|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Nachrichtenartikel zu Kryptowährungen
Beherrschung der tokenbasierten Authentifizierungsverteidigung und -verwaltung
Sep 24, 2024 at 01:03 am
Die tokenbasierte Authentifizierung ist sicher, aber nicht immun gegen Angriffe. Erfahren Sie, wie Sie Ihr Unternehmen besser schützen können.
Organizations are increasingly turning to token-based authentication to secure their systems. But as this technology becomes more prevalent, so does the need to understand the vulnerabilities that come with it.
Zur Absicherung ihrer Systeme greifen Unternehmen zunehmend auf tokenbasierte Authentifizierung zurück. Mit zunehmender Verbreitung dieser Technologie steigt jedoch auch die Notwendigkeit, die damit verbundenen Schwachstellen zu verstehen.
Dr. Nestori Syynimaa, Senior Principal Security Researcher at Secureworks and developer of the AADInternals toolkit, is at the forefront of exploring these risks. As a teaser of his upcoming Live! 360 session (being held in Orlando, Fla. Nov. 17-22), titled "Exploiting Token Based Authentication: Attacking and Defending Identities in the 2020s," Redmond spoke with Syynimaa about the fundamentals of token-based authentication, common techniques adversaries use to exploit it, and best practices for securing cryptographic secrets used in the process.
Dr. Nestori Syynimaa, Senior Principal Security Researcher bei Secureworks und Entwickler des AADInternals-Toolkits, steht an vorderster Front bei der Erforschung dieser Risiken. Als Teaser zu seinem kommenden Live! In der 360-Sitzung (findet vom 17. bis 22. November in Orlando, Florida) mit dem Titel „Exploiting Token Based Authentication: Attacking and Defending Identities in the 2020s“ sprach Redmond mit Syynimaa über die Grundlagen der tokenbasierten Authentifizierung und gängige Techniken, die Gegner verwenden um es auszunutzen, und Best Practices zur Sicherung der dabei verwendeten kryptografischen Geheimnisse.
And for more from Syynimaa, you'll won't want to miss his upcoming Live! 360 session, where he promises to equip IT pros with the practical skills needed to detect and defend against token-based authentication exploits. Register by Sept. 27 and save $400!
Und wenn Sie mehr über Syynimaa erfahren möchten, sollten Sie sich sein kommendes Live!-Programm nicht entgehen lassen. 360-Sitzung, in der er verspricht, IT-Profis mit den praktischen Fähigkeiten auszustatten, die sie zum Erkennen und Abwehren tokenbasierter Authentifizierungs-Exploits benötigen. Registrieren Sie sich bis zum 27. September und sparen Sie 400 $!
Redmond: Can you briefly explain the fundamental principles of token-based authentication and its advantages over traditional username and password methods?
Redmond: Können Sie kurz die Grundprinzipien der tokenbasierten Authentifizierung und ihre Vorteile gegenüber herkömmlichen Methoden mit Benutzername und Passwort erläutern?
Syynimaa: In token-based authentication, the roles of Identity Provider (IdP) and Service Provider (SP) are separated. The proof-of-identity (like username and password) are only sent to IdP (like Entra ID). When consuming services, only a token is sent to the SP (like salesforce) over the internet instead of users' credentials.
Syynimaa: Bei der tokenbasierten Authentifizierung werden die Rollen von Identity Provider (IdP) und Service Provider (SP) getrennt. Der Identitätsnachweis (wie Benutzername und Passwort) wird nur an den IdP (wie die Entra-ID) gesendet. Bei der Inanspruchnahme von Diensten wird anstelle der Anmeldeinformationen des Benutzers lediglich ein Token über das Internet an den SP (z. B. Salesforce) gesendet.
One of the main benefits of the separated roles of IdP and SP is that it allows users to sign-in to IdP once and then access multiple SPs (single-sign-on).
Einer der Hauptvorteile der getrennten Rollen von IdP und SP besteht darin, dass sich Benutzer einmal beim IdP anmelden und dann auf mehrere SPs zugreifen können (Single-Sign-On).
