Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Single Sign-on Made in Germany…

SSO == SPOF

  1. Thema

Neues Thema Ansicht wechseln


  1. SSO == SPOF

    Autor: /mecki78 11.09.18 - 17:48

    Single Sign On == Single Point of Failure

    Mal ganz abgesehen von diversen anderen Problemen damit, wie z.B. dass sobald ich mich dort anmelde, um bei Dienst A angemeldet zu sein, ich automatisch überall angemeldet bin, was zwar der Sinn des ganzen ist, aber das will der Nutzer vielleicht gar nicht, da er vielleicht Dienst B lieber anonym und Dienst C lieber mit einem alternativen Account nutzen möchte.

    /Mecki

  2. Re: SSO == SPOF

    Autor: am (golem.de) 11.09.18 - 18:36

    > aber
    > das will der Nutzer vielleicht gar nicht, da er vielleicht Dienst B lieber
    > anonym und Dienst C lieber mit einem alternativen Account nutzen möchte.

    StudiVZ hatte bei seinem SSO-Angebot sowas in der Art implementiert.

    Grüße,
    Alexander Merz (golem.de)

  3. Re: SSO == SPOF

    Autor: Tautologiker 11.09.18 - 19:07

    /mecki78 schrieb:
    --------------------------------------------------------------------------------
    > Single Sign On == Single Point of Failure
    >
    > Mal ganz abgesehen von diversen anderen Problemen damit, wie z.B. dass
    > sobald ich mich dort anmelde, um bei Dienst A angemeldet zu sein, ich
    > automatisch überall angemeldet bin, was zwar der Sinn des ganzen ist, aber
    > das will der Nutzer vielleicht gar nicht, da er vielleicht Dienst B lieber
    > anonym und Dienst C lieber mit einem alternativen Account nutzen möchte.

    Nein, das stimmt so nicht. Du bist NICHT automatisch überall angemeldet, sondern erst wenn Du explizit zugestimmt hast, und auch nur mit den Informationen, deren Übermittlung Du jeweils explizit zugestimmt hast.

    Ich beziehe mich jetzt nur auf id4me, mit dem ich mich etwas tiefer beschäftigt habe, aber:

    Du hast immer noch auf jeder Seite, die das jeweilige System unterstützt, z.B. einen Button "Login with id4me" (genau so wie jetzt mit "Login with Facebook/ Login with Google").

    Erst dann wirst Du auf den SSO-Provider umgeleitet, und der fragt Dich dann "Seite XYZ möchte folgende Informationen haben: ... Stimmen Sie zu"? Dann kannst Du pro Seite auswählen, was sie von Dir sehen darf (nur Nickname? Auch Geburtsdatum? Auch Adresse? etc.).

    Und letzlich kannst du bei id4me z.B. auch mehrere komplett getrennte Identitäten verwalten (ggf. sogar auf Deinen eigenen Servern) und Dir aussuchen welche Du verwendest. (Bei den anderen Anbietern wird das so wahrscheinlich nicht gehen).

    Aber ja, am Ende ist dann Dein Authorisierungs/Authentisierungs-Provider ein SPOF, es sei denn, Du verwendest mehrere davon (wie ja auch jetzt schon z.B. Google/Facebook). Nur ganz so dramatisch wie Du es darstellst ist es halt nicht.

  4. Re: SSO == SPOF

    Autor: /mecki78 11.09.18 - 20:04

    Tautologiker schrieb:
    --------------------------------------------------------------------------------
    > Nein, das stimmt so nicht. Du bist NICHT automatisch überall angemeldet,
    > sondern erst wenn Du explizit zugestimmt hast, und auch nur mit den
    > Informationen, deren Übermittlung Du jeweils explizit zugestimmt hast.

    Ich habe nicht behauptet, dass du automatisch bei allen Anbietern einen Account hast, die deinen SSO unterstützen, natürlich muss du dort erst einmal bei jedem einen Account einrichten, weil SSO ersetzt nicht Accounts, es ersetzt nur die Anmeldung mit Passwörtern um Zugang zu deinen Account zu erhalten und es vereinfacht die Account Erstellung, da hier bestimmte Werte direkt vom SSO übernommen werden können, aber natürlich nicht müssen.

    Nur hast du erst mal einen Account, dann kennt der Anbieter bereits deine Daten, dann musst du nicht erneut erlauben das Daten übergeben werden, weil die wurden bereits übergeben und sind für deinen Account dort dauerhaft hinterlegt und dann musst du auch nicht eine Erlaubnis erteilen, weil du hast bereits eine Erteilt und die ist nach wie vor gültig. Das was du hier beschreibst, das muss man beim ersten mal machen, wenn man sich irgendwo neu anmeldet, aber danach geht es nur noch darum festzustellen wer du bist und wessen Account dir gehört.

