Schlagwort: Single Sign-on

Verbraucherzentrale NRW: Warnt vor „Single-Sign-On“ – Verfahren

21. Oktober 2022

Die Verbraucherzentrale NRW informierte vor Kurzem über die Risiken des sog. „Single-Sign-On“-Verfahrens. Hintergrund dieser Hilfestellung war eine Meldung von Facebook, der zufolge rund 400 Apps über die Anmeldeoption die Daten ihrer Nutzer stehlen konnten.

Einfaches Einloggen

Mittlerweile bieten eine Vielzahl an Apps und Webseite das Single-Sign-On-Verfahren an. Dem Nutzer soll es ermöglicht werden, sich einfach und schnell bei verschiedenen Onlineanwendung anzumelden. Demnach muss er nicht alle seine Anmeldedaten aufwendig eintippen, sondern kann sich beispielsweise über die Option „Login mit Facebook“ oder „Login mit Google“ anmelden. Das bereits erstelle Social-Media-Profil dient folglich zur Anmeldung oder Registrierung. Der Nutzer muss sich auf der verwendeten Webseite oder der verwendeten App kein weiteres Profil anlegen.

Aus Sicht der Verbraucherzentrale, berge dieses vereinfachte Anmeldeverfahren allerdings ein erhebliches Risiko. Wenn die Anmeldedaten des Nutzers in falsche Hände geraten, könne sich der Dritte Zugang zu sämtlichen Plattformen verschaffen. Dabei stelle die Anmeldung mittels „Single-Sign-On“ eine Art Generalschlüssel dar. Außerdem sei es möglich, dass der Webseitenbetreiber, der die Anmeldung über einen Social-Media-Account ermögliche, die Anmeldedaten nicht verschlüssele. Im Falle eines Diebstahls sei der Missbrauch folglich besonders leicht möglich.

Datendiebstahl über Facebook

Zusätzlich legte Facebook vor kurzem einen Datendiebstahl offen. Der Social-Media-Dienst teilte mit, dass sog. Malware-Apps die Daten von rund einer Millionen Facebook– Nutzern entwendet hätten. Dabei konnten Facebook-Nutzer verschiedene Apps für Android oder iOS herunterladen. Anschließend hätten die Apps ein „Login mit Facebook“ angeboten. Eine Anmeldung in der App sei allerdings nicht erfolgt. Stattdessen habe ein Phishing-Formular, die eingegebenen Daten an die hinter den Apps versteckten Hacker gesendet. Daraufhin übernahmen diese die Accounts der betroffenen Facebook-Nutzer.  

Mögliche Vorkehrungen

Aus Sicht der Verbraucherzentrale NRW könne jeder Nutzer Vorkehrungen treffen, um einen möglichen Datendiebstahl zu verhindern. Über die Datenschutzerklärung können die Nutzer sich darüber informieren, welche Daten Social-Media-Plattformen mit Webseiten- und App-Betreibern austauschen. Zusätzliche sollte der Nutzer, bei Verwendung des „Single-Sing-On“-Verfahrens ein starkes Passwort wählen. Dieses könne außerdem durch die Zwei-Faktor-Authentifizierung abgesichert werden. Im Falle eines Sicherheitslecks sei das Passwort sofort zu ändern und auf ungewöhnliche Zahlungsvorgänge auf dem eigenen Konto zu achten.

Kategorien: Allgemein · Hackerangriffe · Schadsoftware · Social Media
Schlagwörter: , , ,

Single Sign-on-Dienst-Hersteller OneLogin wurde gehackt

8. Juni 2017

OneLogin wurde in der vergangenen Woche Opfer eines Hackerangriffs.

Das Unternehmen ist ein Single Sign-on-Dienst-Hersteller. Single Sign-on-Dienste werden hauptsächlich von Unternehmen eingesetzt und erleichtern deren Mitarbeitern das Einloggen. Mit Hilfe dieser Systeme müssen die Mitarbeiter sich nicht für jeden Dienst den sie nutzen einzeln anmelden, sondern sie melden sich nur einmalig an und können dann verschiedene Dienste nutzen für die sonst eine separate Passwort-Eingabe notwendig ist. Auf der einen Seite eine Arbeitsbeschleunigung, auf der anderen Seite aber auch ein beliebtes Angriffsziel für Hacker.

Wie OneLogin am 31.Mai bekannt gab kam es zu einem Angriff. Der Hacker ist über die Amazon Web Services (AWS) in die Systeme des Unternehmens eingedrungen und hatte Zugriff auf diverse Datenbanken. Der Hacker wurde sieben Stunden lang nicht bemerkt. Erst dann stellten Angestellte ungewöhnliche Datenbankaktivitäten fest und stellten den betroffenen Cloud-Server ab, wie Alvaro Hoyos, Sicherheits-Chef von OneLogin, auf dem firmeneigenen Blog bekannt gibt.

Nicht bekannt, aber auch nicht auszuschließen ist, ob der Hacker die gespeicherten Daten entschlüsseln konnte.

Kunden empfiehlt OneLogin alle Kennwörter und Zertifikate zu ändern, um sicher zu gehen, dass Außenstehende keinen Zugriff auf die Daten bekommen.

Dieser Hackerangriff ist nicht der ersten für OneLogin. Bereits im Jahre 2016 kam es zu einem Angriff auf die Systeme des Unternehmens.

Kategorien: Hackerangriffe
Schlagwörter: ,