Open Web #1: Mehr Sicherheit im Netz mit “Delegated Authorization”

12. Januar 2009 um 8:00 von Mario Grobholz

In einer Reihe von Artikeln auf unserem Blog möchte ich Sie mit aktuellen Entwicklungen vertraut machen, die wir für spannend halten und von denen wir der Meinung sind, dass sie einer näheren Betrachtung und Erläuterung wert sind. Aus aktuellem Anlaß möchte ich daher das neue Jahr mit einem Artikel über “Delegated Authorization” beginnen.

Wie Sie vielleicht mitbekommen haben, traten jüngst einige Sicherheitsprobleme mit dem populären Micro-Blogging Dienst Twitter auf, von denen letzten Endes sogar prominente Personen wie Barack Obama und Britney Spears betroffen waren. Lassen Sie mich erklären, was vielen Nutzern von Twitter zum Verhängnis wurde und wie “Delegated Authorization” solchen Problemen begegnen kann.

Twitter und der “Password-Anti-Pattern”

Twitter ist, wie Sie vielleicht wissen, ein Dienst, mit dem Sie kurze Nachrichten (maximale Länge sind 140 Zeichen) publizieren können, die dann von den Leuten gelesen werden, die Ihnen auf Twitter folgen (z.B. Ihre Freunde, Kollegen etc.).

Urspünglich bestand die Stärke von Twitter mal darin, dass man alle Nachrichten auch auf seinem Handy als SMS erhalten kann (daher auch die Limitierung auf 140 Zeichen), aber mittlerweile gibt es unzählige Tools rund um den Dienst Twitter, die es Ihnen nicht nur ermöglichen Nachrichten auf unterschiedliche Art und Weise zu konsumieren, sondern Ihnen auch weitere Features anbieten, um z.B. zeitversetzt Nachrichten zu schicken, Statistiken über Ihr Twitter-Verhalten zu bekommen, neue interessante Menschen auf Twitter zu finden und vieles mehr.

Dies wurde dadurch ermöglicht, dass Twitter sich gegenüber Dritten geöffnet hat und es interessierten Developern erlaubt, eigene Applikationen auf Basis von Twitter zu entwickeln. Mir sind hierzu zwar keine genauen Zahlen bekannt, aber nach eigenen Einschätzungen gehe ich davon aus, dass eine sehr hohe Anzahl an Twitter Nutzern täglich Gebrauch von diesen Diensten macht, bzw. Sie zumindest einmal ausprobiert hat.

Das Problem was hier jetzt zu Tage tritt, wird auch häufig mit dem Ausdruck “Password-Anti-Pattern” beschrieben. Dieser Ausdruck beschreibt den Fall, dass Sie gegenüber einem Dritten Ihre Zugangsdaten für einen anderen Dienst herausgeben müssen, damit Sie den Dienst des Dritten nutzen können. Genau das ist bei jedem dieser  Twitter-Dienste (bis dato) der Fall:  Sprich jeder Nutzer, der einen dieser nützlichen Dienste ausprobieren wollte, konnte dies immer nur dann tun, wenn er seinen Benutzernamen und sein Password für Twitter mitgeteilt hatte. (Siehe auch Screenshot dazu)

Chris Messina, mit einer der maßgeblichen Köpfe hinter dem “Delegated Authorization” defacto Standard OAuth, hat einmal auf einer Konferenz in London dazu in seinem Vortrag gesagt:

Passwords are not Confetti – so don’t throw around with them!

Genau das ist aber in dem Fall von Twitter passiert! Viele Menschen haben- ohne groß darüber nachzudenken- anderen Diensten Ihre Zugangsdaten für Twitter anvertraut; diese wurden dort erneut gespeichert und durch den enormen Boom an Twitter Anwendungen der letzten Monaten haben sicherlich viele Anwender immer weniger hinterfragt, wem sie dort eigentlich ihre Benutzerdaten anvertrauen.

Was jetzt exakt passiert ist, kann ich Ihnen nicht genau sagen, aber es ist vermutlich einer der folgenden beide Fälle eingetreten:

1. Unter diesen Diensten hat sich ein schwarzes Schaf befunden, das die Zugangsdaten seiner Nutzer entweder selbst mißbraucht hat und/oder diese Daten weitergegeben hat
2. Einer dieser vielen Dienste hatte selbst ein Sicherheitsproblem und somit konnten Angreifer evtl. an die Zugangsdaten dessen Nutzer gelangen

Mit diesen Zugangsdaten wurden dann wahlos Direktnachrichten von Leuten (ggf. auch mit Ihnen als Absender!) verschickt, die Links auf sogenannte “Phishing-Websites” enthielten – also Webseiten, die wiederum versuchten an Login-Daten von ahnungslosen Nutzern zu kommen. Phishing ist Ihnen sicherlich von Email her bekannt, wo Sie auf einmal z.B. von Ihrer Bank gebeten werden, nochmals ihre Kreditkartendaten zu “verifizieren”. Bei solchen Emails handelt es sich dann oftmals um gefälschte Absender und vor allem gefälschte Webseiten, die versuchen an Ihre Kreditkarten Daten zu kommen!

In den von mir Eingangs erwähnten prominenten Fällen von Barack Obama und Brintey Spears hat es sich zwar auf andere Art und Weise zugetragen, worauf auch ausdrücklich von Twitter hingewiesen wird (was auch nicht weniger problematisch ist), aber grundsätzlich hätten diese Accounts auch von dem gleichen Problem betroffen sein können.