    Es gibt zwar Dienste, wo man dank SSO keinen Account mehr braucht, da sie alle Daten, die sie brauchen vom SSO holen, nur dann musst du erstens wirklich jedes mal den Zugriff zustimmen (alleine das schreckt Nutzer dermaßen ab, das kannst du dir nicht vorstellen) und dann kann der Dienst auch keinerlei Daten mit deinen Account verknüpfen, weil du hast ja gar keinen. Sprich: Das geht nur mit Diensten, die "zustandslos" arbeiten können und wo Nutzer eigentlich gar keine Accounts bräuchten. Schon ein einfaches Webforum kann so aber nicht arbeiten, außer deine Posts werden dort mit deinem echten Namen oder deiner E-Mail Adresse veröffentlicht, denn ein Pseudonym muss eindeutig und damit lokal an einen Account gebunden sein und schon musst du dort einen Account haben.

    Und ID4me ist kein eigener Standard, das ist im Prinzip einfach nur OpenID Connect. OpenID war vor Jahren schon mal groß im kommen, hat sich dann aber nicht universell durchsetzen konnte und ist heute wieder von fast allen Seiten verschwunden ist, weil es nichts Halbes und nichts Ganzes ist. Es vereinigt alle Nachteile eines passwortbasierten Logins mit denen von SSO und bietet somit keinerlei Vorteile gegenüber einer zentralen Passwortverwaltung. Ob ich jetzt auf den ID4me Sign-In Button klicke und dann automatisch angemeldet werde oder ob ich im Browser auf den "Log me In" Button von Bitwarden, LastPass oder 1Passwort klicke und dann automatisch angemeldet werde, macht bitte welchen Unterschied in Sachen Komfort oder Sicherheit? Nur funktioniert eben eine zentrale Passwortverwaltung mit jeder, wirklich jeder Webseite da draußen, ID4me aber eben nur mit denen, die dieses Verfahren explizit unterstützen. Sicherlich ist eine zentrale Passwortverwaltung auch ein SPOF, aber da sie mit allen Diensten funktioniert, ist es der bessere SPOF.

    /Mecki

  5. Re: SSO == SPOF

    Autor: Tautologiker 11.09.18 - 22:02

    Sorry, aber du widersprichst Dir selbst.

    Zitat von Dir: ". dass sobald ich mich dort anmelde, um bei Dienst A angemeldet zu sein, ich automatisch überall angemeldet bin, was zwar der Sinn des ganzen ist, aber das will der Nutzer vielleicht gar nicht, da er vielleicht Dienst B lieber anonym und Dienst C lieber mit einem alternativen Account nutzen möchte."

    Du kannst die Dienste A, B und C mit komplett unterschiedlichen SSO-Providern nutzen. Nur weil A Deine Google-Daten verwendet, kennt B die noch lange nicht, sondern verwendet z.B. Deine vorher eingegebenen Facebook-Daten -- um mal bei den schon existierenden Providern zu bleiben.

    Und wenn B doch Deine Google-Daten verwenden will (nachdem DU ihm gesagt hast, dass Du mecki@googlesso.com bist), musst DU trotzdem erstmal beim SSO-Provider Google freigeben, dass B die Daten auch nutzen darf. Vorher hat B keinen Plan von Deiner Google-Identität.

    Zum zweiten Punkt: Die Idee ist nicht, dass man *gar keinen* Account mehr braucht, sondern dass Authentifizierung (und Authorisierung für den Zugriff auf persönliche Daten) externalisiert werden. Selbstverständlich kann (und wird) der Anbieter z.B. lokal einen Forum-Account für Dich anlegen und dort auch Daten zwischenspeichern. Um diesen Account aber zu verwenden, muss explizit eine aktuell gültige Erlaubnis von Dir vorliegen (bzw. Deinem SSO-Anbieter). Dafür musst Du Dich aber nicht bei jeder einzelnen Transaktion anmelden, sondern dafür gibt es Gültigkeitsspannen bei der Authentifizierung.

    Und zum dritten Punkt: Na klar, ID4me hat auch nie gesagt, dass sie etwas komplett eigenes erfinden wollen. Im Gegenteil: sie bauen auf existierenden Standards auf, um diese auch föderativ verwenden zu können. Und nach meinem Verständnis ist das auch nichts, was "jetzt hier mal schnell im Hinterzimmer zusammengeschustert wird, damit wir Kohle machen können", sondern etwas, das sauber spezifiziert und implementiert werden soll, so dass es potenziell selbst wieder als RFC eingereicht werden kann, wenn es "reif" genug ist. Ich weiß nicht, was es daran zu kritisieren gäbe.


