Immer mehr Webdienste bieten ihren Nutzern die Möglichkeit an, auf eine herkömmliche Registrierung zu verzichten, und sich stattdessen z.B. via "Facebook Connect" oder "Sign in with Twitter" anzumelden. Aufgrund der aktuellen Vorfälle rund um den Hack von
"TweetGif" möchten wir auf die Vor- bzw. Nachteile eines solchen Single Sign-on Systems im Web hinweisen.
Was ist ein Single Sign-on System
Durch die enorm wachsende Zahl an Webdiensten die viele User Tag für Tag nutzen, ist es natürlich auch notwendig für jeden die meisten Dienste ein eigenes Profil anzulegen, was wiederum in verschiedensten Kombinationen aus Benutzernamen und Passwörtern resultiert.
Genau hier setzen Single Sign-on Dienste wie "Facebook Connect", "Sign in with Twitter" oder "OpenID" an: sie bieten Drittanbietern (Apps, Blogs, etc.) an, die vorhandenen Benutzerdaten (OpenID) und Profilinformationen (FB Connect, Twitter) für eben diese zu verwenden - somit braucht man sich um eine weitere Pflege der (Profil-)Daten nicht weiter zu kümmern, da alles "zentral" im Konto bei Facebook oder Twitter passiert (Anm.: mit OpenID kann man sich nur einloggen, muss das Profil aber wieder für den jeweiligen Dienst mit Daten befüllen).
Ablauf des Verfahrens
1. Der Benutzer klickt auf einen Connect-Button (FB Connect, Sign in with Twitter, etc.)
2. er wird zu der gewählten Plattform weitergeleitet
3. er authentifiziert sich und autorisiert die Anfrage des gewünschten Dienstes
4. und wird wieder auf die Ausgangsplattform geleitet
Nachteile des Systems
Bei der Autorisierung von Drittanbieter-Diensten werden sogenannte Zugangstoken erstellt, welche den Diensten später den Zugriff auf die Account-Daten, ohne erneute Autorisierung (Authentifizierung reicht aus, d.h. Benutzername und Passwort), ermöglichen. Genau hier liegt aber das Problem, denn selbst beim Ändern des Passworts für z.B. Facebook oder Twitter, werden diese Zugangstoken nicht verändert, somit haben bereits autorisierte Drittanbieter weiterhin Zugriff auf die Daten. Im Falle des Hacks von "TweetGif" konnten die Anfreiger dann auf ca. 8000 Twitter-Accounts - ohne Passwörter - zugreifen. Die Wahrscheinlichkeit, dass Plattformen wie Facebook oder Twitter selbst gehackt werden, ist relativ gering, allerdings stellt jeder weitere Dienst, der auf die Daten zugreifen kann, ein potentielles Sicherheitsrisiko dar.
Quellen:
heise.de,
t3n.deAutor: