Was ist Single Sign-On?
Single Sign-On (SSO) ist ein Authentifizierungsschema, das einem Benutzer erlaubt, sich einmal bei einem zentralen Identitätsanbieter zu authentifizieren und danach auf mehrere unabhängige Anwendungen und Dienste zuzugreifen, ohne erneut nach Zugangsdaten gefragt zu werden.
Auch bekannt als: SSO, single sign on
SSO funktioniert, indem die Authentifizierung bei einem Identitätsanbieter (IdP) wie Okta, Azure AD oder Google Workspace zentralisiert wird. Wenn ein Benutzer versucht, auf eine Anwendung (den Service Provider) zuzugreifen, leitet die Anwendung ihn zum IdP weiter. Hat der Benutzer sich bereits beim IdP authentifiziert, wird ein Token oder eine Assertion zurück an die Anwendung gesendet, das oder die seine Identität bestätigt, und er erhält Zugriff ohne Passworteingabe. Protokolle wie SAML 2.0, OpenID Connect und OAuth 2.0 standardisieren diesen Austausch.
Aus Sicherheitssicht ist SSO ein zweischneidiges Schwert. Auf der positiven Seite reduziert es die Passwortmüdigkeit und die Anzahl der Zugangsdaten, die Benutzer verwalten müssen, was die Wahrscheinlichkeit der Passwortwiederverwendung senkt. Es zentralisiert die Durchsetzung von Authentifizierungsrichtlinien – MFA, Passwortkomplexität und Sitzungsverwaltung werden einmal beim IdP konfiguriert. Und es vereinfacht die Deaktivierung: Das Deaktivieren eines Benutzers beim IdP widerruft sofort den Zugriff auf alle verbundenen Anwendungen.
Das Risiko von SSO ist die Konzentration: Wird der IdP kompromittiert, erhält der Angreifer Zugriff auf alles. Das macht den IdP zu einem kritischen Asset, das die stärksten Schutzmaßnahmen erfordert – Hardware-MFA für Administratoren, robustes Monitoring und rigorose Incident Response. Session-Token-Diebstahl ist ein weiteres Risiko, da ein gestohlenes SSO-Session-Cookie gleichzeitig Zugriff auf mehrere Dienste gewähren kann.
Wie Vaulted Single Sign-On verwendet
Vaulted arbeitet bewusst ohne Benutzerkonten oder SSO-Integration. Das ist eine bewusste Designentscheidung für ein Zero-Knowledge-Secret-Sharing-Tool: Keine Konten bedeutet keine Zugangsdaten-Datenbank, die kompromittiert werden könnte, keine Session-Token, die gestohlen werden könnten, und keine Abhängigkeit von einem Identitätsanbieter. Jeder mit dem Link kann auf das verschlüsselte Geheimnis zugreifen, und der Zugriff wird durch den Link selbst, optionalen Passphrasenschutz, View-Limits und Ablaufzeiten gesteuert – nicht durch identitätsbasierte Authentifizierung.