|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Articles d’actualité sur les crypto-monnaies
Maîtriser la défense et la gestion de l'authentification basée sur les jetons
Sep 24, 2024 at 01:03 am
L'authentification basée sur les jetons est sécurisée, mais n'est pas à l'abri des attaques. Découvrez comment vous pouvez mieux protéger votre organisation.
Organizations are increasingly turning to token-based authentication to secure their systems. But as this technology becomes more prevalent, so does the need to understand the vulnerabilities that come with it.
Les organisations se tournent de plus en plus vers l'authentification basée sur des jetons pour sécuriser leurs systèmes. Mais à mesure que cette technologie devient plus répandue, il devient également nécessaire de comprendre les vulnérabilités qui l’accompagnent.
Dr. Nestori Syynimaa, Senior Principal Security Researcher at Secureworks and developer of the AADInternals toolkit, is at the forefront of exploring these risks. As a teaser of his upcoming Live! 360 session (being held in Orlando, Fla. Nov. 17-22), titled "Exploiting Token Based Authentication: Attacking and Defending Identities in the 2020s," Redmond spoke with Syynimaa about the fundamentals of token-based authentication, common techniques adversaries use to exploit it, and best practices for securing cryptographic secrets used in the process.
Le Dr Nestori Syynimaa, chercheur principal principal en sécurité chez Secureworks et développeur de la boîte à outils AADInternals, est à l'avant-garde de l'exploration de ces risques. En guise de teaser de son prochain Live! Lors de la session 360 (qui se tiendra à Orlando, en Floride, du 17 au 22 novembre), intitulée « Exploiter l'authentification basée sur les jetons : attaquer et défendre les identités dans les années 2020 », Redmond a parlé avec Syynimaa des principes fondamentaux de l'authentification basée sur les jetons et des techniques courantes utilisées par les adversaires. pour l'exploiter, et les meilleures pratiques pour sécuriser les secrets cryptographiques utilisés dans le processus.
And for more from Syynimaa, you'll won't want to miss his upcoming Live! 360 session, where he promises to equip IT pros with the practical skills needed to detect and defend against token-based authentication exploits. Register by Sept. 27 and save $400!
Et pour en savoir plus sur Syynimaa, vous ne voudrez pas manquer son prochain Live ! Session 360, où il promet de doter les professionnels de l'informatique des compétences pratiques nécessaires pour détecter et se défendre contre les exploits d'authentification basés sur des jetons. Inscrivez-vous avant le 27 septembre et économisez 400 $ !
Redmond: Can you briefly explain the fundamental principles of token-based authentication and its advantages over traditional username and password methods?
Redmond : Pouvez-vous expliquer brièvement les principes fondamentaux de l'authentification basée sur les jetons et ses avantages par rapport aux méthodes traditionnelles de nom d'utilisateur et de mot de passe ?
Syynimaa: In token-based authentication, the roles of Identity Provider (IdP) and Service Provider (SP) are separated. The proof-of-identity (like username and password) are only sent to IdP (like Entra ID). When consuming services, only a token is sent to the SP (like salesforce) over the internet instead of users' credentials.
Syynimaa : Dans l'authentification basée sur des jetons, les rôles de fournisseur d'identité (IdP) et de fournisseur de services (SP) sont séparés. Les preuves d'identité (comme le nom d'utilisateur et le mot de passe) sont uniquement envoyées à l'IdP (comme Entra ID). Lors de la consommation de services, seul un jeton est envoyé au SP (comme Salesforce) via Internet au lieu des informations d'identification des utilisateurs.
One of the main benefits of the separated roles of IdP and SP is that it allows users to sign-in to IdP once and then access multiple SPs (single-sign-on).
L'un des principaux avantages des rôles séparés d'IdP et de SP est qu'ils permettent aux utilisateurs de se connecter une seule fois à l'IdP, puis d'accéder à plusieurs SP (authentification unique).
What are the most common techniques adversaries use to exploit token-based authentication?
Quelles sont les techniques les plus couramment utilisées par les adversaires pour exploiter l’authentification basée sur les jetons ?
There are two common techniques: stealing the tokens and stealing the token signing secrets. The former is easier but gives access to a single user for a limited time, whereas the latter is harder but gives permanent access to the whole organization.
Il existe deux techniques courantes : voler les jetons et voler les secrets de signature des jetons. Le premier est plus simple mais donne accès à un seul utilisateur pour une durée limitée, tandis que le second est plus difficile mais donne un accès permanent à l'ensemble de l'organisation.
What are some effective methods to detect token-replay and token forging attacks in real-time?
Quelles sont les méthodes efficaces pour détecter les attaques par relecture et falsification de jetons en temps réel ?
First, the prerequisite for all detections is adequate logging in both IdP and SP ends. Second, as detection is based on finding discrepancies between IdP and SP logs, access to both logs is required.
Premièrement, la condition préalable à toutes les détections est une journalisation adéquate aux extrémités de l’IdP et du SP. Deuxièmement, comme la détection est basée sur la recherche d'écarts entre les journaux IdP et SP, l'accès aux deux journaux est requis.
What are one or two best practices for securing cryptographic secrets used in token-based authentication?
Quelles sont une ou deux bonnes pratiques pour sécuriser les secrets cryptographiques utilisés dans l’authentification basée sur les jetons ?
There is no silver bullet to protect cryptographic secrets — you just need to follow hardening instructions of each involved system. Generally, Hardware Security Module (HSM) will protect cryptographic keys from stealing, if your IdP supports that.
