SSO vs. Kennwortmanagementlösungen: alles, was Sie wissen müssen

Es stimmt, dass Kennwortmanagerlösungen und Single Sign-on (SSO) denselben Zweck verfolgen: Benutzern die Anmeldung bei verschiedenen Anwendungen zu erleichtern. Bei beiden Methoden erhält ein Benutzer mit einer einzigen Anmeldung Zugriff auf verschiedene Websites und Anwendungen. Diese Ähnlichkeiten sind der Grund, warum viele Menschen sich oft fragen, ob SSO und Kennwortmanager dasselbe sind.

Nun, das sind sie nicht. Beide Methoden unterstützen die Anmeldung bei mehreren Anwendungen, aber auf grundlegend unterschiedliche Weise. In diesem Artikel gehen wir näher auf diese Unterschiede ein und helfen Ihnen, eine Lösung zu finden, die für Ihr Unternehmen am besten geeignet ist.

Normalerweise speichern Kennwortmanagementlösungen die Kennwörter der Benutzer in einem sicheren Kennworttresor. Der Zugriff auf einen Kennwortmanager wird durch ein Hauptkennwort geschützt. Hierbei meldet sich der Benutzer einmal täglich mit seinem Hauptkennwort beim Kennwortmanager an. Danach trägt der Kennwortmanager automatisch die Kennwörter des Benutzers für alle autorisierten Anwendungen und Websites ein.

Der Anmeldevorgang ist für den Benutzer sehr bequem, da eine einzige Anmeldung den Zugriff auf alle bevorzugten Anwendungen und Websites ermöglicht. Dies ist auch ein Anreiz für die Verwendung komplexer Kennwörter. Da Benutzer nur ein einziges Kennwort erstellen und merken müssen, ist es wahrscheinlicher, dass ein sicheres und schwer zu erratendes Kennwort genutzt wird.

Kennwortmanager haben immer noch ein inhärentes Problem: Kennwörter. Selbst wenn die Kennwörter komplex und scheinbar unmöglich zu erraten sind, sind sie dennoch anfällig für Social Engineering, Phishing und Brute-Force-Angriffe – und das so sehr, dass unsachgemäß geschützte Kennwörter für 81 % aller Datenschutzverletzungen verantwortlich sind.

Eine Kompromittierung des Hauptkennworts würde einem Cyberkriminellen den Zugriff auf sämtliche Anwendungen und Systeme ermöglichen, auf die ein Benutzer Zugriff hat. So entsteht ein zentraler Schwachpunkt.

SSO hingegen geht über die alleinige Verwendung von Kennwörtern zur Authentifizierung hinaus. Der Zugriff wird auf Grundlage von Vertrauen gewährt. SSO stellt Vertrauensbeziehungen zwischen verschiedenen Anwendungen her und verwendet diese, um zu entscheiden, ob dem Benutzer Zugriff gewährt werden soll.

Die Identitätsattribute eines Benutzers (z. B. Benutzername/Kennwort, Geräte-IDs, geografischer Standort usw.) werden gespeichert und bei der Anmeldung überprüft (auch bekannt als Identitätsverbund). Diese Attribute werden ebenso von anderen vertrauenswürdigen Anwendungen und Systemen genutzt. Das bedeutet, dass ein Benutzer, der von einem System als vertrauenswürdig eingestuft wird, automatisch von anderen Systemen als vertrauenswürdig eingestuft wird, sofern eine Vertrauensbeziehung zwischen diesen Systemen besteht. So müssen Sie keine weiteren Kennwörter verwalten.

Moderne SSO-Anwendungen ermöglichen den Identitätsverbund mithilfe von Protokollen wie SAML 2.0 und OpenID Connect. Das Beste an SSO ist, dass Sie jedes System verbinden können, das die Nutzung eines Identitätsverbunds unterstützt. So können Sie beispielsweise Ihre VPNs, Firewalls, Smartphone-Apps, Cloud- und On-Premises-Ressourcen integrieren. Das gleiche Maß an Interoperabilität ist bei Kennwortmanagern nicht gegeben.

