|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
토큰 기반 인증은 안전하지만 공격으로부터 면역되지는 않습니다. 조직을 더욱 효과적으로 보호할 수 있는 방법을 알아보세요.
Organizations are increasingly turning to token-based authentication to secure their systems. But as this technology becomes more prevalent, so does the need to understand the vulnerabilities that come with it.
시스템 보안을 위해 점점 더 많은 조직이 토큰 기반 인증으로 전환하고 있습니다. 그러나 이 기술이 더욱 널리 보급됨에 따라 그에 수반되는 취약점을 이해해야 할 필요성도 커졌습니다.
Dr. Nestori Syynimaa, Senior Principal Security Researcher at Secureworks and developer of the AADInternals toolkit, is at the forefront of exploring these risks. As a teaser of his upcoming Live! 360 session (being held in Orlando, Fla. Nov. 17-22), titled "Exploiting Token Based Authentication: Attacking and Defending Identities in the 2020s," Redmond spoke with Syynimaa about the fundamentals of token-based authentication, common techniques adversaries use to exploit it, and best practices for securing cryptographic secrets used in the process.
Secureworks의 수석 보안 연구원이자 AADInternals 툴킷의 개발자인 Nestori Syynimaa 박사는 이러한 위험을 탐색하는 데 앞장서고 있습니다. 다가오는 Live의 티저로! 360 세션(11월 17~22일 플로리다주 올랜도에서 개최) "토큰 기반 인증 활용: 2020년대 신원 공격 및 방어"라는 제목으로 Redmond는 Syynimaa와 함께 토큰 기반 인증의 기본 사항, 공격자가 사용하는 일반적인 기술에 대해 이야기했습니다. 이를 활용하는 방법과 프로세스에 사용되는 암호화 비밀을 보호하기 위한 모범 사례를 소개합니다.
And for more from Syynimaa, you'll won't want to miss his upcoming Live! 360 session, where he promises to equip IT pros with the practical skills needed to detect and defend against token-based authentication exploits. Register by Sept. 27 and save $400!
그리고 Syynimaa의 더 많은 소식을 듣고 싶으시다면 곧 공개될 Live!를 놓치고 싶지 않으실 겁니다! 360 세션에서 그는 IT 전문가에게 토큰 기반 인증 악용을 탐지하고 방어하는 데 필요한 실용적인 기술을 제공할 것을 약속합니다. 9월 27일까지 등록하고 $400를 절약하세요!
Redmond: Can you briefly explain the fundamental principles of token-based authentication and its advantages over traditional username and password methods?
Redmond: 토큰 기반 인증의 기본 원칙과 기존 사용자 이름 및 비밀번호 방법에 비해 장점을 간략하게 설명해 주시겠습니까?
Syynimaa: In token-based authentication, the roles of Identity Provider (IdP) and Service Provider (SP) are separated. The proof-of-identity (like username and password) are only sent to IdP (like Entra ID). When consuming services, only a token is sent to the SP (like salesforce) over the internet instead of users' credentials.
Syynimaa: 토큰 기반 인증에서는 ID 공급자(IdP)와 서비스 공급자(SP)의 역할이 분리됩니다. 신원 증명(예: 사용자 이름 및 비밀번호)은 IdP(예: Entra ID)로만 전송됩니다. 서비스를 소비할 때 사용자의 자격 증명 대신 인터넷을 통해 토큰만 SP(예: Salesforce)로 전송됩니다.
One of the main benefits of the separated roles of IdP and SP is that it allows users to sign-in to IdP once and then access multiple SPs (single-sign-on).
IdP와 SP의 분리된 역할의 주요 이점 중 하나는 사용자가 IdP에 한 번 로그인한 후 여러 SP에 액세스할 수 있다는 것입니다(Single-Sign-On).
What are the most common techniques adversaries use to exploit token-based authentication?
공격자가 토큰 기반 인증을 악용하기 위해 사용하는 가장 일반적인 기술은 무엇입니까?
There are two common techniques: stealing the tokens and stealing the token signing secrets. The former is easier but gives access to a single user for a limited time, whereas the latter is harder but gives permanent access to the whole organization.
두 가지 일반적인 기술이 있습니다. 토큰을 훔치는 것과 토큰 서명 비밀을 훔치는 것입니다. 전자는 더 쉽지만 제한된 시간 동안 단일 사용자에게 액세스 권한을 부여하는 반면, 후자는 더 어렵지만 전체 조직에 대한 영구적인 액세스 권한을 제공합니다.
What are some effective methods to detect token-replay and token forging attacks in real-time?
토큰 재생 및 토큰 위조 공격을 실시간으로 탐지하는 효과적인 방법은 무엇입니까?
First, the prerequisite for all detections is adequate logging in both IdP and SP ends. Second, as detection is based on finding discrepancies between IdP and SP logs, access to both logs is required.
첫째, 모든 탐지에 대한 전제 조건은 IdP와 SP 끝 모두에 적절한 로깅입니다. 둘째, 탐지는 IdP 로그와 SP 로그 간의 불일치를 찾는 것을 기반으로 하므로 두 로그 모두에 대한 액세스가 필요합니다.
What are one or two best practices for securing cryptographic secrets used in token-based authentication?
토큰 기반 인증에 사용되는 암호화 비밀을 보호하기 위한 한두 가지 모범 사례는 무엇입니까?
There is no silver bullet to protect cryptographic secrets — you just need to follow hardening instructions of each involved system. Generally, Hardware Security Module (HSM) will protect cryptographic keys from stealing, if your IdP supports that.
