Primäre Aktualisierungstoken werden zum Diebstahlsziel der Wahl der Wahl.

Wenn Sie nicht genau genug aufmerksam gemacht haben, wird eine neue Art von Zugangskontroll -Token, wie ein Super -Browser -Token für Steroide, Hacker -Diebstahlsziel der Wahl.

If you haven’t been paying attention closely enough, a new type of access control token, like a super browser token on steroids, is becoming hackers' theft target of choice. It is known as a primary refresh token. In the Microsoft ecosystem, it’s the king of tokens.

Wenn Sie nicht genau genug aufmerksam gemacht haben, wird eine neue Art von Zugangskontroll -Token, wie ein Super -Browser -Token für Steroide, Hacker -Diebstahlsziel der Wahl. Es ist als primäres Aktualisierungspreis bekannt. Im Microsoft -Ökosystem ist es der König der Token.

Most access control tokens give users access to a single application, service, or site. If I use my browser to successfully login to an app/service/site, my browser will get a browser “cookie,” which is just a text file usually containing a randomly generated session ID, that gives that browser continued access to that app/service/site without having to re-logon again for a preset number of days or weeks.

Die meisten Zugangskontroll -Token bieten Benutzern Zugriff auf eine einzelne Anwendung, einen Dienst oder eine einzelne Website. Wenn ich meinen Browser benutze, um sich erfolgreich bei einer App/einem Dienst/einer Website/einer Site anzumelden, erhält mein Browser einen Browser-Cookie, der nur eine Textdatei ist, die normalerweise eine zufällig generierte Sitzungs-ID enthält, die dem Browser fortgesetzten Zugriff auf diese App/Service/Website erhält, ohne erneut für eine Voreinstellung von Tagen oder Wochen erneut zu logon zu logon.

My browser gets a separate access control token cookie for each app/service/site I successfully log on to. Most of us, if we go to our cookie directory, will see hundreds of cookies.

Mein Browser erhält ein separates Cookie für Access Control Token für jede App/Service/ -Website, auf die ich erfolgreich angemeldet bin. Die meisten von uns, wenn wir in unser Cookie -Verzeichnis gehen, werden Hunderte von Keksen sehen.

Hackers and their malware creations love to steal our browser cookies because they act as “bearer tokens.” Whoever has them is essentially seen as us to that app/service/site. Here is a great demo created by the late, great Kevin Mitnick (our former Chief Hacking Officer and owner) on a cookie being stolen and reused.

Hacker und ihre Malware -Kreationen lieben es, unsere Browser -Kekse zu stehlen, weil sie als „Bearer -Token“ fungieren. Wer sie hat, wird im Wesentlichen als wir für diese App/Dienst/Website angesehen. Hier ist eine großartige Demo, die durch den verstorbenen, großen Kevin Mitnick (unserem ehemaligen Chief Hacking Officer und Besitzer) auf einem Keks gestohlen und wiederverwendet wurde.

Hackers love cookie theft because it can work whether you are using a password, multi-factor authentication (MFA), biometrics, or some other super-duper authentication method. If the hacker gets your access control token cookie, it’s game over…for you and the involved app/site/service.

Hacker lieben Cookie-Diebstahl, weil er funktionieren kann, ob Sie ein Kennwort, eine Multi-Faktor-Authentifizierung (MFA), eine Biometrie oder eine andere Super-Duper-Authentifizierungsmethode verwenden. Wenn der Hacker Ihr Access Control Token Cookie erhält, ist es ein Spiel, das für Sie und die beteiligte App/Site/Service ist.

Hackers have been stealing browser cookies for decades, and just now some organizations, like Google, are trying to come up with ways to better protect them, such as device-bound cookies. Still, importantly, none of the existing cookie protections are all that great. Most can still be easily circumvented by hackers. Your cookies are still very valuable to any hacker who has them.

Hacker stehlen Browser-Cookies seit Jahrzehnten, und gerade jetzt versuchen einige Organisationen wie Google, Wege zu finden, um sie besser zu schützen, wie z. B. Geräte-Cookies. Dennoch ist keiner der vorhandenen Cookie -Schutzmaßnahmen so groß. Die meisten können immer noch leicht von Hackern umgangen werden. Ihre Cookies sind für jeden Hacker, der sie hat, immer noch sehr wertvoll.

Most cybersecurity defenders have understood our cookie problem. What most defenders are not aware of is Microsoft’s new primary refresh tokens, which are sort of like an access control token cookie on steroids.

Die meisten Cybersicherheitsverteidiger haben unser Cookie -Problem verstanden. Was die meisten Verteidiger nicht kennen, ist Microsofts neue primäre Refresh -Token, die wie ein Zugriffskontroll -Token -Cookie auf Steroiden ähneln.

What is a Primary Refresh Token?In short, it’s a Microsoft-only invention used in Microsoft ecosystems (AFAIK) that allows a user or device to access multiple apps/services/sites at once (i.e., Single-Sign-On) and usually for extended periods of time. They’ve been around since at least 2020, but are gaining in popularity.

Was ist ein primäres Aktualisierungs-Token? Kurz gesagt, es handelt sich nur um eine Microsoft-Erfindung, die in Microsoft-Ökosystemen (AFAIK) verwendet wird, mit der ein Benutzer oder ein Gerät auf mehrere Apps/Dienste/Websites gleichzeitig (dh Einzelsignal) und in der Regel für längere Zeiträume zugreifen kann. Sie gibt es seit mindestens 2020, werden aber immer beliebter.

