Die XignSys GmbH hat ihr passwortloses SingleSignOn (SSO) Authentifizierungsverfahren für Mobile- und Webanwendungen auf Schwachstellen untersuchen lassen.
Das Ziel der XignSys GmbH ist es, die digitale Souveränität von Endverbrauchern zu erhöhen. Als Lösung dafür wurde ein passwortloses SSO-Loginverfahren entwickelt, welches das Smartphone zum Anmelden bei Diensten und Webseiten verwendet. Dieses Verfahren kommt bei zahlreichen Digitalisierungsprojekten in ganz Deutschland erfolgreich zum Einsatz.
Der Penetrationstest beginnt mit der Gewinnung von Informationen. Der Aufwand ist aufgrund der Menge der genutzten Technologien und Zeilen Programmcode erhöht. Daher wurde gerade auf die Sammlung von Informationen und Identifikation von verwundbaren Funktionen und Programmcode-Zeilen der Großteil des verfügbaren Projektbudgets investiert.
Herausforderung
Bei der Durchführung so umfangreicher Whitebox-Penetrationstests muss sichergestellt sein, dass die Entwicklerinnen und Entwickler sowie die Testerinnen und Tester Hand in Hand arbeiten, um diese großen Mengen an Programmcode effektiv und ausführlich zu analysieren.
Lösung
Das Ziel des Penetrationstests war es, sicherzustellen, dass keine Schwachstellen im Xign.me-Authentifizierungsverfahren es einem Angreifer ermöglichen, andere Benutzerinnen und Benutzer zu impersonieren oder auf andere Daten zuzugreifen.
Ergebnis & Erfolg
- Vulnerable Funktionen und Programmzeilen innerhalb des Projektzeitraums identifiziert
- Gefundene Schwachstellen innerhalb kürzester Zeit behoben
- Sicherheitsniveau der entwickelten Software durch enge Zusammenarbeit deutlich erhöht
