|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
基於令牌的身份驗證是安全的,但不能免受攻擊。了解如何更好地保護您的組織。
Organizations are increasingly turning to token-based authentication to secure their systems. But as this technology becomes more prevalent, so does the need to understand the vulnerabilities that come with it.
組織越來越多地轉向基於令牌的身份驗證來保護其係統。但隨著這項技術變得越來越普遍,了解它所帶來的漏洞的需求也隨之增加。
Dr. Nestori Syynimaa, Senior Principal Security Researcher at Secureworks and developer of the AADInternals toolkit, is at the forefront of exploring these risks. As a teaser of his upcoming Live! 360 session (being held in Orlando, Fla. Nov. 17-22), titled "Exploiting Token Based Authentication: Attacking and Defending Identities in the 2020s," Redmond spoke with Syynimaa about the fundamentals of token-based authentication, common techniques adversaries use to exploit it, and best practices for securing cryptographic secrets used in the process.
Secureworks 的高級首席安全研究員兼 AADInternals 工具包的開發者 Nestori Syynimaa 博士處於探索這些風險的最前沿。作為他即將推出的 Live! 的預告片! 360 度會議(11 月17 日至22 日在佛羅裡達州奧蘭多舉行),題為“利用基於令牌的身份驗證:2020 年代的攻擊和防禦身份”,Redmond 與Syynimaa 討論了基於令牌的身份驗證的基礎知識、對手使用的常見技術利用它,以及保護過程中使用的加密秘密的最佳實踐。
And for more from Syynimaa, you'll won't want to miss his upcoming Live! 360 session, where he promises to equip IT pros with the practical skills needed to detect and defend against token-based authentication exploits. Register by Sept. 27 and save $400!
如需了解 Syynimaa 的更多信息,您一定不想錯過他即將舉行的現場直播! 360 會議中,他承諾為 IT 專業人員提供偵測和防禦基於令牌的身份驗證漏洞所需的實用技能。 9 月 27 日之前註冊可節省 400 美元!
Redmond: Can you briefly explain the fundamental principles of token-based authentication and its advantages over traditional username and password methods?
雷蒙德:您能否簡要解釋一下基於令牌的身份驗證的基本原理及其相對於傳統使用者名稱和密碼方法的優勢?
Syynimaa: In token-based authentication, the roles of Identity Provider (IdP) and Service Provider (SP) are separated. The proof-of-identity (like username and password) are only sent to IdP (like Entra ID). When consuming services, only a token is sent to the SP (like salesforce) over the internet instead of users' credentials.
Syynimaa:在基於令牌的身份驗證中,身分提供者 (IdP) 和服務提供者 (SP) 的角色是分開的。身分證明(如使用者名稱和密碼)僅傳送給 IdP(如 Entra ID)。使用服務時,僅透過網際網路向 SP(如 salesforce)發送令牌,而不是使用者的憑證。
One of the main benefits of the separated roles of IdP and SP is that it allows users to sign-in to IdP once and then access multiple SPs (single-sign-on).
IdP 和 SP 角色分離的主要好處之一是,它允許使用者登入 IdP 一次,然後存取多個 SP(單一登入)。
What are the most common techniques adversaries use to exploit token-based authentication?
攻擊者最常使用哪些技術來利用基於令牌的身份驗證?
There are two common techniques: stealing the tokens and stealing the token signing secrets. The former is easier but gives access to a single user for a limited time, whereas the latter is harder but gives permanent access to the whole organization.
有兩種常見的技術:竊取令牌和竊取令牌簽名秘密。前者更容易,但允許單一使用者在有限的時間內訪問,而後者更難,但允許整個組織永久訪問。
What are some effective methods to detect token-replay and token forging attacks in real-time?
有哪些有效的方法可以即時偵測令牌重播和令牌偽造攻擊?
First, the prerequisite for all detections is adequate logging in both IdP and SP ends. Second, as detection is based on finding discrepancies between IdP and SP logs, access to both logs is required.
首先,所有偵測的前提是 IdP 和 SP 端都有足夠的日誌記錄。其次,由於偵測是基於查找 IdP 和 SP 日誌之間的差異,因此需要存取這兩種日誌。
What are one or two best practices for securing cryptographic secrets used in token-based authentication?
用於保護基於令牌的身份驗證中使用的加密秘密的一兩個最佳實踐是什麼?
There is no silver bullet to protect cryptographic secrets — you just need to follow hardening instructions of each involved system. Generally, Hardware Security Module (HSM) will protect cryptographic keys from stealing, if your IdP supports that.