What are the most common techniques adversaries use to exploit token-based authentication?
Welche Techniken nutzen Angreifer am häufigsten, um die tokenbasierte Authentifizierung auszunutzen?
There are two common techniques: stealing the tokens and stealing the token signing secrets. The former is easier but gives access to a single user for a limited time, whereas the latter is harder but gives permanent access to the whole organization.
Es gibt zwei gängige Techniken: Diebstahl der Token und Diebstahl der Geheimnisse der Token-Signatur. Ersteres ist einfacher, gewährt aber einem einzelnen Benutzer für eine begrenzte Zeit Zugriff, während Letzteres schwieriger ist, aber dauerhaften Zugriff für die gesamte Organisation ermöglicht.
What are some effective methods to detect token-replay and token forging attacks in real-time?
Welche wirksamen Methoden gibt es, um Token-Replay- und Token-Forging-Angriffe in Echtzeit zu erkennen?
First, the prerequisite for all detections is adequate logging in both IdP and SP ends. Second, as detection is based on finding discrepancies between IdP and SP logs, access to both logs is required.
Erstens ist die Voraussetzung für alle Erkennungen eine angemessene Protokollierung sowohl auf IdP- als auch auf SP-Seite. Zweitens ist Zugriff auf beide Protokolle erforderlich, da die Erkennung auf der Feststellung von Diskrepanzen zwischen IdP- und SP-Protokollen basiert.
What are one or two best practices for securing cryptographic secrets used in token-based authentication?
Was sind ein oder zwei Best Practices zum Schutz kryptografischer Geheimnisse, die bei der tokenbasierten Authentifizierung verwendet werden?
There is no silver bullet to protect cryptographic secrets — you just need to follow hardening instructions of each involved system. Generally, Hardware Security Module (HSM) will protect cryptographic keys from stealing, if your IdP supports that.
Es gibt kein Allheilmittel zum Schutz kryptografischer Geheimnisse – Sie müssen lediglich die Härtungsanweisungen jedes beteiligten Systems befolgen. Im Allgemeinen schützt das Hardware Security Module (HSM) kryptografische Schlüssel vor Diebstahl, sofern Ihr IdP dies unterstützt.
How do different implementations of token-based authentication, such as Kerberos, SAML and OAuth, vary in terms of security vulnerabilities?
Wie unterscheiden sich verschiedene Implementierungen tokenbasierter Authentifizierung wie Kerberos, SAML und OAuth hinsichtlich Sicherheitslücken?
The fundamentals of all implementations are the same: trust is based on tokens that are cryptographically signed (or encrypted) by a trusted party.
Die Grundlagen aller Implementierungen sind die gleichen: Vertrauen basiert auf Token, die von einer vertrauenswürdigen Partei kryptografisch signiert (oder verschlüsselt) werden.
What should participants expect from the demo-packed session, and what practical skills will they gain?
Was können die Teilnehmer von der Demo-Sitzung erwarten und welche praktischen Fähigkeiten werden sie erwerben?
First, I will show demos of both token-based authentication attacks. That allows participants to learn how the attacks in practice. Second, I will share best practices on how to protect the environments from attacks.
Zunächst zeige ich Demos beider tokenbasierter Authentifizierungsangriffe. Dadurch können die Teilnehmer lernen, wie die Angriffe in der Praxis ablaufen. Zweitens werde ich Best Practices zum Schutz der Umgebungen vor Angriffen vorstellen.
What resources can you point for attendees to learn more about token-based authentication and prepare for your session?
Welche Ressourcen können Sie den Teilnehmern zur Verfügung stellen, um mehr über tokenbasierte Authentifizierung zu erfahren und sich auf Ihre Sitzung vorzubereiten?
There are no prerequisites to attend the session (besides general IT knowledge which our participants typically have). Understanding technical details of their own environment eases participants to recognize what is relevant to them.
