|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
トークンベースの認証は安全ですが、攻撃を受けないわけではありません。組織をより効果的に保護する方法を学びましょう。
Organizations are increasingly turning to token-based authentication to secure their systems. But as this technology becomes more prevalent, so does the need to understand the vulnerabilities that come with it.
組織はシステムを保護するためにトークンベースの認証にますます注目しています。しかし、このテクノロジーが普及するにつれて、それに伴う脆弱性を理解する必要性も高まります。
Dr. Nestori Syynimaa, Senior Principal Security Researcher at Secureworks and developer of the AADInternals toolkit, is at the forefront of exploring these risks. As a teaser of his upcoming Live! 360 session (being held in Orlando, Fla. Nov. 17-22), titled "Exploiting Token Based Authentication: Attacking and Defending Identities in the 2020s," Redmond spoke with Syynimaa about the fundamentals of token-based authentication, common techniques adversaries use to exploit it, and best practices for securing cryptographic secrets used in the process.
Secureworks の上級主任セキュリティ研究者であり、AADInternals ツールキットの開発者である Nestori Syynimaa 博士は、これらのリスクの調査の最前線に立っています。彼の今後のライブのティーザーとして! 360 セッション (11 月 17 日から 22 日までフロリダ州オーランドで開催) で、「トークンベース認証の悪用: 2020 年代のアイデンティティの攻撃と防御」と題して、レドモンド氏はトークンベース認証の基礎と敵対者が使用する一般的な手法について Syynimaa 氏と話しました。それを悪用する方法と、そのプロセスで使用される暗号化秘密を保護するためのベスト プラクティス。
And for more from Syynimaa, you'll won't want to miss his upcoming Live! 360 session, where he promises to equip IT pros with the practical skills needed to detect and defend against token-based authentication exploits. Register by Sept. 27 and save $400!
Syynimaa の詳細については、今後のライブをお見逃しなく。 360 度セッションでは、トークンベースの認証エクスプロイトを検出して防御するために必要な実践的なスキルを IT プロフェッショナルに提供すると約束しています。 9 月 27 日までに登録すると、$400 割引になります!
Redmond: Can you briefly explain the fundamental principles of token-based authentication and its advantages over traditional username and password methods?
レドモンド: トークンベースの認証の基本原理と、従来のユーザー名とパスワードによる認証の利点について簡単に説明してもらえますか?
Syynimaa: In token-based authentication, the roles of Identity Provider (IdP) and Service Provider (SP) are separated. The proof-of-identity (like username and password) are only sent to IdP (like Entra ID). When consuming services, only a token is sent to the SP (like salesforce) over the internet instead of users' credentials.
Syynimaa: トークンベースの認証では、アイデンティティ プロバイダー (IdP) とサービス プロバイダー (SP) の役割が分離されています。身元証明 (ユーザー名やパスワードなど) は IdP (Entra ID など) にのみ送信されます。サービスを利用する場合、ユーザーの資格情報ではなく、トークンのみがインターネット経由で SP (Salesforce など) に送信されます。
One of the main benefits of the separated roles of IdP and SP is that it allows users to sign-in to IdP once and then access multiple SPs (single-sign-on).
IdP と SP の役割を分離する主な利点の 1 つは、ユーザーが IdP に一度サインインすると、複数の SP にアクセスできる (シングル サインオン) ことです。
What are the most common techniques adversaries use to exploit token-based authentication?
攻撃者がトークンベースの認証を悪用するために使用する最も一般的な手法は何ですか?
There are two common techniques: stealing the tokens and stealing the token signing secrets. The former is easier but gives access to a single user for a limited time, whereas the latter is harder but gives permanent access to the whole organization.
一般的な手法は 2 つあります。トークンを盗む方法と、トークン署名シークレットを盗む方法です。前者は簡単ですが、単一ユーザーに限られた時間しかアクセスできません。一方、後者は難しいですが、組織全体に永続的にアクセスできます。
What are some effective methods to detect token-replay and token forging attacks in real-time?
トークンリプレイ攻撃とトークン偽造攻撃をリアルタイムで検出する効果的な方法は何ですか?
First, the prerequisite for all detections is adequate logging in both IdP and SP ends. Second, as detection is based on finding discrepancies between IdP and SP logs, access to both logs is required.
まず、すべての検出の前提条件は、IdP 側と SP 側の両方で適切なログが記録されていることです。次に、検出は IdP ログと SP ログ間の不一致の検出に基づいているため、両方のログへのアクセスが必要です。
What are one or two best practices for securing cryptographic secrets used in token-based authentication?
トークンベースの認証で使用される暗号秘密を保護するためのベスト プラクティスを 1 つまたは 2 つ挙げてください。
There is no silver bullet to protect cryptographic secrets — you just need to follow hardening instructions of each involved system. Generally, Hardware Security Module (HSM) will protect cryptographic keys from stealing, if your IdP supports that.
