On the security of single sign-on

  • Single Sign-On (SSO) ist ein Konzept mit dessen Hilfe sich ein Benutzer einmalig an einer zentralen Instanz, dem Identity Provider (IdP), anmeldet und diese Authentifikation anschließend benutzt, um sich bei weiteren Dienstleistern (Service Providern, SPs) anzumelden. Diese Dissertation stellt eine umfassende Sicherheitsuntersuchung von verschiedenen SSO Protokollen und deren Implementierungen vor. Ausgangsbasis für diese Untersuchung ist die Entwicklung eines neuartigen Konzepts (malicious IdP, mIdP), das die Benutzung eines bösartigen IdPs für Angriffe einführt. Darauf aufbauend werden generische Angriffsklassen entwickelt und auf verschiedene SSO Protokolle angewendet. Ein wichtiges Ergebnis dieser Arbeit ist die Änderung der OpenID Connect und OAuth Spezifikation, die aufgrund zweier neu aufgedeckter Angriffe angepasst werden musste. Eine entsprechende Gegenmaßnahme wurde in Zusammenarbeit mit der OpenID Connect und OAuth Arbeitsgruppe veröffentlicht.

Download full text files

Export metadata

Additional Services

Share in Twitter Search Google Scholar
Metadaten
Author:Vladislav MladenovGND
URN:urn:nbn:de:hbz:294-54255
Referee:Jörg SchwenkORCiDGND, Felix FreilingGND
Document Type:Doctoral Thesis
Language:English
Date of Publication (online):2017/10/14
Date of first Publication:2017/10/14
Publishing Institution:Ruhr-Universität Bochum, Universitätsbibliothek
Granting Institution:Ruhr-Universität Bochum, Fakultät für Elektrotechnik und Informationstechnik
Date of final exam:2017/06/30
Creating Corporation:Fakultät für Elektrotechnik und Informationstechnik
GND-Keyword:Single Sign-On; Identitätsverwaltung; Authentifikation; Computersicherheit; Penetrationstest
Institutes/Facilities:Horst Görtz Institut für IT-Sicherheit
Lehrstuhl für Netz- und Datensicherheit
Dewey Decimal Classification:Allgemeines, Informatik, Informationswissenschaft / Informatik
faculties:Fakultät für Elektrotechnik und Informationstechnik
Licence (German):License LogoKeine Creative Commons Lizenz - es gelten der Veröffentlichungsvertrag und das deutsche Urheberrecht