An dieser Stelle ein kurzer Sicherheitstip:

Sollten Sie selbst Twitter nutzen und in den letzten Wochen noch nicht Ihre Kenntwort geändert haben, kann ich Ihnen dies nur dringend anraten! Sollten Sie jemals einem anderen Dienst ihre Twitter Zugangsdaten anvertraut haben und das gleiche Passwort auch bei anderen Diensten verwenden, sollten Sie auch dringend die Passwörter bei diesen Diensten ändern.

Überprüfen Sie immer die URL in ihrem Browser Fenster! Der Screenshot oben zeigt eine der besagten Phishing Sites, wo die Twitter Seite vorgespielt wird, man aber deutlich an der URL erkennen kann, dass es sich nicht um die original http://twitter.com Webseite handelt!

All dies hätte verhindert werden können, wenn die Macher von Twitter von Anfang an eine “Delegated Authorisation” Lösung für die Applikationen von Dritten vorgesehen hätten. Dies wurde insbesondere von der OAuth-Community schon seit Monaten gefordert, zeitweise auch mal von Twitter angekündigt, ist dann aber wieder auf der Prioritätenliste nach hinten gerutscht, was sich aber durch die jüngsten Vorfälle wieder geändert hat. Man kann davon ausgehen, dass Twitter kurzfristig den entsprechenden Standard OAuth unterstützen wird.

Twitter ist an dieser Stelle im Übrigen nur eines von vielen Beispielen! Haben Sie sich schon einmal bei einem Dienst angemeldet, der Ihnen angeboten hat, dass Sie ihre Freunde importieren können, indem Sie ihm einfach “kurz” die Zugangsdaten zu ihrem  z.B. Hotmail, Googlemail oder sonstigen Accounts geben? Auch hier ergibt sich grundsätzlich exakt die gleiche Problematik!

Natürlich kann man – Stand heute – nicht für jeden Fall das Prinzip der “Delegated Authorization” anwenden und somit wird man leider vorerst in manchen Fällen nicht um den “Password-Anti-Pattern” drum herum kommen, aber Sie sollten in jedem Fall immer hinterfragen, ob Sie der dritten Partei ein gewisses Minimum an Vertrauen entgegen bringen können und Passwörter auch einfach nach z.B. einem einmaligen Import direkt wieder ändern, um einen evtl. Mißbrauch zu vermeiden.

Wie funktioniert “Delegated Authorization”?

Die Lösung für diese Problematik ist eigentlich recht einfach gestrickt: Sollte ein Dienst auf die Daten oder Funktionalitäten eines anderen Dienstes zugreifen wollen, bei dem Sie ebenfalls registriert sind, geben Sie nicht einfach Ihren Benutzername und Ihr Kennwort weiter, sondern es findet eine Delegation (Weiterleitung) an den betreffenden Dienst statt. Dort loggen Sie sich wie immer ein (geben damit Ihren Benutzernamen und Kennwort nur an den Dienst, bei dem Sie registriert sind) und erteilen lediglich eine Freigabe zur Nutzung ihrer Daten an den Dritten.

Im Hintergrund findet dabei ein Austausch von sogenannten “Token” (Schlüsseln) statt, die dann einen in der Regel beschränkten und ggf. auch zeitlich begrenzten Zugriff auf ihre Daten gewähren. Um es wieder auf das Twitter Beispiel runterzubrechen: Sobald Twitter das Prinzip der “Delegated Authorization” (und damit den Standard OAuth) unterstützen wird, werden Sie bei den anderen Diensten nicht mehr um Ihren Benutzernamen und Ihr Kennwort gebeten, sondern einfach auf die Seite von Twitter zur Authentifizierung weitergeleitet.

Wenn Sie in dem Moment bei Twitter nicht eingeloggt sind, loggen Sie sich erst ein und werden dann von Twitter gefragt, ob Sie diesen Dienst authorisieren möchten, auf Ihren Twitter Account zuzugreifen. Danach gelangen Sie zurück zu dem ursprünglichen Dienst.  Sollten Sie eines Tages diesem Dienst das Recht ihren Twitter-Account zu nutzen wieder entziehen wollen, können Sie das einfach bei Twitter(!) machen und sind in keiner Weise auf diesen Dritten Dienst angewiesen.

Diese Lösung verhindert damit also, dass sie gegenüber Dritten Ihre Zugangsdaten für einen anderen Dienst offenbaren müssen! In Zukunft werden auch wir bei myON-ID von dieser Möglichkeit in allen sich uns bietenden Situationen Gebrauch machen und Ihnen damit ein Maximum an Sicherheit zur Verfügung stellen!

Zu guter Letzt sei noch erwähnt, dass jede Medaille bekannter Maßen zwei Seiten hat und auch letzten Endes “Delegated Authorization” nicht 100%ig vor Mißbrauch schützen kann. Aber in unseren Augen stellt insbesondere der Standard OAuth bereits eine enorme verbesserte Situation her und verhindert schonmal, dass wir überhaupt unsere Zugangsdaten gegenüber Dritten herausgeben müssen.

Ich hoffe, dass ich Ihnen mit diesem Beitrag etwas näher bringen konnte, worin die Problematik besteht und wie ein Lösungsansatz dafür aussehen kann. Wenn Sie noch Fragen haben oder mehr zu den technischen Hintergründen wissen wollen, zögern Sie nicht in dem Blog zu kommentieren oder schicken Sie uns eine Email an blogpost@onid.de!

Dieser Artikel wurde von Mario Grobholz geschrieben.
Mario Grobholz ist Gründer und Ideengeber der myON-ID Media GmbH. Der Maschinenbau- und Wirtschaftsingenieur entwickelte in den letzten 10 Jahren für führende Internet, Telekommunikations- und Medienunternehmen Internetstrategien und -konzepte. Seit 1999 plant und betreibt er erfolgreich Consumer-Portale und Social Networks u.a. bei WEB.DE, o2 und Eurosport.