Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Single Sign-on Made in Germany…

SSO == SPOF

  1. Thema

Neues Thema Ansicht wechseln


  1. SSO == SPOF

    Autor: /mecki78 11.09.18 - 17:48

    Single Sign On == Single Point of Failure

    Mal ganz abgesehen von diversen anderen Problemen damit, wie z.B. dass sobald ich mich dort anmelde, um bei Dienst A angemeldet zu sein, ich automatisch überall angemeldet bin, was zwar der Sinn des ganzen ist, aber das will der Nutzer vielleicht gar nicht, da er vielleicht Dienst B lieber anonym und Dienst C lieber mit einem alternativen Account nutzen möchte.

    /Mecki

  2. Re: SSO == SPOF

    Autor: am (golem.de) 11.09.18 - 18:36

    > aber
    > das will der Nutzer vielleicht gar nicht, da er vielleicht Dienst B lieber
    > anonym und Dienst C lieber mit einem alternativen Account nutzen möchte.

    StudiVZ hatte bei seinem SSO-Angebot sowas in der Art implementiert.

    Grüße,
    Alexander Merz (golem.de)

  3. Re: SSO == SPOF

    Autor: Tautologiker 11.09.18 - 19:07

    /mecki78 schrieb:
    --------------------------------------------------------------------------------
    > Single Sign On == Single Point of Failure
    >
    > Mal ganz abgesehen von diversen anderen Problemen damit, wie z.B. dass
    > sobald ich mich dort anmelde, um bei Dienst A angemeldet zu sein, ich
    > automatisch überall angemeldet bin, was zwar der Sinn des ganzen ist, aber
    > das will der Nutzer vielleicht gar nicht, da er vielleicht Dienst B lieber
    > anonym und Dienst C lieber mit einem alternativen Account nutzen möchte.

    Nein, das stimmt so nicht. Du bist NICHT automatisch überall angemeldet, sondern erst wenn Du explizit zugestimmt hast, und auch nur mit den Informationen, deren Übermittlung Du jeweils explizit zugestimmt hast.

    Ich beziehe mich jetzt nur auf id4me, mit dem ich mich etwas tiefer beschäftigt habe, aber:

    Du hast immer noch auf jeder Seite, die das jeweilige System unterstützt, z.B. einen Button "Login with id4me" (genau so wie jetzt mit "Login with Facebook/ Login with Google").

    Erst dann wirst Du auf den SSO-Provider umgeleitet, und der fragt Dich dann "Seite XYZ möchte folgende Informationen haben: ... Stimmen Sie zu"? Dann kannst Du pro Seite auswählen, was sie von Dir sehen darf (nur Nickname? Auch Geburtsdatum? Auch Adresse? etc.).

    Und letzlich kannst du bei id4me z.B. auch mehrere komplett getrennte Identitäten verwalten (ggf. sogar auf Deinen eigenen Servern) und Dir aussuchen welche Du verwendest. (Bei den anderen Anbietern wird das so wahrscheinlich nicht gehen).

    Aber ja, am Ende ist dann Dein Authorisierungs/Authentisierungs-Provider ein SPOF, es sei denn, Du verwendest mehrere davon (wie ja auch jetzt schon z.B. Google/Facebook). Nur ganz so dramatisch wie Du es darstellst ist es halt nicht.

  4. Re: SSO == SPOF

    Autor: /mecki78 11.09.18 - 20:04

    Tautologiker schrieb:
    --------------------------------------------------------------------------------
    > Nein, das stimmt so nicht. Du bist NICHT automatisch überall angemeldet,
    > sondern erst wenn Du explizit zugestimmt hast, und auch nur mit den
    > Informationen, deren Übermittlung Du jeweils explizit zugestimmt hast.

    Ich habe nicht behauptet, dass du automatisch bei allen Anbietern einen Account hast, die deinen SSO unterstützen, natürlich muss du dort erst einmal bei jedem einen Account einrichten, weil SSO ersetzt nicht Accounts, es ersetzt nur die Anmeldung mit Passwörtern um Zugang zu deinen Account zu erhalten und es vereinfacht die Account Erstellung, da hier bestimmte Werte direkt vom SSO übernommen werden können, aber natürlich nicht müssen.

    Nur hast du erst mal einen Account, dann kennt der Anbieter bereits deine Daten, dann musst du nicht erneut erlauben das Daten übergeben werden, weil die wurden bereits übergeben und sind für deinen Account dort dauerhaft hinterlegt und dann musst du auch nicht eine Erlaubnis erteilen, weil du hast bereits eine Erteilt und die ist nach wie vor gültig. Das was du hier beschreibst, das muss man beim ersten mal machen, wenn man sich irgendwo neu anmeldet, aber danach geht es nur noch darum festzustellen wer du bist und wessen Account dir gehört.