Microsoft describes them this way:

Microsoft beschreibt sie so:

“A Primary Refresh Token (PRT) is a key artifact of Microsoft Entra [formerly Microsoft Azure AD] authentication on Windows 10 or newer, Windows Server 2016 and later versions, iOS, and Android devices. It's a JSON Web Token (JWT) specially issued to Microsoft first party token brokers to enable single sign-on (SSO) across the applications used on those devices.

„Ein primäres Aktualisierungstoken (PRT) ist ein Schlüsselartefakt von Microsoft Entra [ehemals Microsoft Azure AD] Authentifizierung unter Windows 10 oder neuer, Windows Server 2016 und spätere Versionen, iOS und Android -Geräte. Es ist ein JSON-Web-Token (JWT), das speziell an Microsoft First Party Token Brokers ausgestellt wurde, um einzelne Sign-On (SSO) über die auf diesen Geräten verwendeten Anwendungen zu ermöglichen.

In this article, provide details on how a PRT is issued, used, and protected on Windows 10 or newer devices. We recommend using the latest versions of Windows 10, Windows 11 and Windows Server 2019+ to get the best SSO experience.”

Geben Sie in diesem Artikel Einzelheiten zur Ausgabe, Verwendung und geschützten PRT unter Windows 10 oder neueren Geräten an. Wir empfehlen, die neuesten Versionen von Windows 10, Windows 11 und Windows Server 2019+ zu verwenden, um die beste SSO -Erfahrung zu erhalten. “

When you logon to a Microsoft ecosystem, especially using a device officially “registered” with Microsoft Entra, a primary refresh token could/will be issued to your user for a particular device. It contains your device ID and an encrypted session symmetric key.

Wenn Sie sich bei einem Microsoft -Ökosystem anmelden, insbesondere mit einem Gerät, das offiziell bei Microsoft Entra „registriert“ wird, kann/wird/wird/wird an Ihrem Benutzer ein primäres Aktualisierungs -Token für ein bestimmtes Gerät ausgegeben. Es enthält Ihre Geräte -ID und einen verschlüsselten symmetrischen Schlüssel.

When you log in to the Microsoft ecosystem (e.g., Microsoft Entra, Microsoft O365, etc.), your Microsoft Windows 10/Microsoft Windows Server 2016 or later device will communicate with the Windows Cloud Authentication Provider. The Microsoft Entra plug-in will validate your credentials (e.g., password, MFA, Windows Hello, etc.) and return a primary refresh token and the included session key.

Wenn Sie sich beim Microsoft -Ökosystem (z. B. Microsoft Entra, Microsoft O365 usw.) anmelden, kommuniziert Ihr Microsoft Windows 10/Microsoft Windows Server 2016 oder später mit dem Windows Cloud -Authentifizierungsanbieter. Das Microsoft Entra-Plug-In überprüft Ihre Anmeldeinformationen (z. B. Passwort, MFA, Windows Hello usw.) und gibt ein primäres Aktualisierungstoken und den enthaltenen Sitzungsschlüssel zurück.

Windows will encrypt the session key with the Trusted Platform Module (TPM) chip encryption key (if available) and then store it locally using Windows Local Security Authority Subsystem Service (LSASS), where Microsoft stores and processes a lot of authentication info.

Windows verschlüsselt den Sitzungsschlüssel mit dem TPM -Verschlüsselungsschlüssel (Trusted Platform Modul) (falls verfügbar) und speichert es dann lokal mithilfe von Windows Local Security Authority Subsystem Service (LSASS), wobei Microsoft viele Authentifizierungsinformationen speichert und verarbeitet.

You can see if you and your device have a primary refresh token is present on a device running the following command in a command prompt:

Sie können sehen, ob Sie und Ihr Gerät über ein primäres Aktualisierungs -Token auf einem Gerät vorhanden sind, das den folgenden Befehl in einer Eingabeaufforderung ausführt:

dsregcmd /status and then ENTER.

dsregcmd /status und dann eingeben.

Find the "SSO state" section and look for the "AzureAdPrt" value. It will be set to "YES" if you have a primary refresh token or "NO" if you don’t. The session key is the “bearer token.” There is currently no way to see “inside” a primary refresh token the way you can a browser cookie. You could be issued multiple primary refresh tokens, one for each user work account registered to the device.

Finden Sie den Abschnitt "SSO -Staat" und suchen Sie nach dem Wert "AzureadPrt". Es wird auf "Ja" eingestellt, wenn Sie ein primäres Aktualisierungstoken oder "Nein" haben, wenn Sie dies nicht tun. Der Sitzungsschlüssel ist der „Bearer -Token“. Derzeit gibt es keine Möglichkeit, „im Inneren“ in einem primären Aktualisierungs -Token so zu sehen, wie Sie einen Browser -Cookie können. Sie könnten mehrere primäre Aktualisierungsträger ausgestellt werden, eines für jedes für das Gerät registrierte Benutzerarbeitskonto.

An issued primary refresh token is good for two weeks (14 days) and continuously renewed every 4 hours as long as the related user is active on

Ein ausgestelltes Primär -Refresh -Token ist zwei Wochen lang (14 Tage) gut und wird alle 4 Stunden kontinuierlich erneuert, solange der verwandte Benutzer aktiv ist