保護加密秘密沒有靈丹妙藥——您只需要遵循每個相關係統的強化說明。一般來說,如果您的 IdP 支持,硬體安全模組 (HSM) 將保護加密金鑰免遭竊取。
How do different implementations of token-based authentication, such as Kerberos, SAML and OAuth, vary in terms of security vulnerabilities?
基於令牌的身份驗證的不同實作(例如 Kerberos、SAML 和 OAuth)在安全漏洞方面有何不同?
The fundamentals of all implementations are the same: trust is based on tokens that are cryptographically signed (or encrypted) by a trusted party.
所有實作的基本原理都是相同的:信任是基於由受信任方加密簽章(或加密)的令牌。
What should participants expect from the demo-packed session, and what practical skills will they gain?
參與者應該從演示會議中期待什麼?
First, I will show demos of both token-based authentication attacks. That allows participants to learn how the attacks in practice. Second, I will share best practices on how to protect the environments from attacks.
首先,我將展示兩個基於令牌的身份驗證攻擊的演示。這使得參與者能夠在實踐中了解如何進行攻擊。其次,我將分享有關如何保護環境免受攻擊的最佳實踐。
What resources can you point for attendees to learn more about token-based authentication and prepare for your session?
您可以為與會者提供哪些資源來了解有關基於令牌的身份驗證的更多資訊並為您的會議做好準備?
There are no prerequisites to attend the session (besides general IT knowledge which our participants typically have). Understanding technical details of their own environment eases participants to recognize what is relevant to them.
參加會議沒有任何先決條件(除了我們的參與者通常具備的一般 IT 知識)。了解自己環境的技術細節可以幫助參與者輕鬆識別與他們相關的內容。
免責聲明:info@kdj.com
所提供的資訊並非交易建議。 kDJ.com對任何基於本文提供的資訊進行的投資不承擔任何責任。加密貨幣波動性較大,建議您充分研究後謹慎投資!
如果您認為本網站使用的內容侵犯了您的版權,請立即聯絡我們(info@kdj.com),我們將及時刪除。
-
- 聯準會降息後,人工智慧驅動的代幣產業激增,比特幣和以太坊蓬勃發展
- 2024-09-24 08:15:02
- 比特幣和以太幣是市值最大的兩種加密貨幣,在聯準會最近降息的提振下,週一上午表現強勁。
-
- 比特幣創造者中本聰在 14 年前就預見了 BTC 在日常支付方面的潛力,當時它的估值為 0.07 美元
- 2024-09-24 08:15:02
- 在 14 年前的聲明中,化名的比特幣創造者中本聰強調了比特幣在日常支付方面的潛力。
-
- ETFSwap (ETFS) 與 Meme 幣:2024 年哪個投資比較明智?
- 2024-09-24 08:15:02
- 模因幣和實用代幣之間的競爭正在進行中。隨著 2024 年的到來和 2025 年的臨近,投資者正在權衡他們的選擇
-
- Bonk Inu (BONK) 宣布後即將創下歷史先例
- 2024-09-24 08:15:02
- 根據我們所掌握的信息,股票代碼將是相同的(BONK),並且可能會在今年年底宣布推出。
-
- 中國禁令後比特幣算力轉移到美國
- 2024-09-24 08:15:02
- 正如 Ki Young Ju 指出的那樣,比特幣挖礦活動正在轉移到美國,儘管中國礦商仍然佔據主導地位。
-
- 2023 年單射 (INJ) 價格預測 – INJ 會達到 29 美元高峰嗎?
- 2024-09-24 08:15:02
- 過去一周,Injective [INJ] 開始大幅上漲,從交易通道下限反彈後上漲 18%。
-
- WATCoin挖礦活動在Bitget的PoolX平台啟動
- 2024-09-24 08:15:02
- 埃里溫 (CoinChapter.com) — Bitget 於 2024 年 9 月 23 日在其交易平台上列出了 WATCoin (WAT)。
-
- 索取 RON 或永遠後悔!
- 2024-09-24 08:15:02
- 如何獲得 Ronin 空投資格:快速簡單指南
-
- 領取 $BOBO 並成為加密貨幣百萬富翁!
- 2024-09-24 08:15:02
- BNB使者。聽。分享。 🔸代幣空投:BOBO🔸持續時間:6分鐘🔸初始投資:零🔸預期收益:超過3400$+開始