Das Engagement von Keeper Security für den Schutz von Benutzerdaten zieht sich durch alle unsere Aktivitäten. Keeper verfügt über die am längsten bestehenden SOC 2- und
Single-Sign-On (SSO) hilft Unternehmen, ihre Sicherheitslage zu verbessern und gleichzeitig das Anmeldeverfahren für Mitarbeiter zu rationalisieren. Die Implementierung einer SSO-Plattform in Ihrem Unternehmen ist in fast allen Fällen sinnvoll. SSO hinterlässt jedoch erhebliche Sicherheits- und Funktionslücken, die Unternehmen kennen und beheben sollten.
SSO deckt nicht alles ab. Viele Websites, Anwendungen und Systeme werden von SSO-Bereitstellungen nicht erfasst, und somit stellt jede von ihnen ein Cybersicherheitsrisiko dar. Zudem beinhaltet SSO eine einzige Fehlerquelle. Wenn ein Benutzer von SSO ausgeschlossen wird, kann er nicht mehr auf die meisten Websites oder Systeme zugreifen, die er für seine Arbeit braucht.
Durch die Integration eines sicheren Passwort-Tresors in SSO können Unternehmen diese Lücken beseitigen und die Sicherheit verbessern. Deshalb priorisiert Keeper Security Integrationen mit allen führenden SSO-Anbietern.
Im Jahr 2016 wurden Keeper zwei US-Patente (11.363.009 und 10.356.079) für seinen neuartigen Ansatz zur Zero-Knowledge-SSO-Integration ausgestellt. Die Patente von Keeper decken sowohl SAML- als auch OIDC-Identitätsprotokolle ab. SAML bietet jedoch aus dem Gesichtspunkt der Sicherheit und Benutzerfreundlichkeit mehrere Vorteile. Deshalb nutzt Keeper SSO Connect SAML für seine Zero-Knowledge-SSO-Integration.
Worin unterscheiden sich OIDC und SAML?
Obwohl SAML als auch OIDC Identitätsprotokolle zur Benutzerauthentifizierung sind, weisen sie erhebliche Unterschiede in ihrem Sicherheitsniveau auf.
- SAML-basiertes SSO ist der Industriestandard für Unternehmensanwendungen, da es viel ausgereifter ist und einen Sicherheitsverlauf nachweisen kann.
- OIDC ist im Allgemeinen Lösungen vorbehalten, die weniger Sicherheitsanforderungen haben, oder wenn eine Integration zeitnah erfolgen muss.
So bietet SAML eine überragende Sicherheit
Die vollständig verwaltete Lösung von Keeper ermöglicht es Unternehmen, die Vorteile der überragenden Sicherheits- und Benutzerfreundlichkeitsfunktionen von SAML zu nutzen.
Enterprise-Funktionen
SAML ist ein robuster Standard, der eine Vielzahl von Unternehmensfunktionen unterstützt, die in OIDC nicht verfügbar oder nicht so gut entwickelt sind. SAML unterstützt beispielsweise die Single-Logout (SLO)-Funktionalität, die Sitzungen über mehrere Anwendungen hinweg beenden kann. OIDC fehlt die Sitzungskontrolle des Password Managers und eignet sich in der Regel mehr für Anwendungen mit Verbraucherkontakt, bei denen Anmeldungen in sozialen Medien erforderlich sind.
Kein clientseitiges Geheimnis
OIDC erfordert zwar kein clientseitiges Geheimnis, aber der PKCE-Flow führt ein neues Konzept eines „Code-Verifizierers“ und einer „Code-Challenge“ ein. Diese sind Geheimnissen ähnlich, werden aber für jede Authentifizierungsanfrage dynamisch generiert.
In SAML gibt es kein Äquivalent zum Client-Geheimnis, was diesen Workflow vermeidet. Stattdessen wird das Vertrauen zwischen den Parteien durch den Austausch von Zertifikaten hergestellt, wobei private Schlüssel auf dem jeweiligen Server sicher bleiben, was eine sicherere Transaktion schafft.
