Softwareentwicklung

Frühjahrsputz für eine effektive Accountverwaltung

Autor dieses Artikels ist Lauritz Holtmann. Lauritz ist Berater zum Thema IT-Sicherheit und unterstützt Unternehmen beim Finden und Beheben von Sicherheitslücken.

Inhalt des Artikels

Zusammenfassung

Das Passwortchaos entsteht durch die Nutzung vieler Online-Dienste mit separaten Accounts, was oft zu schwachen oder wiederholten Passwörtern führt. Eine Lösung bietet Single Sign-On (SSO), welches eine einheitliche Benutzererfahrung durch einen einzigen Account ermöglicht. Es erlaubt die nahtlose Integration von Drittanbietern, ohne erneuten Log-in, und ermöglicht ein granulares Rechtemanagement. Zugangsdaten werden zentral verwaltet, und Dienste erhalten nur temporäre Tokens, was die Sicherheit erhöht.

Wodurch entsteht das Passwortchaos?

In unserem Arbeitsalltag verwenden wir eine Vielzahl von unterschiedlichen Online-Tools für kleinere und größere Aufgaben. Bei je einem Account für mindestens das Ticketsystem, den Firmenchat, die Videokonferenzlösung und die Versionsverwaltung für Software-Entwicklungsprojekte oder Fachanwendungen ist das Accountchaos vorprogrammiert. Aus Bequemlichkeit tendieren Nutzer*innen bei zahlreichen unabhängigen Accounts und Log-ins schnell dazu, schwache Passwörter zu wählen oder Passwörter gar wiederzuverwenden. 

Biete ich auf einer Plattform meinen Kunden mehrere unabhängige Anwendungen an, etwa einen Shop und eine Support-Seite, welche jedoch nicht denselben Account und unterschiedliche Zugangsdaten verwenden, so ist das Passwortchaos erst recht vorprogrammiert.

Die Lösung: Single Sign-On

Speziell als Plattformbetreiber*in bietet die Implementierung eines zentralen Log-in-Providers zahlreiche Vorteile. Der größte Unterschied aus Perspektive der Nutzer*innen liegt hierbei auf der Hand: Die Benutzererfahrung erscheint einheitlich und aus einem Guss. Nutzer*innen benötigen nur einen Account für alle Dienste der Plattform und verwenden dabei (hoffentlich) ein einziges, aber dafür starkes Passwort.

In den vergangenen Jahren hat sich hier Single Sign-On (SSO) als verbreitete Lösung, sowohl im privaten als auch dienstlichen Kontext, herauskristallisiert. Jedem fallen sicher auf die Schnelle im privaten Kontext mindestens eine Handvoll Webseiten ein, welche das Einloggen per Google oder Facebook unterstützen. Im privaten Bereich kommt hierbei zumeist OpenID Connect (OIDC, basierend auf OAuth) zum Einsatz, im Enterprise-Kontext traditionell oft noch die Security Assertion Markup Language (SAML).

Traditionelles Schema mit vielen Passwörtern vs. einem Passwort für alle Dienste

Nahtlose Integration von Drittanbietern

Durch die nahtlose Integration von Drittanbietern ist der Wechsel zwischen verschiedenen Diensten ohne erneuten Log-in oder Registrierung möglich. Hierzu gehören unter anderem die folgenden extern und intern angebotenen Funktionen:

  • Zugriff auf Schulungsmaterialien
  • Nicht öffentliche Informationen wie Produktvorankündigungen 
  • Marketing-Materialien
  • Betrieb eines Support-Portals
  • Partner-Shops mit Affiliate Konditionen

Hierbei findet eine konzeptionelle Trennung zwischen der Authentifizierung (Wer ist der/die Nutzer*in?) und der Autorisierung (Was darf der/die Nutzer*in?) statt. So wird unter anderem ein granulares Rechtemanagement möglich, bei dem genau definiert werden kann, auf welche Informationen ein Diensteanbieter Zugriff erhält (E-Mail, Standort, Kundennummer …) und welche Funktionalitäten von Nutzer*innen verwendet werden dürfen.

Zur Steigerung der Sicherheit werden die Zugangsdaten von Nutzer*innen ausschließlich auf dem zentralen Log-in-Provider verwaltet. Diensteanbieter erhalten lediglich kurzzeitig gültige „Token“, welche regelmäßig erneuert werden.

Bessere UX da kein erneuter Log-in nötig ist auf verschiedenen Anwendungen

Die Erweiterung ist dabei flexibel, denn jede neue Anwendung wird als separater Client beim Log-in-Provider konfiguriert und kann so in der Regel ohne Programmierung und mit wenig Aufwand angebunden werden.