Zum Dossier 'Temu-Strategie'
SSO offen: Single-Sign-On-Systeme gehackt
10.08.2012 Als praktisches Mittel gegen die Flut von Mehrfachanmeldungen gilt 'Single Sign-On'. Hier weist sich der Nutzer genau einmal aus, alle weiteren Authentifizierungen erfolgen automatisch. Dass die Einmal-Anmeldung jedoch längst nicht so sicher ist wie bislang angenommen, zeigen jetzt Forscher vom Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität Bochum: Ungefähr 80 Prozent der untersuchten Systeme wiesen massive Sicherheitslücken auf. Auch CMS sind betroffen.
Die Wissenschaftler testeten 14 weit verbreitete SAML-Anbieter und -Systeme. Davon wiesen 12 kritische Lücken auf. Anfällig waren unter anderem der Cloud-Anbieter Salesforce , das IBM DataPower Security Gateway , Onelogin (benutzt in Joomla , Wordpress , SugarCRM und Drupal ) sowie das Framework OpenSAML (Shibboleth und SuisseID ).
Gegenmaßnahmen haben die Forscher nun in einem Paper vorgeschlagen .