Claims richtig abstecken
Nicht alle Cloud-Angebote sind unsicher - im Gegenteil bieten sie doch die Chance, endlich Sicherheitsfunktionen dort einzubauen, wo die eigenen vier Wände dies nicht notwendig erscheinen ließen. Nutzen etwa viele interne Benutzer eine wichtige Anwendung mit dem gleichen Passwort und erfordert demgegenüber eine gehostete Lösung, dass sich jeder User individuell anmeldet, hat sich die Güte der Maßnahmen schon bestätigt. So lässt sich nämlich im Schadensfall viel besser nachvollziehen, wer der Verantwortliche ist - sei es, dass er Daten stiehlt oder dass er fahrlässig mit seiner Zugangsinfrastruktur wie Passwort oder Token umgeht.
Renaissance der Passwörter
Das wirft jedoch ein bedenkliches Licht auf eine Thematik, die bereits überwunden schien: Der Einsatz von Passwörtern ist bei den meisten Cloud-Angeboten immer noch Authentifikationsmethode Nummer eins. Diese abzuhören ist auf dem Übertragungsweg dank SSL oder TLS keine ernsthafte Gefahr, Keylogger in schlecht gewarteten Clients sind es schon eher. Die Problematik besteht darin, dass es viele Anwender überfordert, viele Passwörter zu verwalten: für private und geschäftliche E-Mail, den Fileserver, drei unabhängige soziale Netzwerke, unzählige Accounts bei Bugtrackern, Newsportalen und -foren sowie gelegentlich gelesenen Newsletter.
In dem Fall hält dann ein Kennwort her oder Anwender benutzen ein Schema. Verbindliche Regelungen, wie Passwörter zu speichern sind, gibt es nicht. Besonders kalt läuft es erfahrenen Anwendern den Rücken herunter, wenn Erinnerungsdienste diese im Klartext zumailen. Das ruft Identity- und Authentication-Management-Dienste (IAM) auf den Plan. Allerdings sind die dazu vorgeschlagenen Protokolle SAML, SPML und XACML ihrerseits so komplex, dass es noch kein Anbieter geschafft hat, dafür eine verständliche und verlässliche Gesamtlösung zu entwickeln.
Wer diese Techniken nämlich halbherzig realisiert, setzt seine Anwender der Gefahr aus, dass beim Verlust eines Notebooks mit gespeichertem Zentralpasswort alle Dienste kompromittiert sind. Dann alle Einzelzugänge zu sperren kann zu einer langatmigen Aufgabe werden, die noch nicht einmal zwingenderweise effektiv ist: Solange Access-Token in Form von Cookies oder Session-IDs auf dem Applikationsserver noch gültig sind, kümmert die Anwendung ein geändertes Passwort wenig.
Diesen Artikel als PDF kaufen
Express-Kauf als PDF
Umfang: 3 Heftseiten
Preis € 0,99
(inkl. 19% MwSt.)
Als digitales Abo
Weitere Produkte im Medialinx Shop »
Versandartikel
Onlineartikel
Alle Rezensionen aus dem Linux-Magazin
- Buecher/07 Bücher über 3-D-Programmierung sowie die Sprache Dart
- Buecher/06 Bücher über Map-Reduce und über die Sprache Erlang
- Buecher/05 Bücher über Scala und über Suchmaschinen-Optimierung
- Buecher/04 Bücher über Metasploit sowie über Erlang/OTP
- Buecher/03 Bücher über die LPI-Level-2-Zertifizierung
- Buecher/02 Bücher über Node.js und über nebenläufige Programmierung
- Buecher/01 Bücher über Linux-HA sowie über PHP-Webprogrammierung
- Buecher/12 Bücher über HTML-5-Apps sowie Computer Vision mit Python
- Buecher/11 Bücher über Statistik sowie über C++-Metaprogrammierung
- Buecher/10 Bücher zu PHP-Webbots sowie zur Emacs-Programmierung
Insecurity Bulletin
Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...