: Na klar, ID4me hat auch nie gesagt, dass sie etwas komplett eigenes erfinden wollen. Im Gegenteil: sie bauen auf existierenden Standards auf, um diese auch föderativ verwenden zu können. Und nach meinem Verständnis ist das auch nichts, was "jetzt hier mal schnell im Hinterzimmer zusammengeschustert wird, damit wir Kohle machen können", sondern etwas, das sauber spezifiziert und implementiert werden soll, so dass es potenziell selbst wieder als RFC eingereicht werden kann, wenn es "reif" genug ist. Ich weiß nicht, was es daran zu kritisieren gäbe.


    Natürlich kannst Du weiterhin Deinen eigenen lokalen Passwortmanager verwenden. Das mache ich übrigens auch, ich habe momentan überhaupt keinen Google- oder Facebook-Account. Aber dann verwaltet halt jeder Dienst separat Deine Daten, und Du hast 378 verschiedene Logins mit 378 Passwörtern bei 378 verschiedenen Providern mit 378 verschiedenen Datenbeständen.

    Ich sehe durchaus den Vorteil, meine Stammdaten -- auf einem von mir kontrollierten Server -- selbst zu verwalten und selbst festzulegen, welchem externen Dienst ich erlaube, mich "einzuloggen" und welcher externe Dienst wann Zugriff auf welche Daten hat. Diese Selbstbestimmung ist übrigens auch der Punkt, warum ich id4me als einzigen der vorgestellten Dienste unterstützenswert finde.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Systementwickler / Administrator IoT-Solutions (w/m/d)
    KHS GmbH, Dortmund
  2. Test Engineer Application (m/w/d)
    QUNDIS GmbH, Erfurt
  3. Referent Finanzen (m/w/d)
    ADAC SE, München
  4. Information Security Advisor / Cyber Security Manager (m/w / divers)
    Continental AG, Regensburg

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 998€ (1.499€)
  2. (u. a. Call of Duty Vanguard PS5/PS4 für 24,99€ statt 79€, KFA2 RTX 3060 12GB für 399€, WD...
  3. 103,90€ (günstig wie nie)
  4. 485€ (günstig wie nie, UVP 569€)


Haben wir etwas übersehen?

E-Mail an news@golem.de