    Es gibt zwar Dienste, wo man dank SSO keinen Account mehr braucht, da sie alle Daten, die sie brauchen vom SSO holen, nur dann musst du erstens wirklich jedes mal den Zugriff zustimmen (alleine das schreckt Nutzer dermaßen ab, das kannst du dir nicht vorstellen) und dann kann der Dienst auch keinerlei Daten mit deinen Account verknüpfen, weil du hast ja gar keinen. Sprich: Das geht nur mit Diensten, die "zustandslos" arbeiten können und wo Nutzer eigentlich gar keine Accounts bräuchten. Schon ein einfaches Webforum kann so aber nicht arbeiten, außer deine Posts werden dort mit deinem echten Namen oder deiner E-Mail Adresse veröffentlicht, denn ein Pseudonym muss eindeutig und damit lokal an einen Account gebunden sein und schon musst du dort einen Account haben.

    Und ID4me ist kein eigener Standard, das ist im Prinzip einfach nur OpenID Connect. OpenID war vor Jahren schon mal groß im kommen, hat sich dann aber nicht universell durchsetzen konnte und ist heute wieder von fast allen Seiten verschwunden ist, weil es nichts Halbes und nichts Ganzes ist. Es vereinigt alle Nachteile eines passwortbasierten Logins mit denen von SSO und bietet somit keinerlei Vorteile gegenüber einer zentralen Passwortverwaltung. Ob ich jetzt auf den ID4me Sign-In Button klicke und dann automatisch angemeldet werde oder ob ich im Browser auf den "Log me In" Button von Bitwarden, LastPass oder 1Passwort klicke und dann automatisch angemeldet werde, macht bitte welchen Unterschied in Sachen Komfort oder Sicherheit? Nur funktioniert eben eine zentrale Passwortverwaltung mit jeder, wirklich jeder Webseite da draußen, ID4me aber eben nur mit denen, die dieses Verfahren explizit unterstützen. Sicherlich ist eine zentrale Passwortverwaltung auch ein SPOF, aber da sie mit allen Diensten funktioniert, ist es der bessere SPOF.

    /Mecki

  5. Re: SSO == SPOF

    Autor: Tautologiker 11.09.18 - 22:02

    Sorry, aber du widersprichst Dir selbst.

    Zitat von Dir: ". dass sobald ich mich dort anmelde, um bei Dienst A angemeldet zu sein, ich automatisch überall angemeldet bin, was zwar der Sinn des ganzen ist, aber das will der Nutzer vielleicht gar nicht, da er vielleicht Dienst B lieber anonym und Dienst C lieber mit einem alternativen Account nutzen möchte."

    Du kannst die Dienste A, B und C mit komplett unterschiedlichen SSO-Providern nutzen. Nur weil A Deine Google-Daten verwendet, kennt B die noch lange nicht, sondern verwendet z.B. Deine vorher eingegebenen Facebook-Daten -- um mal bei den schon existierenden Providern zu bleiben.

    Und wenn B doch Deine Google-Daten verwenden will (nachdem DU ihm gesagt hast, dass Du mecki@googlesso.com bist), musst DU trotzdem erstmal beim SSO-Provider Google freigeben, dass B die Daten auch nutzen darf. Vorher hat B keinen Plan von Deiner Google-Identität.

    Zum zweiten Punkt: Die Idee ist nicht, dass man *gar keinen* Account mehr braucht, sondern dass Authentifizierung (und Authorisierung für den Zugriff auf persönliche Daten) externalisiert werden. Selbstverständlich kann (und wird) der Anbieter z.B. lokal einen Forum-Account für Dich anlegen und dort auch Daten zwischenspeichern. Um diesen Account aber zu verwenden, muss explizit eine aktuell gültige Erlaubnis von Dir vorliegen (bzw. Deinem SSO-Anbieter). Dafür musst Du Dich aber nicht bei jeder einzelnen Transaktion anmelden, sondern dafür gibt es Gültigkeitsspannen bei der Authentifizierung.

    Und zum dritten Punkt: Na klar, ID4me hat auch nie gesagt, dass sie etwas komplett eigenes erfinden wollen. Im Gegenteil: sie bauen auf existierenden Standards auf, um diese auch föderativ verwenden zu können. Und nach meinem Verständnis ist das auch nichts, was "jetzt hier mal schnell im Hinterzimmer zusammengeschustert wird, damit wir Kohle machen können", sondern etwas, das sauber spezifiziert und implementiert werden soll, so dass es potenziell selbst wieder als RFC eingereicht werden kann, wenn es "reif" genug ist. Ich weiß nicht, was es daran zu kritisieren gäbe.


