27.10.2005, 19:46 Uhr
Sicherer und effizienter mit Single Sign-On
Jede Woche beantworten Sicherheitsexperten Leserfragen und geben Ratschläge, wie sich die Sicherheit in einem Unternehmen erhöhen lässt.
Frage: Seit wir die interne «Password Policy» verschärft haben, haben viele Mitarbeiter Mühe mit komplexen Passwörtern. Der Supportaufwand wegen vergessener Passwörter ist gestiegen und beim Audit stellte sich heraus, dass es immer noch Mitarbeiter gibt, die ihre Passwörter aufschreiben. Welches Authentisierungsverfahren können Sie uns empfehlen?
Die Methode des Single Sign-On (SSO) ist der Schlüssel zu Ihrem Problem. Mit der richtigen SSO-Lösung authentisieren sich Ihre Mitarbeiter mit einer einzigen Anmeldung am System und erhalten dann Zugang zu allen Ressourcen, für die sie autorisiert sind. Mit SSO erreichen Sie nebst besserer Sicherheit eine hohe Benutzerakzeptanz und eine wesentliche Verringerung der passwortrelevanten Helpdesk-Anfragen im Unternehmen - und damit auch eine beträchtliche Steigerung der Produktivität.
Da nicht alle Anwendungen die gleichen Anforderungen an die Sicherheit stellen, sollte ein SSO-System diverse Authentisierungsverfahren flexibel handhaben können. Nachfolgend werden die verschiedenen Verfahren aufgezeigt:
Da nicht alle Anwendungen die gleichen Anforderungen an die Sicherheit stellen, sollte ein SSO-System diverse Authentisierungsverfahren flexibel handhaben können. Nachfolgend werden die verschiedenen Verfahren aufgezeigt:
Ticket-Systeme
Ticket-Systeme verwenden vertrauenswürdige Server zur zent-ralen Authentisierung und für die Verwaltung der Benutzererkennung. Nach erfolgter Identifikation des Anwenders werden fälschungssichere, zeitlich begrenzte Tickets erstellt, um den Benutzer bei Bedarf in autorisierten Systemen anzumelden. Da die Zielsysteme in der Lage sein müssen, anstelle herkömmlicher Verfahren Tickets zu verwenden, muss mit einem hohen Integrationsaufwand gerechnet werden. Die Folge ist, dass nur eine beschränkte Anzahl Anwendungen in die Ticket-Systeme integriert werden.
Einmal-Passwörter
Mit Lösungen für Einmal-Passwörter (OTP; One-Time-Password) können sichere, plattform-unabhängige Authentisierungsverfahren mit geringem Zeit- und Kostenaufwand aufgebaut werden. Das Passwort wird hierbei durch ein Einmal-Passwort ergänzt, das in einem Hard- oder Software-Modul (Token) anhand eines kryptologischen Verfahrens zufällig erzeugt und in seiner Verwendung hinsichtlich Zeitintervall oder Ereignis beschränkt wird. In Kombination mit einer PIN wird die Sicherheit dieses Systems zusätzlich erhöht, in dem sie sich auf die zwei Faktoren Wissen und Besitz (Token) stützt.
Smartcards
Intelligente Smartcards bieten nicht nur hohen Benutzerkomfort, sondern erfüllen auch höchste Sicherheitsanforderungen. Smartcards mit eingebautem Kryptoprozessor bieten den besten verfügbaren Schutz für persönliche Geheimelemente wie Passwörter und Zertifikate. Ähnlich dem Prinzip von Kreditkarten basiert die Sicherheit dabei auf Wissen (PIN) und Besitz (Karte). Smartcards ermöglichen auf Grund der gleichzeitigen Unterstützung herkömmlicher und zertifikatsbasierter Identifikationsverfahren eine rasche, umfassende Implementierung der Single-Sign-On-Methode in Unternehmen, da bestehende Verfahren einfach weitergeführt und neue Mechanismen parallel dazu ohne Prob-leme eingeführt werden können. Gleichzeitig ist eine für den Benutzer transparente Migration von der schwachen zur starken Authentisierung jederzeit möglich.
Identity Management
Dem eigentlichen Authentisierungsverfahren vorgelagert
ist das Identity Management. Es hat besonders bei den Token-basierten Lösungen mit SecurID und Smartcards einen wesentlichen Stellenwert. Für den Benutzer ist es wichtig, dass er über den gesamten Lebenszyklus des Tokens effizient unterstützt werden kann. Smartcards werden sich künftig für alle internen Anwendungen durchsetzen. Die OTP-Lösungen werden aber vorwiegend für externe oder mobile Anwender die beste Lösung sein. Die führenden Anbieter von Authentisierungsverfahren bieten deshalb heute schon kombinierte Tokens an.
ist das Identity Management. Es hat besonders bei den Token-basierten Lösungen mit SecurID und Smartcards einen wesentlichen Stellenwert. Für den Benutzer ist es wichtig, dass er über den gesamten Lebenszyklus des Tokens effizient unterstützt werden kann. Smartcards werden sich künftig für alle internen Anwendungen durchsetzen. Die OTP-Lösungen werden aber vorwiegend für externe oder mobile Anwender die beste Lösung sein. Die führenden Anbieter von Authentisierungsverfahren bieten deshalb heute schon kombinierte Tokens an.
Reto Grnnenfelder