    Natürlich kannst Du weiterhin Deinen eigenen lokalen Passwortmanager verwenden. Das mache ich übrigens auch, ich habe momentan überhaupt keinen Google- oder Facebook-Account. Aber dann verwaltet halt jeder Dienst separat Deine Daten, und Du hast 378 verschiedene Logins mit 378 Passwörtern bei 378 verschiedenen Providern mit 378 verschiedenen Datenbeständen.

    Ich sehe durchaus den Vorteil, meine Stammdaten -- auf einem von mir kontrollierten Server -- selbst zu verwalten und selbst festzulegen, welchem externen Dienst ich erlaube, mich "einzuloggen" und welcher externe Dienst wann Zugriff auf welche Daten hat. Diese Selbstbestimmung ist übrigens auch der Punkt, warum ich id4me als einzigen der vorgestellten Dienste unterstützenswert finde.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Forschungszentrum Jülich GmbH, Jülich
  2. Hays AG, Frankfurt am Main
  3. AWO gemeinnützige Gesellschaft für soziale Einrichtungen und Dienste in Nordhessen mbH, Kassel
  4. BIOSCIENTIA Institut für Medizinische Diagnostik GmbH, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 2,99€
  2. 1,24€
  3. 7,99€
  4. 3,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Physik: Den Quanten beim Sprung zusehen
Physik
Den Quanten beim Sprung zusehen

Quantensprünge sind niemals groß und nicht vorhersehbar. Forschern ist es dennoch gelungen, den Vorgang zuverlässig zu beobachten, wenn er einmal angefangen hatte - und sie konnten ihn sogar umkehren. Die Fehlerkorrektur in Quantencomputern soll in Zukunft genau so funktionieren.
Von Frank Wunderlich-Pfeiffer


    Doom Eternal angespielt: Die nächste Ballerorgie von id macht uns fix und fertig
    Doom Eternal angespielt
    Die nächste Ballerorgie von id macht uns fix und fertig

    E3 2019 Extrem schnelle Action plus taktische Entscheidungen, dazu geniale Grafik und eine düstere Atmosphäre: Doom Eternal hat gegenüber dem erstklassigen Vorgänger zumindest beim Anspielen noch deutlich zugelegt.

    1. Sigil John Romero setzt Doom fort

    Wolfenstein Youngblood angespielt: Warum wurden diese dämlichen Mädchen nicht aufgehalten!?
    Wolfenstein Youngblood angespielt
    "Warum wurden diese dämlichen Mädchen nicht aufgehalten!?"

    E3 2019 Der erste Kill ist der schwerste: In Wolfenstein Youngblood kämpfen die beiden Töchter von B.J. Blazkowicz gegen Nazis. Golem.de hat sich mit Jess und Soph durch einen Zeppelin über dem belagerten Paris gekämpft.
    Von Peter Steinlechner


      1. Freier Videocodec: Realtek stellt ersten SoC mit AV1-Decoder vor
        Freier Videocodec
        Realtek stellt ersten SoC mit AV1-Decoder vor

        Der Chiphersteller Realtek hat ein SoC für Set-Top-Boxen vorgestellt, das einen AV1-Decoder enthält. Es ist der erste Chip mit Hardware-Unterstützung für den freien Videocodec. Geräte damit sollten 2020 verfügbar sein.

      2. Timex Data Link im Retro-Test: Bill Gates' Astronauten-Smartwatch
        Timex Data Link im Retro-Test
        Bill Gates' Astronauten-Smartwatch

        Mit der Data Link haben Timex und Microsoft bereits vor 25 Jahren die erste richtige Smartwatch vorgestellt. Sie hat es sogar bis in den Weltraum geschafft. Das Highlight ist die drahtlose Datenübertragung per flackerndem Röhrenmonitor - was wir natürlich ausprobieren mussten.

      3. Prozessor: Intel, Qualcomm und Xilinx wollen Huawei wieder beliefern
        Prozessor
        Intel, Qualcomm und Xilinx wollen Huawei wieder beliefern

        Führende Chiphersteller in den USA bestreiten den Sinn des US-Embargos gegen Huawei. Standardkomponenten für Smartphones und Server berührten nicht die nationale Sicherheit, sagten die Hersteller.


      1. 12:30

      2. 12:04

      3. 11:34

      4. 11:22

      5. 11:10

      6. 11:01

      7. 10:53

      8. 10:40