暗号化秘密を保護する特効薬はありません。必要なのは、関連する各システムの強化指示に従うことだけです。一般に、IdP がサポートしている場合、ハードウェア セキュリティ モジュール (HSM) は暗号キーを盗用から保護します。
How do different implementations of token-based authentication, such as Kerberos, SAML and OAuth, vary in terms of security vulnerabilities?
Kerberos、SAML、OAuth などのトークンベースの認証のさまざまな実装は、セキュリティの脆弱性に関してどのように異なりますか?
The fundamentals of all implementations are the same: trust is based on tokens that are cryptographically signed (or encrypted) by a trusted party.
すべての実装の基本は同じです。つまり、信頼は、信頼できる当事者によって暗号的に署名された (または暗号化された) トークンに基づいています。
What should participants expect from the demo-packed session, and what practical skills will they gain?
参加者はデモ満載のセッションから何を期待する必要がありますか?また、どのような実践的なスキルが得られるでしょうか?
First, I will show demos of both token-based authentication attacks. That allows participants to learn how the attacks in practice. Second, I will share best practices on how to protect the environments from attacks.
まず、両方のトークンベースの認証攻撃のデモを示します。これにより、参加者は実際に攻撃がどのように行われるかを学ぶことができます。次に、環境を攻撃から保護する方法に関するベスト プラクティスを紹介します。
What resources can you point for attendees to learn more about token-based authentication and prepare for your session?
出席者がトークンベースの認証について詳しく学び、セッションの準備をするために、どのようなリソースを紹介できますか?
There are no prerequisites to attend the session (besides general IT knowledge which our participants typically have). Understanding technical details of their own environment eases participants to recognize what is relevant to them.
セッションに参加するための前提条件はありません (参加者が通常持っている一般的な IT 知識以外)。参加者は、自分の環境の技術的な詳細を理解することで、自分たちに何が関係しているかを認識しやすくなります。
免責事項:info@kdj.com
提供される情報は取引に関するアドバイスではありません。 kdj.com は、この記事で提供される情報に基づいて行われた投資に対して一切の責任を負いません。暗号通貨は変動性が高いため、十分な調査を行った上で慎重に投資することを強くお勧めします。
このウェブサイトで使用されているコンテンツが著作権を侵害していると思われる場合は、直ちに当社 (info@kdj.com) までご連絡ください。速やかに削除させていただきます。
-
- FRBの利下げ後にAI主導のトークンセクターが急増する中、ビットコインとイーサが成長
- 2024-09-24 08:15:02
- 時価総額で2大仮想通貨であるビットコインとイーサは、米連邦準備理事会(FRB)の最近の利下げに支えられ、月曜朝には好調だった。
-
- ビットコインの創始者サトシ・ナカモトは、14年前、BTCの価値が0.07ドルだった頃から日常の支払いにBTCの可能性を予見していた
- 2024-09-24 08:15:02
- ちょうど 14 年前に行った声明の中で、仮名のビットコイン作成者サトシ・ナカモトは、日常の支払いにおけるビットコインの可能性を強調しました。
-
- ETFSwap (ETFS) vs Meme Coins: 2024 年にはどちらが賢明な投資ですか?
- 2024-09-24 08:15:02
- ミームコインとユーティリティトークンの間の競争は進行中です。 2024 年が進み 2025 年が近づくにつれ、投資家は選択肢を検討しています
-
- Bonk Inu (BONK) は発表後、歴史的な前例を打ち立てようとしている
- 2024-09-24 08:15:02
- 私たちが得ている情報によると、ティッカーは同じ (BONK) となり、発売は年末までに発表される可能性があります。
-
- 中国の禁止を受けてビットコインのハッシュレートが米国に移行
- 2024-09-24 08:15:02
- Ki Young Ju 氏が指摘しているように、ビットコインのマイニング活動は米国に移りつつありますが、依然として中国のマイナーが優勢です。
-
- インジェクティブ(INJ)価格予測2023 – INJは29ドルのピークに達するか?
- 2024-09-24 08:15:02
- 過去 1 週間で、インジェクティブ [INJ] は大きな上昇に乗り出し、取引チャネルの下限から反発した後、18% 上昇しました。
-
- BitgetのPoolXプラットフォームでWATCoinファーミングイベントが始まる
- 2024-09-24 08:15:02
- YEREVAN (CoinChapter.com) — Bitget は、2024 年 9 月 23 日に WATCoin (WAT) を取引プラットフォームに上場しました。この追加により、ユーザーはロックインできるようになります。
-
- $RON を請求するか、永遠に後悔してください!
- 2024-09-24 08:15:02
- Ronin Airdrop の資格を得る方法: 簡単なガイド
-
- $BOBO を請求して仮想通貨億万長者になろう!
- 2024-09-24 08:15:02
- BNBの使者。聞く。共有。 🔸トークンエアドロップ:BOBO🔸所要時間:6分🔸初期投資:ゼロ🔸予想収益:3400$以上+開始