Moderne SSO-Anwendungen ermöglichen es Administratoren, verschiedene Attribute einer Anmeldeanfrage zu sammeln (z. B. IP-Adresse, Geräte-ID, angeforderte Ressource, Browser usw.) und sie zur Erstellung von Anmeldekontext zu verwenden. Dieser Kontext kann dann verwendet werden, um maßgeschneiderte Zugriffsrichtlinien zu erstellen.

Wenn beispielsweise von einem unbekannten Gerät auf eine interne Ressource zugegriffen wird, sollte die Anfrage abgelehnt werden, auch wenn die angegebenen Anmeldeinformationen korrekt sind. Oder wenn die IP-Adresse eines Benutzers außerhalb des konfigurierten IP-Bereichs liegt, sollte er auf den Bildschirm für die Multi-Faktor-Authentifizierung (MFA) umgeleitet werden.

• Benutzer müssen sich nur ein Hauptkennwort merken
• Kennwörter können automatisch generiert und zurückgesetzt werden
• Da sich ein Benutzer nur ein einziges Kennwort merken muss, ist es wahrscheinlicher, dass das Kennwort so komplex wie möglich ist

• Kennwörter sind anfällig für Phishing, Social Engineering und Wörterbuchangriffe
• Alle sensiblen Daten an einem Ort zu speichern ist nie eine gute Idee
• Die IT-Abteilung hat nur begrenzte Kontrolle über den Anmeldeprozess und kann keine individuellen Authentifizierungsrichtlinien erstellen
• Wenn Sie Ihr Hauptkennwort vergessen, verlieren Sie den Zugriff auf alles – und das Zurücksetzen von Hauptkennwörtern ist zeitaufwendig

• SSO bietet Benutzern den Komfort einer einzigen Anmeldung und gewährleistet gleichzeitig ein hohes Maß an Sicherheit
• Anstelle von mehreren Kennwörtern werden anwendungsübergreifende Vertrauensbeziehungen verwendet
• Die IT-Abteilung kann den Anmeldekontext beurteilen und entsprechende Zugriffsrichtlinien erstellen
• Selbst wenn Anmeldeinformationen kompromittiert werden, können Richtlinien zur Erkennung von Anomalien greifen und den Zugriff verweigern
• Alle Anwendungen, die den Identitätsverbund unterstützen, können integriert werden
• Standardisierte Protokolle wie SAML 2.0 und OpenID Connect können verwendet werden, um die Übertragung sensibler Benutzerdaten zu sichern

• Die Implementierung und Konfiguration von SSO-Lösungen kann einige Zeit in Anspruch nehmen
• Die Integration mit Legacy-Anwendungen kann schwierig sein

In den meisten Fällen ist es sinnvoll, SSO einer kennwortbasierten Verwaltungslösung vorzuziehen. SSO ist der moderne Ansatz und ermöglicht eine geringere Abhängigkeit von Kennwörtern, individuelle Zugriffsrichtlinien und erweiterte Interoperabilität. Das bedeutet jedoch nicht, dass Sie niemals einen Kennwortmanager in Betracht ziehen sollten.

In bestimmten Situationen ist die Wahl eines Kennwortmanagers anstelle von SSO die richtige Entscheidung. Wenn Sie beispielsweise mehrere Legacy-Anwendungen haben, die nicht mit SAML kompatibel sind, ist ein Kennwortmanager absolut die ideale Wahl.

Wichtig ist, dass Sie Ihre Optionen richtig abwägen, bevor Sie sich entscheiden. Machen Sie sich mit den Vor- und Nachteilen der jeweiligen Methode vertraut. Informieren Sie sich, wie die Technologien Ihre Unternehmensanforderungen unterstützen und treffen Sie dann eine durchdachte Entscheidung.