    Natürlich kannst Du weiterhin Deinen eigenen lokalen Passwortmanager verwenden. Das mache ich übrigens auch, ich habe momentan überhaupt keinen Google- oder Facebook-Account. Aber dann verwaltet halt jeder Dienst separat Deine Daten, und Du hast 378 verschiedene Logins mit 378 Passwörtern bei 378 verschiedenen Providern mit 378 verschiedenen Datenbeständen.

    Ich sehe durchaus den Vorteil, meine Stammdaten -- auf einem von mir kontrollierten Server -- selbst zu verwalten und selbst festzulegen, welchem externen Dienst ich erlaube, mich "einzuloggen" und welcher externe Dienst wann Zugriff auf welche Daten hat. Diese Selbstbestimmung ist übrigens auch der Punkt, warum ich id4me als einzigen der vorgestellten Dienste unterstützenswert finde.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Hays AG, Berlin
  2. VIVAVIS GmbH, Ettlingen, Koblenz
  3. OEDIV KG, Oldenburg
  4. GEWOBAU Wohnungsgenossenschaft Essen eG, Essen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. mit Gutschein: NBBX570
  3. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


SSD-Kompendium: AHCI, M.2, NVMe, PCIe, Sata, U.2 - ein Überblick
SSD-Kompendium
AHCI, M.2, NVMe, PCIe, Sata, U.2 - ein Überblick

Heutige SSDs gibt es in allerhand Formfaktoren mit diversen Anbindungen und Protokollen, selbst der verwendete Speicher ist längst nicht mehr zwingend NAND-Flash. Wir erläutern die Unterschiede und Gemeinsamkeiten der Solid State Drives.
Von Marc Sauter

  1. PM1733 Samsungs PCIe-Gen4-SSD macht die 8 GByte/s voll
  2. PS5018-E18 Phisons PCIe-Gen4-SSD-Controller liefert 7 GByte/s
  3. Ultrastar SN640 Western Digital bringt SSD mit 31 TByte im E1.L-Ruler-Format

Medienkompetenz: Was, Ihr Kind kann nicht programmieren?
Medienkompetenz
Was, Ihr Kind kann nicht programmieren?

Lesen, schreiben, rechnen und coden: Müssen Kinder programmieren lernen? Vielleicht nicht. Aber sie sollen verstehen, wie Computer funktionieren. Wie das am besten geht.
Von Jakob von Lindern

  1. 5G Milliardenlücke beim Digitalpakt Schule droht
  2. Digitalpakt Schuldigitalisierung kann starten
  3. Whatsapp bei Lehrern Kultusministerkonferenz pocht auf Datenschutz

Gemini Man: Überflüssiges Klonexperiment
Gemini Man
Überflüssiges Klonexperiment

Am 3. Oktober kommt mit Gemini Man ein ambitioniertes Projekt in die deutschen Kinos: Mit HFR-Projektion in 60 Bildern pro Sekunde und Will Smith, der gegen sein digital verjüngtes Ebenbild kämpft, betreibt der Actionfilm technisch viel Aufwand. Das Seherlebnis ist jedoch bestenfalls komisch.
Von Daniel Pook

  1. Filmkritik Apollo 11 Echte Mondlandung als packende Kinozeitreise

  1. Hongkong: Blizzard-Chef findet Meinungsäußerung nur halb so schlimm
    Hongkong
    Blizzard-Chef findet Meinungsäußerung nur halb so schlimm

    Ein halbes Jahr statt ein ganzes Jahr wird ein E-Sport-Profi gesperrt, der auf einem Turnier von Blizzard mit einem Ausruf für die Protestbewegung in Hongkong gekämpft hatte. Zwei dauerhaft entlassene Kommentatoren dürfen nach ebenfalls einem halben Jahr wieder arbeiten.

  2. China: Internetanschluss oder Telefonnummer nur gegen Gesichtsscan
    China
    Internetanschluss oder Telefonnummer nur gegen Gesichtsscan

    In China soll es ab Dezember Telefonnummern oder Internet-Anschlüsse nur noch mit Identitätsfeststellung per Gesichtserkennung geben. Eine entsprechende Regelung wurde kürzlich erlassen und soll auch für bereits registrierte Anschlüsse gelten.

  3. Nach Attentat in Halle: Seehofer möchte "Gamerszene" stärker kontrollieren
    Nach Attentat in Halle
    Seehofer möchte "Gamerszene" stärker kontrollieren

    Nach dem rechtsextremistisch motivierten Attentat in Halle gibt Bundesinnenminister Horst Seehofer in einem Interview der "Gamerszene" eine Mitschuld und kündigte mehr Überwachung an. Kritiker werfen ihm eine Verharmlosung des Rechtsextremismus und Inkompetenz vor.


  1. 08:21

  2. 15:37

  3. 15:15

  4. 12:56

  5. 15:15

  6. 13:51

  7. 12:41

  8. 22:35