Tech

Single-Sign-On: Mit einem Klick überall anmelden



Mit der „Einmalanmeldung“ lassen sich viele Passwortprobleme komplett umgehen. Allerdings hat dieses Verfahren auch einige Nachteile. Wir wägen die Argumente für und gegen die Einmalanwendung ab und zeigen Alternativen.

Passwörter nerven. Man braucht für jeden Log-in ein neues, und kompliziert muss es auch sein. Einige Nutzer befreien sich von den lästigen Anmeldeprozeduren mit einem Passwortmanager. Andere setzen auf Single Sign-on (SSO), auf Deutsch auch „Einmalanmeldung“ genannt. Die gibt es zwar nicht für alle Websites und Dienste, aber für viele. Zu den bekanntesten SSO-Diensten zählen Apple, Facebook, Google und Twitter. Aus Deutschland stammen die Dienste Mobile Connect, Verimi und Net-ID.

Das Prinzip: So funktioniert Single Sign-on

Der praktische Nutzen von SSO ist offensichtlich. Sie melden sich einmalig bei einem SSO-Dienst an, beispielsweise

bei Google
. Von da an können Sie sich einfach per Klick in jede Website und App einloggen, die den Button „Log-in mit Google“ oder ähnlich lautend anbietet. Nach dem ersten Klick bestätigen Sie Google einmalig, dass Sie sich bei dem Dienst anmelden wollen. Google sendet ihm dann eine Nachricht (Token), die besagt: Diese Person ist uns bekannt. Und schon sind Sie drin. Die neue Website bekommt Ihr Passwort niemals zu sehen. Und Sie müssen sich für diese Website keine eigenen Log-in-Daten merken.

Die technische Beschreibung von SSO ist etwas komplizierter. Das Konzept von SSO wird als föderierte Identität bezeichnet. Das föderierte Identitätssysteme übernimmt dabei die Aufgaben von Authentifizierung, Autorisierung, Austausch von Benutzerattributen und Benutzerverwaltung. Den technischen Standard dazu liefert unter anderem die

Open ID Foundation
 mit Open ID Connect. Allerdings nutzen viele SSO-Dienste eigene Entwicklungen. Ausführliche Infos zur technischen Seite von SSO finden Sie

hier
.

Verbreitung von SSO: Facebook liegt vorne

Hier können Sie sich per SSO mit Facebook, Google oder Apple anmelden. Natürlich gibt es auch die Standardanmeldung mit Mailadresse und Passwort.

Vergrößern

Hier können Sie sich per SSO mit Facebook, Google oder Apple anmelden. Natürlich gibt es auch die Standardanmeldung mit Mailadresse und Passwort.

In vielen Unternehmen wird SSO seit Jahren intensiv genutzt. Denn sowohl Administrator als auch Nutzer sind froh, wenn sie nur einen Log-in für die vielen firmeneigenen Dienste verwalten müssen. Lösungen gibt es etwa von IBM, Okta, Oracle und SAP. Allerdings hat die beschleunigte Digitalisierung der letzten Jahre etliche neue Dienste ins Unternehmen gebracht, die sich teilweise nicht in das vorhandene SSO-System integrieren lassen. Ein To-do für viele Firmen. Infos zu SSO im Geschäftsumfeld finden Sie

hier
.

Im privaten Bereich hat vor allem Facebook für die starke Verbreitung von SSO-Möglichkeiten in den letzten 10 Jahren gesorgt. Dabei half nicht nur, dass viele Nutzer bereits einen Facebook-Account hatten. Facebook hat es zudem für die Betreiber von Webseiten und von Apps überaus attraktiv gemacht, den Facebook-Log-in-Button einzubauen. Denn zumindest in den ersten Jahren erhielten die Firmen zusätzlich zum Benutzernamen des Anwenders auch eine Menge Daten über ihn, etwa die Freundeslisten, Zugriff auf seine Likes bei Facebook oder gar Zugriff auf seinen Status. Solche persönlichen Daten sind für Unternehmen sehr interessant. So kann zum Beispiel ein Onlineshop seinem Kunden gleich die Waren präsentieren, die zu seinen Likes bei Facebook passen. Facebook wiederum hat über den Log-in erfahren, welche Websites ein Nutzer außerhalb des sozialen Netzwerks besucht und konnte so das Werbeprofil seines Nutzers schärfen.

Auch viele Apps bieten SSO-Log-ins. Vor allem Facebook ist bei App-Programmierern für die Kontoeröffnung beliebt.

Vergrößern

Auch viele Apps bieten SSO-Log-ins. Vor allem Facebook ist bei App-Programmierern für die Kontoeröffnung beliebt.

