Echtes SSO ist nur am Desktop umsetzbar

Single Sign-on bedeutet eine einmalige Authentifizierung für den Zugriff auf alle Ressourcen. Ein hehres Ziel, gerade in Zeiten von Remote-Arbeit und zunehmender Adaption von Cloud-Anwendungen. Häufig muss sich der User zunächst an seinem Rechner und dann noch einmal an einem VPN authentifizieren, bevor er sich an einer SSO-Plattform anmelden und damit dann ungestört auf seine Ressourcen zugreifen kann. Da wird aus dem Single Sign-on oftmals eher ein Dual oder sogar Triple Sign-on. Eine echte, gleichermaßen sichere wie bequeme Einmalanmeldung ist aber durchaus umsetzbar, und zwar mit einer passwortlosen Desktop-MFA-Lösung. Jochen Koehler erklärt seine Vorgehensweise.

Der Autor Jochen Koehler leitet die Region Zentraleuropa bei HYPR in Heilbronn. (Quelle: HYPR)

SSO (Single Sign-on) ist eine Technik, die zur Authentifizierung bei einer Vielzahl von Systemen, Anwendungen und Services mit denselben User-Credentials verwendet wird. Anstatt für jeden Service ein eigenes System zu nutzen, wird eine einzige Authentifizierungsinfrastruktur eingesetzt. SSO-Implementierungen basieren auf offenen Standards wie Kerberos oder SAML (Security Affirmation Markup Language). Zu den führenden SSO-Lösungen gehören etwa Produkte von Okta, Forgerock oder Ping Identity, aber auch die Microsoft Federation Services im Active Directory (ADFS) und seinem Cloud-Pendant Azure AD.

SSO hat gerade durch die Nutzung von Cloud-Anwendungen an Attraktivität gewonnen. Wurde früher die einmalige Anmeldung an Windows für den Zugriff auf die Microsoft- und Microsoft-nahe Welt als sicher betrachtet, hat der verstärkte Zugriff auf externe Domain-fremde Ressourcen oder auch die Nutzung unsicherer Systeme in VPN-Umgebungen die Gefahrenlage für ein Unternehmen deutlich verändert. Dazu kommt die nicht abreißende Bedrohung durch Phishing, die den Anwender prinzipiell immer angreifbar durch Credential-Stuffing- oder Password-Spraying-Attacken macht, solange die Anmeldung am Desktop mit Benutzername und Passwort erfolgt, wie es in der überwiegenden Zahl der Unternehmen immer noch der Fall ist.

Zur Erhöhung der Sicherheit kommen hier Sekundärauthentifizierungsschritte in Verbindung mit den SSO- und IdP (Identity Provider)-Lösungen als zusätzlicher Schutzschild ins Spiel. Aber von Single Sign-on kann man dabei kaum sprechen, schließlich hat die primäre Anmeldung am Windows immer noch zu erfolgen. Das heißt, im Prinzip erfolgt mindestens ein Dual Sign-on. In anderen Worten: Nach der ersten Anmeldung am Rechner muss der Anwender eine zweite Anmeldung an der SSO-Lösung durchlaufen, unter Umständen sind beim Applikationszugriff sogar weitere Authentifizierungsschritte erforderlich, Stichwort Step-up-Authentifizierung. Dies ist vor allem deshalb zum Standard in vielen Unternehmen geworden, da der Primärauthentifikation am Desktop nicht vertraut werden kann.

Allerdings kann ein Unternehmen auch eine zentrale Authentisierungsinstanz implementieren und damit ein echtes, sicheres und komfortables SSO etablieren, und zwar mit einer passwortlosen, Desktop-basierten MFA-Lösung. Mit einem Smartphone oder mit einem Security-Key kann eine sicherere Multi-Faktor-Authentifizierung bereits bei der Primärauthentifizierung umgesetzt werden, eine sekundäre Authentifizierung ist für den Anwender damit nicht mehr erforderlich. Eine solche Lösung basiert auf einem Public-Key-Verschlüsselungsverfahren, das Passwörter durch sichere kryptografische, asymmetrische Schlüsselpaare ersetzt. Dabei werden die privaten Schlüssel auf dem mobilen Gerät beziehungsweise Security-Key des jeweiligen Benutzers sicher gespeichert und die öffentlichen Schlüssel auf einem passwortlosen Authentifizierungsserver abgelegt. Für die Mitarbeiter startet so die passwortlose, starke Authentifizierung in Sekunden gleich beim PC-Login. Damit ist auch ein Schutz vor potenziellen Angriffen zum frühestmöglichen Zeitpunkt gewährleistet.

Allerdings macht ein solches Lösungsszenario SSO-Lösungen keinesfalls überflüssig, schließlich übernehmen sie das Berechtigungsmanagement, also die Autorisierung. Einem User, der bereits eindeutig als vertrauenswürdig identifiziert ist, erlaubt die SSO-Lösung den Zugriff auf diejenigen Systeme, für die er autorisiert ist. Und wenn dieser Anwender einmal von einem nicht vertrauenswürdigen Gerät auf kritische Anwendungen Zugriff erlangen möchte, kommt nach wie vor eine Step-up-Authentifizierung in Frage, getriggert durch das Berechtigungsmanagement im SSO-System.

Für den Anwender ist eine sichere Primärauthentifizierung von erheblichem Vorteil, da er keine weiteren Authentifizierungsschritte durchlaufen muss. Und auch ein Unternehmen profitiert: Eine gänzlich passwortlose MFA bei der PC-Anmeldung des Users bietet eine höchstmögliche Sicherheit, denn damit wird das Passwort als eines der größten Sicherheitsrisiken überhaupt beseitigt.

Über den Autor

Jochen Koehler verantwortet seit 2021 die Region Zentraleuropa bei HYPR, dem führenden Anbieter passwortloser Multi-Faktor-Authentifizierungslösungen. Zu seinen Aufgaben gehört die Steigerung der Marktpräsenz, insbesondere der Auf- und Ausbau des DACH-Geschäfts. Mit der patentierten, auf dem Smartphone initiierten True-Passwordless-MFA-Lösung vereinfacht HYPR den Anmeldeprozess und verhindert dabei Angriffe, die auf schwache und gestohlene Passwörter zurückzuführen sind. Die HYPR-Lösung schützt Identitäten und bietet gleichzeitig einen hohen Benutzerkomfort.


Creative Commons Lizenz CC BY-ND 4.0

Sie dürfen:

Teilen — das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten und zwar für beliebige Zwecke, sogar kommerziell.

Der Lizenzgeber kann diese Freiheiten nicht widerrufen solange Sie sich an die Lizenzbedingungen halten.


Unter folgenden Bedingungen:

Namensnennung — Sie müssen angemessene Urheber- und Rechteangaben machen, einen Link zur Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden. Diese Angaben dürfen in jeder angemessenen Art und Weise gemacht werden, allerdings nicht so, dass der Eindruck entsteht, der Lizenzgeber unterstütze gerade Sie oder Ihre Nutzung besonders.

Keine Bearbeitungen — Wenn Sie das Material remixen, verändern oder darauf anderweitig direkt aufbauen, dürfen Sie die bearbeitete Fassung des Materials nicht verbreiten.