Wer sich häufig im Internet aufhält, kennt das Problem: Dutzende Websites, Foren und Shops verlangen Log-Ins, die zumeist aus Benutzername und Passwort bestehen. Und dann sind da noch die Kennwörter für den Rechner, den Router, Cloud-Konten und viele andere Dienste. Kurzum: Das Passwort-Chaos ist bei intensiver Netz- und Dienstenutzung vorprogrammiert. Doch es gibt eine Lösung: Den sogenannten Single Sign-On (SSO).
Single Sign-On erleichtert vieles
Der Single Sign-On ermöglicht es, mit nur einer Anmeldung auf eine ganze Reihe von Diensten und Services zuzugreifen. So gibt es zum Beispiel die Möglichkeit, direkt mit der Anmeldung an einem Arbeitsrechner auch auf alle Netzwerk-Laufwerke und Server zugreifen zu können. Auch für das Internet gibt es diese Technologie, die zum Beispiel von Twitter, Facebook und Google („Mit Google anmelden“) angeboten wird und nach einmaliger Verknüpfung eines Benutzerkontos mit dem jeweiligen Dienst die Anmeldung überflüssig macht. Übrigens: Auch Apple erlaubt diese Technik inzwischen in der TV-App und dem Apple-TV. Dabei werden die Zugangsdaten von Diensten wie Netflix, Amazon Prime oder anderen Streaming-Anbietern in der App hinterlegt. Einmal an der TV-App angemeldet, ist auch der Zugriff auf die anderen Dienste möglich. Künftig wird auch Apple einen Log-In-Service im Stil von Google und Facebook anbieten, mit dem Unterschied, dass dieser vollständig auf Tracking verzichtet.
Single Sign-On: So funktioniert es
Damit so etwas funktioniert, greift die Single-Sign-On-Technologie zu einem Trick: Entweder, die Zugangsdaten werden irgendwo zentral hinterlegt, etwa in einer Cloud. Oder es müssen dem jeweiligen Dienst über ein Drittanbieter-Tool Rechte zugesprochen werden, wie es etwa bei „Mit Google anmelden“ der Fall ist. Anschließend erhält der Anwender einen sogenannten Token, einen einmaligen Zugangsschlüssel, der pro Endgerät gesetzt wird. Im Webbrowser wird dieser in aller Regel in Form eines Cookies vergeben, bei PCs, Macs und Mobilgeräten können auch Drittanbieter-Lösungen wie NetID oder ID4me zum Einsatz kommen. Zudem gibt es die Möglichkeit, Schlüssel auf USB-Sticks zu speichern oder den SSO mit der Anwensenheit eines Bluetooth-Smartphones zu verbinden. Wichtig bei allen Diensten: Anders als etwa bei einem Passwortmanager muss die Ziel-Software die Anmeldemethode unterstützen, sprich: Eine Website oder App muss den Single-Sign-On-Dienst auch anbieten, damit dieser genutzt werden kann. Da ständig neue Anbieter auf dem Markt auftauchen, ist eine Lösung für alle Dienste wünschenswert – aber derzeit leider nicht vorhanden.
Das sind die Vorteile von Single Sign-On
Nichtsdestotrotz hat Single Sign-On enorme Vorteile gegenüber dem Log-In mit Benutzername und Passwort. Das beginnt schon damit, dass nur noch eine Benutzername-Passwort-Kombination gepflegt werden muss, wodurch in vielen Fällen ein sicheres Passwort für den Single-Sign-On-Dienst möglich werden. Denn allen Mahnungen zum Trotz wiederholen selbst erfahrene Anwender häufig ihre Benutzername-Passwort-Kombination oder variieren das Passwort nur minimal, etwa nach dem Schema „Passwort1“, „Passwort2“, „Passwort3“ und so weiter. Das bietet natürlich viele Angriffspunkte für Phisher und andere Online-Schurken, die die Passwort-Varianten recht leicht erraten und damit Accounts übernehmen können. Beim Single Sign-On erübrigt sich dieses Problem: Der Anwender kann sich auf ein sicheres Passwort konzentrieren, das (zumindest theoretisch) den Zugang für alle Dienste freischaltet.
Passwort-Sicherheit ist das A und O
Genau dadurch ergibt sich aber auch ein großes Problem des Single Sign-Ons: Wenn das Passwort schlecht gewählt ist und der Dienst keine zusätzlichen Sicherheitsnetze – etwa Zwei-Faktor-Authentifizierung – anbietet, verkehrt sich der Sicherheitsgewinn ins Gegenteil. Angreifer müssen nur die eine Nutzername-Passwort-Kombi abgreifen, um anschließend Zugriff auf alle Konten eines Benutzers zu haben. Deshalb bieten die viele SSO-Verfahren neben dem rechnerbasierten Token auch eine Zeitsperre: Wird der PC oder Dienst eine Weile nicht genutzt, wird automatisch abgemeldet. Ein weiteres Problem ist die Verfügbarkeit des SSO-Dienstes an sich: Ist dieser nicht zuverlässig verfügbar, hat der Anwender keine Möglichkeit, auf seine Accounts zuzugreifen. Auch der Token selbst ist ein potentieller Angriffspunkt, dem Administratoren und User gegebenenfalls Aufmerksamkeit widmen müssen. Zudem stellt sich mit dem Single Sign-On auch automatisch die Frage nach einem zentralen Single Sign-Out: Mit dem Ausloggen zum Beispiel vom Rechner müssen auch automatisch die Verbindungen zu den Diensten gekappt werden.
Single Sign-On: Wie nutze ich das?
Insgesamt überwiegen beim Single Sign-On jedoch die Vorteile über die Nachteile. Allerdings sollten Anwender darauf achten, einen Dienst zu wählen, der die notwendigen Voraussetzungen bei der Sicherheit und beim Datenschutz erfüllt. Facebook und Google sind hier im Zweifel nicht die optimalen Kandidaten, allerdings können auch diese Dienste durch Optimierung der Sicherheit – etwa Zwei-Faktor-Authentifizierung – deutlich besser gegen Angriffe abgesichert werden. Wichtig an allen Single-Sign-On-Lösungen ist die breite Unterstützung, die leider derzeit nur wenige Dienste leisten können. Es bleibt daher zu hoffen, dass künftig große Player wie Microsoft und Apple mit leicht bedienbaren und weniger datenschutzproblematischen Lösungen für Abhilfe sorgen.
- Passwort-Manager für Android
- Passwort-Manager für das iPhone
- Passwortmanager: So verwalten Sie Ihre Passwörter
(anka)