Mittlerweile soll allerdings der Datenfluss von Facebook in Richtung Apps und Websites weitgehend gestoppt sein. Zumindest zeigt Facebook beim ersten Log-in in einen neuen Dienst an, welche Daten noch fließen. Und diese lassen sich teilweise manuell reduzieren. Mittlerweile gibt es viele weitere SSO-Anbieter, von denen einige angeben, keine oder kaum Daten zu sammeln. Das ist etwa bei der Apple ID der Fall. Allerdings setzt Apple den Besitz eines Apple-Gerätes voraus, etwa eines iPhones.

Lesetipp:

Passwortloser Log-in in das Google-Konto

Die Vorteile von SSO: Sie erhöhen die Sicherheit

Einfach:

Sie müssen sich nur einmal beim SSO-Dienst anmelden, etwa per Benutzername und Passwort. Alle weiteren Log-ins bei Websites und Apps erfolgen passwortlos mit einem Klick. Das reduziert die Gefahr, dass Anwender stets dasselbe Passwort für alle ihre Dienste verwenden.

Zwei-Faktor-Sicherheit:

Die Anmeldung beim SSO-Dienst selber lässt sich mit einem zweiten Faktor absichern, etwa per SMS-Code, Fingerabdruck oder Authenticator-App. So ist dieser Log-in sehr gut geschützt.

Kein Passwort für die anderen Dienste:

Der Log-in per SSO verrät den teilnehmenden Diensten keines Ihrer Passwörter. Es wird lediglich Ihr Benutzername übertragen, unter Umständen ergänzt um weitere Profildaten.

In dem Konto bei Ihrem SSO-Anbieter, hier Google, haben Sie die Möglichkeit, sich aus einzelnen oder allen Diensten abzumelden, bei denen Sie per SSO angemeldet sind.

Vergrößern

In dem Konto bei Ihrem SSO-Anbieter, hier Google, haben Sie die Möglichkeit, sich aus einzelnen oder allen Diensten abzumelden, bei denen Sie per SSO angemeldet sind.

Einfach abmelden:

Sie können sich zentral beim SSO-Dienst aus einzelnen oder allen genutzten Websites abmelden. Das ist etwa dann hilfreich, wenn Sie Ihr Smartphone oder Notebook verloren haben. Ein unehrlicher Finder kann die Log-ins dann nicht mehr nutzen.

Weniger Chancen für Hacker:

Viele Passwörter werden mit Phishing-Angriffen gestohlen. Hacker versenden gefälschte Mails, die vorgeblich etwa von einem Onlineshop stammen und das Passwort des Empfängers entlocken sollen. Wenn Sie bei den meisten Diensten kein Passwort mehr nutzen, können Sie es auch nicht verraten.

Sicherheit von Profis:

IT-Sicherheit ist eine komplexe, fortwährende Aufgabe. Bei Facebook, Google & Co. arbeiten Spezialisten, die für die Sicherheit ihres SSO-Systems sorgen. Die Betreiber von kleinen Websites oder Onlineshops haben selten Zugriff auf ähnlich gut ausgebildete Experten.

In den Einstellungen in Ihrem Facebook-Konto sehen Sie unter „Apps und Websites“, wo Sie sich überall mit dem Facebook-Log-in angemeldet haben. Nach einiger Zeit meldet Sie Facebook automatisch ab.

Vergrößern

In den Einstellungen in Ihrem Facebook-Konto sehen Sie unter „Apps und Websites“, wo Sie sich überall mit dem Facebook-Log-in angemeldet haben. Nach einiger Zeit meldet Sie Facebook automatisch ab.

Nachteile von SSO: Privatnutzer zahlen mit Daten

Verbreitung:

Zwar bieten mittlerweile viele Websites und Apps SSO-Log-ins an, aber bei weitem nicht alle. Sie kommen also um alternative Anmeldetechniken, etwa per Passwortmanager nicht herum.

Es hängt an einem Passwort:

Das scheinbar stärkste Gegenargument gegen SSO ist, dass der Log-in bei allen genutzten Seiten an nur einem Passwort hängt. Hat ein Hacker Zugriff auf Ihren SSO-Dienst, kann er sich überall damit einloggen. Sogar in Dienste, die Sie noch gar nicht nutzen.

Allerdings ist dieses Argument nicht so stark, wie es scheint: Denn wenn Sie den SSO-Dienst mit einer starken Authentifizierung schützen, etwa per Fingerabdruck, ist die Gefahr eines erfolgreichen Angriffs gering. Außerdem ist die Alternative zu SSO ganz genauso anfällig, denn diese ist fast immer eine Registrierung auf der Website mit Mailadresse und Passwort.