Überragende Kontrolle über Benutzersitzungen
SAML SSO leitet Informationen über den Browser des Benutzers und ermöglicht es der Anwendung, ihre eigene Sitzung zu verwalten, was eine präzise Kontrolle über Benutzersitzungen ermöglicht. OIDC kann hingegen zu Situationen führen, in denen der Benutzer irrtümlicherweise der Meinung ist, er habe sich aus dem Passwortmanager abgemeldet, der Identitätsanbieter jedoch weiter eine gültige Sitzung aufrechterhält. Dies könnte einen Tresor mit einem einzigen Klick einem lokalen Angriff auf den Rechner aussetzen.
SSO mit Keeper im Vergleich zur Konkurrenz
Keeper SSO Connect ist ein SAML 2.0-Dienst, der sich in Ihre SSO-Plattform integrieren lässt, um eine Zero-Knowledge-Passwortverwaltung und -verschlüsselung zu bieten. Da es in Keeper Enterprise enthalten ist, können Sie auf eine vollständig passwortlose Erfahrung zugreifen, die mit allen Identitätsanbietern funktioniert. Die SSO Connect Cloud bei Keeper bietet im Vergleich zur Konkurrenz die beste reibungslose Erfahrung.
1Password hat ein Update seiner SSO-Integration angekündigt. Die 1Passwort-Integration basiert auf OIDC und weist als solche in mehreren Kernbereichen Mängel auf.
Bitwarden unterstützt SAML 2.0. Für alle Cloud-Bereitstellungen müssen sich Bitwarden-Benutzer jedoch anmelden und sich bei jeder Anmeldung ein Master-Passwort merken. Bei lokalen Bereitstellungen erfordert das Eliminieren des Master-Passwortschritts die Verwendung eines lokalen „Key Connector“-Dienstes, der alle kryptografischen Endbenutzerschlüssel pflegt und hostet. Dieser Key Connector-Dienst wird zu einer wichtigen Infrastruktur, die geschultes Personal erfordert und vom Kunden gewartet werden muss.
Sicherheit
Standardmäßig werden Benutzer bei Keeper abgemeldet, wenn sie ihren Browser schließen, ihren Computer neu starten oder sich über das Dropdown-Menü für Erweiterungen abmelden. Dies bedeutet, dass sie sich erneut über ihren SSO-Anbieter, mit Multifaktor-Authentifizierung (MFA) oder dem Master-Passwort anmelden müssen, um erneut Zugriff auf den Tresor zu haben.
Mit auf OIDC basierenden Passwortmanagern sind Sie möglicherweise immer noch beim Identitätsanbieter angemeldet, wenn der Tresor gesperrt wird. Daher ist nur ein Klick erforderlich, um ohne zusätzliche Verifizierung erneut auf den Tresor zuzugreifen, was bedeutet, dass Sie nicht wirklich abgemeldet sind.
Wiederherstellung
Ein neues Gerät zu erhalten, sollte Freude bereiten. Mit Keeper genießen Sie nahtlose, automatisierte Methoden eines reibungslosen Setups, da Push-Benachrichtigungen verwendet werden, sodass Sie sofort auf Ihrem neuen Gerät auf den Tresor zugreifen können.
Andere Passwortmanager müssen Ihr altes Gerät weiter bedienen oder einen Administrator veranlassen, die Wiederherstellung zu veranlassen, damit Sie sich anmelden und auf Ihre Datensätze zugreifen können. Dadurch wird der langwierige Prozess des Ausprobierens von Anmeldungen und des Hin- und Hersendens von E-Mails an den Administrator vermieden.