암호화 비밀을 보호하기 위한 만병통치약은 없습니다. 관련된 각 시스템의 강화 지침을 따르기만 하면 됩니다. 일반적으로 HSM(하드웨어 보안 모듈)은 IdP가 지원하는 경우 암호화 키를 도용으로부터 보호합니다.
How do different implementations of token-based authentication, such as Kerberos, SAML and OAuth, vary in terms of security vulnerabilities?
Kerberos, SAML 및 OAuth와 같은 다양한 토큰 기반 인증 구현은 보안 취약점 측면에서 어떻게 다릅니까?
The fundamentals of all implementations are the same: trust is based on tokens that are cryptographically signed (or encrypted) by a trusted party.
모든 구현의 기본은 동일합니다. 즉, 신뢰는 신뢰할 수 있는 당사자가 암호화하여 서명한(또는 암호화한) 토큰을 기반으로 합니다.
What should participants expect from the demo-packed session, and what practical skills will they gain?
참가자들은 데모로 구성된 세션에서 무엇을 기대해야 하며, 어떤 실무 기술을 얻게 됩니까?
First, I will show demos of both token-based authentication attacks. That allows participants to learn how the attacks in practice. Second, I will share best practices on how to protect the environments from attacks.
먼저 두 가지 토큰 기반 인증 공격에 대한 데모를 보여 드리겠습니다. 이를 통해 참가자는 실제로 공격하는 방법을 배울 수 있습니다. 둘째, 공격으로부터 환경을 보호하는 방법에 대한 모범 사례를 공유하겠습니다.
What resources can you point for attendees to learn more about token-based authentication and prepare for your session?
참석자가 토큰 기반 인증에 대해 자세히 알아보고 세션을 준비할 수 있도록 어떤 리소스를 알려줄 수 있나요?
There are no prerequisites to attend the session (besides general IT knowledge which our participants typically have). Understanding technical details of their own environment eases participants to recognize what is relevant to them.
세션에 참석하기 위한 전제 조건은 없습니다(참가자들이 일반적으로 갖고 있는 일반적인 IT 지식 외에). 자신의 환경에 대한 기술적인 세부 사항을 이해하면 참가자는 자신과 관련된 내용을 쉽게 인식할 수 있습니다.
부인 성명:info@kdj.com
제공된 정보는 거래 조언이 아닙니다. kdj.com은 이 기사에 제공된 정보를 기반으로 이루어진 투자에 대해 어떠한 책임도 지지 않습니다. 암호화폐는 변동성이 매우 높으므로 철저한 조사 후 신중하게 투자하는 것이 좋습니다!
본 웹사이트에 사용된 내용이 귀하의 저작권을 침해한다고 판단되는 경우, 즉시 당사(info@kdj.com)로 연락주시면 즉시 삭제하도록 하겠습니다.
-
- 연준 금리 인하 이후 AI 기반 토큰 부문 급증으로 비트코인과 이더리움이 번성
- 2024-09-24 08:15:02
- 시가총액 기준으로 가장 큰 두 암호화폐인 비트코인과 이더리움은 미국 연방준비제도(Fed)의 최근 금리 인하에 힘입어 월요일 아침 상승세를 보였습니다.
-
- 비트코인 창시자 나카모토 사토시(Satoshi Nakamoto)는 14년 전 0.07달러로 평가되던 BTC의 일상 결제용 잠재력을 예견했습니다.
- 2024-09-24 08:15:02
- 정확히 14년 전에 발표된 성명에서, 익명의 비트코인 창시자인 나카모토 사토시(Satoshi Nakamoto)는 비트코인의 일상 결제 잠재력을 강조했습니다.
-
- ETFSwap(ETFS) 대 Meme 코인: 2024년에 어느 것이 더 현명한 투자입니까?
- 2024-09-24 08:15:02
- 밈 코인과 유틸리티 토큰 간의 경쟁이 진행 중입니다. 2024년이 다가오고 2025년이 다가옴에 따라 투자자들은 옵션을 저울질하고 있습니다.
-
- 봉크이누(BONK) 발표 후 역사적 선례 세우기 직전
- 2024-09-24 08:15:02
- 우리에게 공개된 정보에 따르면 티커는 동일하며(BONK) 출시는 연말까지 발표될 수 있습니다.
-
- 중국 금지 이후 비트코인 해시레이트가 미국으로 이동
- 2024-09-24 08:15:02
- 주기영이 지적했듯이, 비트코인 채굴 활동은 미국으로 옮겨가고 있지만 여전히 중국 채굴자들이 지배하고 있습니다.
-
- 인젝티브(INJ) 가격 예측 2023 – INJ가 $29 정점에 도달할까요?
- 2024-09-24 08:15:02
- 지난 주 동안 Injective [INJ]는 거래 채널 하한선에서 반등한 후 18% 상승하는 등 큰 상승세를 보였습니다.
-
- Bitget의 PoolX 플랫폼에서 WATCoin 파밍 이벤트가 시작됩니다
- 2024-09-24 08:15:02
- YEREVAN(CoinChapter.com) — Bitget은 2024년 9월 23일에 WATCoin(WAT)을 거래 플랫폼에 상장했습니다. 이 추가를 통해 사용자는 고정할 수 있습니다.
-
- $RON을 청구하지 않으면 영원히 후회하세요!
- 2024-09-24 08:15:02
- Ronin Airdrop 자격을 갖추는 방법: 빠르고 쉬운 가이드
-
- $BOBO를 청구하고 암호화폐 백만장자가 되세요!
- 2024-09-24 08:15:02
- BNB 특사. 듣다. 공유하다. 🔸토큰 에어드랍: BOBO🔸기간: 6분🔸초기 투자: 0🔸예상 수익: 3400$ 이상+시작