Il n’existe pas de solution miracle pour protéger les secrets cryptographiques : il vous suffit de suivre les instructions de renforcement de chaque système impliqué. En règle générale, le module de sécurité matérielle (HSM) protège les clés cryptographiques contre le vol, si votre fournisseur d'identité le prend en charge.
How do different implementations of token-based authentication, such as Kerberos, SAML and OAuth, vary in terms of security vulnerabilities?
Comment les différentes implémentations d'authentification basée sur des jetons, telles que Kerberos, SAML et OAuth, varient-elles en termes de vulnérabilités de sécurité ?
The fundamentals of all implementations are the same: trust is based on tokens that are cryptographically signed (or encrypted) by a trusted party.
Les principes fondamentaux de toutes les implémentations sont les mêmes : la confiance est basée sur des jetons signés (ou cryptés) cryptographiquement par une partie de confiance.
What should participants expect from the demo-packed session, and what practical skills will they gain?
Que doivent attendre les participants de cette session riche en démonstrations et quelles compétences pratiques vont-ils acquérir ?
First, I will show demos of both token-based authentication attacks. That allows participants to learn how the attacks in practice. Second, I will share best practices on how to protect the environments from attacks.
Tout d’abord, je montrerai des démos des deux attaques d’authentification basées sur des jetons. Cela permet aux participants d'apprendre comment les attaques sont mises en pratique. Deuxièmement, je partagerai les meilleures pratiques sur la façon de protéger les environnements contre les attaques.
What resources can you point for attendees to learn more about token-based authentication and prepare for your session?
Quelles ressources pouvez-vous indiquer aux participants pour en savoir plus sur l'authentification basée sur des jetons et préparer votre session ?
There are no prerequisites to attend the session (besides general IT knowledge which our participants typically have). Understanding technical details of their own environment eases participants to recognize what is relevant to them.
Il n'y a aucun prérequis pour assister à la session (en dehors des connaissances générales en informatique que possèdent généralement nos participants). Comprendre les détails techniques de leur propre environnement permet aux participants de reconnaître ce qui les concerne.
Clause de non-responsabilité:info@kdj.com
Les informations fournies ne constituent pas des conseils commerciaux. kdj.com n’assume aucune responsabilité pour les investissements effectués sur la base des informations fournies dans cet article. Les crypto-monnaies sont très volatiles et il est fortement recommandé d’investir avec prudence après une recherche approfondie!
Si vous pensez que le contenu utilisé sur ce site Web porte atteinte à vos droits d’auteur, veuillez nous contacter immédiatement (info@kdj.com) et nous le supprimerons dans les plus brefs délais.
-
- Bitcoin et Ether prospèrent alors que le secteur des jetons basé sur l'IA augmente après la réduction des taux de la Fed
- Sep 24, 2024 at 08:15 am
- Bitcoin et Ether, les deux plus grandes crypto-monnaies par capitalisation boursière, prospéraient lundi matin, soutenus par la récente baisse des taux d'intérêt de la Réserve fédérale américaine.
-
- Le créateur de Bitcoin, Satoshi Nakamoto, avait prédit le potentiel du BTC pour les paiements quotidiens il y a 14 ans, alors qu'il était évalué à 0,07 $
- Sep 24, 2024 at 08:15 am
- Dans une déclaration faite il y a exactement 14 ans, le créateur pseudonyme de Bitcoin, Satoshi Nakamoto, a souligné le potentiel du Bitcoin pour les paiements quotidiens.
-
- ETFSwap (ETFS) vs Meme Coins : quel est l’investissement le plus intelligent en 2024 ?
- Sep 24, 2024 at 08:15 am
- Le concours entre les pièces mèmes et les jetons utilitaires est en cours. À mesure que 2024 avance et que 2025 approche, les investisseurs évaluent leurs options
-
- Bonk Inu (BONK) est sur le point de créer un précédent historique après son annonce
- Sep 24, 2024 at 08:15 am
- D'après les informations dont nous disposons, le ticker serait le même (BONK), et le lancement pourrait être annoncé d'ici la fin de l'année.
-
- Le hashrate Bitcoin se déplace vers les États-Unis après l'interdiction de la Chine
- Sep 24, 2024 at 08:15 am
- Comme le note Ki Young Ju, l’activité minière de Bitcoin se déplace vers les États-Unis, bien que les mineurs chinois dominent toujours.
-
- Prédiction des prix injectifs (INJ) 2023 – L'INJ atteindra-t-il un sommet de 29 $ ?
- Sep 24, 2024 at 08:15 am
- Au cours de la semaine dernière, Injective [INJ] s'est lancé dans un rallye majeur, gagnant 18 % après avoir rebondi depuis la limite inférieure de son canal de négociation.
-
- L'événement WATCoin Farming commence sur la plateforme PoolX de Bitget
- Sep 24, 2024 at 08:15 am
- EREVAN (CoinChapter.com) — Bitget a répertorié WATCoin (WAT) sur sa plateforme de trading le 23 septembre 2024. Cet ajout permet aux utilisateurs de se verrouiller
-
- Réclamez $RON ou regrettez pour toujours !
- Sep 24, 2024 at 08:15 am
- Comment être éligible au Ronin Airdrop : guide rapide et facile
-
- Réclamez $BOBO et devenez un crypto millionnaire !
- Sep 24, 2024 at 08:15 am
- Émissaire du BNB. Écouter. Partager. 🔸Token Airdrop : BOBO🔸Durée : 6 min🔸Investissement initial : zéro🔸Revenus anticipés : plus de 3 400 $+Début