Für die Teilnahme an der Sitzung sind keine Voraussetzungen erforderlich (außer allgemeinen IT-Kenntnissen, über die unsere Teilnehmer normalerweise verfügen). Das Verständnis technischer Details ihrer eigenen Umgebung erleichtert es den Teilnehmern zu erkennen, was für sie relevant ist.
Haftungsausschluss:info@kdj.com
Die bereitgestellten Informationen stellen keine Handelsberatung dar. kdj.com übernimmt keine Verantwortung für Investitionen, die auf der Grundlage der in diesem Artikel bereitgestellten Informationen getätigt werden. Kryptowährungen sind sehr volatil und es wird dringend empfohlen, nach gründlicher Recherche mit Vorsicht zu investieren!
Wenn Sie glauben, dass der auf dieser Website verwendete Inhalt Ihr Urheberrecht verletzt, kontaktieren Sie uns bitte umgehend (info@kdj.com) und wir werden ihn umgehend löschen.
-
- Bitcoin und Ether florieren, da der KI-gesteuerte Token-Sektor nach der Zinssenkung der Fed stark ansteigt
- Sep 24, 2024 at 08:15 am
- Bitcoin und Ether, die beiden nach Marktkapitalisierung größten Kryptowährungen, florierten am Montagmorgen, beflügelt durch die jüngste Zinssenkung der US-Notenbank.
-
- Der Bitcoin-Erfinder Satoshi Nakamoto erkannte bereits vor 14 Jahren das Potenzial von BTC für alltägliche Zahlungen, als der Wert bei 0,07 US-Dollar lag
- Sep 24, 2024 at 08:15 am
- In einer Erklärung vor genau 14 Jahren betonte der pseudonyme Bitcoin-Erfinder Satoshi Nakamoto das Potenzial von Bitcoin für alltägliche Zahlungen.
-
- ETFSwap (ETFS) vs. Meme Coins: Welches ist die intelligentere Investition im Jahr 2024?
- Sep 24, 2024 at 08:15 am
- Der Wettbewerb zwischen Meme-Coins und Utility-Tokens ist im Gange. Während das Jahr 2024 voranschreitet und das Jahr 2025 näher rückt, wägen Anleger ihre Optionen ab
-
- Bonk Inu (BONK) steht nach seiner Ankündigung kurz davor, einen historischen Präzedenzfall zu schaffen
- Sep 24, 2024 at 08:15 am
- Basierend auf den uns vorliegenden Informationen wäre der Ticker derselbe (BONK) und der Start könnte bis Ende des Jahres bekannt gegeben werden.
-
- Bitcoin-Hashrate verlagert sich nach China-Verbot in die USA
- Sep 24, 2024 at 08:15 am
- Wie Ki Young Ju feststellt, verlagert sich die Bitcoin-Mining-Aktivität in die Vereinigten Staaten, obwohl chinesische Miner immer noch dominieren.
-
- Injective (INJ)-Preisvorhersage 2023 – Wird INJ den Höchststand von 29 $ erreichen?
- Sep 24, 2024 at 08:15 am
- In der vergangenen Woche startete Injective [INJ] eine große Rallye und legte um 18 % zu, nachdem es sich von der Untergrenze seines Handelskanals erholt hatte.
-
- Das WATCoin-Farming-Event beginnt auf der PoolX-Plattform von Bitget
- Sep 24, 2024 at 08:15 am
- YEREVAN (CoinChapter.com) – Bitget hat WATCoin (WAT) am 23. September 2024 auf seiner Handelsplattform gelistet. Dieser Zusatz ermöglicht Benutzern die Sperrung
-
- Beanspruchen Sie $RON oder bereuen Sie es für immer!
- Sep 24, 2024 at 08:15 am
- So nehmen Sie am Ronin Airdrop teil: Kurzanleitung
-
- Fordern Sie $BOBO an und werden Sie Krypto-Millionär!
- Sep 24, 2024 at 08:15 am
- BNB-Abgesandter. Hören. Aktie. 🔸Token Airdrop: BOBO🔸Dauer: 6 Min. 🔸Anfangsinvestition: Null 🔸Erwarteter Gewinn: mehr als 3400 $ + Beginn