Multifaktor-Authentifizierung
Bei Aktivierung benötigt Keeper eine Gerätezulassung und MFA, bevor Sie Ihr Master-Passwort eingeben, um auf Ihren Tresor zuzugreifen. Dadurch wird die Sicherheit erhöht und sichergestellt, dass Ihre Anmeldeinformationen nur für Sie zugänglich sind. Bei der Bereitstellung mit SSO unterstützt Keeper zusätzlich die Abfrage von MFA vor der Entschlüsselung des lokalen Tresors. Keeper unterstützt FIDO2-Sicherheitsschlüssel, DUO-, TOTP- und SMS-Methoden. Keeper ist die einzige Lösung, die neben lokaler MFA auch die SSO-Verifizierung mit Richtlinien für bedingten Zugriff unterstützt.
Konkurrenten, die es Ihnen ermöglichen, Ihre Anmeldeinformationen vor MFA einzugeben, gehen das Risiko eines Brute-Force-Angriffs auf Ihre Anmeldeinformationen ein. Einige Konkurrenten haben CAPTCHA implementiert, aber dies kann leicht durch Captcha Farms umgangen werden.
Glasbruch und alternative Authentifizierungsmethoden
Wenn Ihr SSO-Identitätsanbieter einen Stromausfall hat, ist Keeper trotzdem für Sie da. Wenn biometrische Daten auf einem Gerät (wie Touch ID, Face ID oder Windows Hello) verwendet werden, kann sich der Benutzer sicher und schnell in seinem Tresor authentifizieren, ohne dass er bei jeder Anfrage über den Identitätsanbieter weitergeleitet werden muss. Neben der standardmäßigen SAML-SSO-Authentifizierung und Biometrie unterstützt Keeper sogar eine sekundäre Master-Passwort-Methode, die für Benutzer aktiviert werden kann, wenn der Administrator dies erlaubt. Alle diese Workflows und Authentifizierungsmethoden werden durch die rollenbasierten Durchsetzungsrichtlinien von Keeper unterstützt.
SCIM-Unterstützung
Keeper ist eine vollständig verwaltete cloudbasierte Plattform, die Ihnen eine schnelle und einfache Möglichkeit bietet, Benutzer zu versorgen. SCIM ist ein Standardprotokoll für den Austausch von Benutzeridentitäten zwischen IT-Systemen. Da Keeper SCIM 2.0 voll unterstützt, kann jede Identitätsquelle leicht in den Workflow von Keeper integriert werden. Es ist keine komplizierte lokale Infrastruktur erforderlich, da die gesamte Kommunikation zwischen dem Identitätsanbieter und der Keeper-Cloud stattfindet.
1Password hingegen verlangt von Kunden, einen Server in der Infrastruktur des Unternehmens zu implementieren, um Benutzern SSO zu bieten.
Geistiges Eigentum
Keeper hat das Playbook für Zero-Knowledge-Verschlüsselung mit SSO-Cloud-Anbietern entwickelt und 2016 zwei Patente dafür erhalten. Die Zero-Knowledge-SSO-Integration von Keeper ist seit 8 Jahren in der Produktion, viel länger als bei allen anderen Konkurrenten.
1Password hat keine Patente für seine SSO-Integration erhalten. Die 1Passwort-Integration wurde am 16. März 2023 gestartet, und Benutzer haben berichtet, dass die Einrichtung viel schwieriger ist.
Die Wahl ist eindeutig
Keeper geht mit primärem Fokus vor: Wie kann dies für Benutzer so sicher wie möglich sein und gleichzeitig eine einfache und positive Benutzererfahrung gewährleisten?
SAML bietet die Grundlage für die Plattformintegration von Keeper mit SSO und ist die sicherste, aktuell verfügbare Verbindung. Die Implementierung der SSO-Integration in den Tresor von Keeper ist die nahtloseste und sicherste Lösung auf dem Markt. Keeper wird weiterhin Innovation fördern und sicherstellen, dass es die beste Plattform zum Schutz Ihrer wertvollsten Daten bleibt.