Erhält nun ein Hacker Zugriff auf Ihr Mailpostfach, so hat er auch Zugriff auf alle Websites und Dienste, bei denen Sie sich damit angemeldet haben. Über die fast immer vorhandene Funktion „Passwort zurücksetzen“ kann der Hacker alle diese Logins übernehmen.

Auf der Website Have I been pwned (Wurde ich gehackt) sehen Sie, wie viele gestohlene Log-in- Daten bereits im Internet kursieren. Sie können dort auch Ihre eigene Mailadresse überprüfen.

Vergrößern

Auf der Website Have I been pwned (Wurde ich gehackt) sehen Sie, wie viele gestohlene Log-in- Daten bereits im Internet kursieren. Sie können dort auch Ihre eigene Mailadresse überprüfen.

Ausfallzeiten:

Sollte Ihr SSO-Dienstleister einmal wegen eines technischen Defekts ausfallen, ist kein Log-in möglich. In vielen Fällen gibt es dann auch keine Fall-Back-Lösung, da der Onlinedienst ja kein Passwort von Ihnen hat. Sie müssen warten, bis der SSO-Dienstleister wieder funktioniert.

Datenweitergabe:

Das Plus an Komfort und Sicherheit erkaufen Sie mit der Preisgabe Ihrer Daten. Wenn Sie den Google- Log-in zum Beispiel auf der Website

www.runtastic.com
nutzen, dann erfährt Google, dass Sie gerne laufen und Ihr Training zudem per App überwachen. Das ist gut für Google, denn nun kann es Ihnen mehr Werbung anzeigen. Auch die meisten anderen universellen Log-in-Dienste sind primär an Ihren Daten interessiert.

Tatsächlich ist der Abfluss von persönlichen Daten das wichtigste Argument gegen die Nutzung von SSO-Diensten. Zumindest für Nutzer, denen die Werbeindustrie mit ihren Datenprofilen zuwider ist.

Welche Alternativen zu einer sicheren Anmeldung gibt es?

Ein Passwortmanager erzeugt beliebig lange und komplexe Passwörter und füllt diese auf Wunsch automatisch in die passenden Webseiten ein.

Vergrößern

Ein Passwortmanager erzeugt beliebig lange und komplexe Passwörter und füllt diese auf Wunsch automatisch in die passenden Webseiten ein.

Statt einer Anmeldung per SSO wird bei den meisten Websites und Apps auch ein gewohnter Log-in per Benutzername und Passwort angeboten. Dieser Standard ist in seiner Grundform allerdings die schlechteste Wahl. Dafür gibt es 10.467.311.280 Gründe. Denn so viele Log-in-Daten sind bereits gestohlen worden und kursieren im Internet. Ein Blick auf die Website

https://haveibeenpwned.com
liefert Ihnen unter „pwned accounts“ die aktuelle Zahl. Große und kleine Webseiten werden immer wieder das Opfer von Hacker-Angriffen, in deren Folge oft die gesamte Nutzerdatenbank der Website gestohlen wird. Diese Zahl zeigt, dass Ihre Log-in-Daten bei vielen Websites in schlechten Händen sind. Je weniger Daten Sie von sich preisgeben, desto besser.

Wenn Sie aber eine Standardanmeldung nutzen, dann sollten Sie das Erstellen eines einmaligen und komplizierten Passworts

Ihrem Passwortmanager
 überlassen. Setzen Sie, wann immer das möglich ist, zudem

eine Zwei-Faktor-Authentifizierung
 ein. Das macht die Übernahme des Dienstes durch einen Angreifer unwahrscheinlich. Fein raus sind Sie, wenn ein Dienst

den passwortlosen Log-in nach dem Fido-2-Standard
 anbietet. Allerdings ist das bislang sehr selten.

Wie sicher ist ein SSO-Log-in mit Facebook & Co.?

Sie möchten wissen, ob der Log-in auf einer beliebigen Website mit Facebook (oder Google & Co.) empfehlenswert ist, oder ob Sie mit einer gewöhnlichen Registrierung per Benutzername und Passwort besser dran sind. Die rein technische Antwort darauf ist eindeutig: Nehmen Sie den SSO-Log- in per Facebook (oder Google oder Twitter oder Apple). Ihre Log-in-Daten sind so besser geschützt als durch eine Standardregistrierung auf der Website.

Auf der anderen Seite:

Die Platzhirsche beim SSO sind Facebook und Google. Doch diese beiden betreiben die Dienste hauptsächlich, um mehr Daten über Sie sammeln zu können, um Ihr Werbeprofil zu verfeinern. Für viele Nutzer ist das ein Showstopper. Andere kümmert das kaum oder ist gar dankbar, wenn die angezeigte Werbung zu den eigenen Interessen passt.

Lesetipp:

Windows 10 Passwort entfernen – automatisch anmelden

Tags

Related Articles

Back to top button
Close
Close