マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

OAuth 2.0 Threat Model and Security Considerations
Flowに着目した脅威モデルのうち、ここでは唯一、
サインイン・プロセスの問題を扱う(ただし非対話)。

OAuth 2.0ではIdPの仕様について言及されていないので。

サインイン・プロセスの問題

レガシー/マイグレーションの理由でよく使用される。

攻撃

  • ユーザID/パスワードの漏洩
  • 非対話的問題を突いた攻撃。

対策

限定的に利用する。

  • 基本認証から移行する過渡期
  • UserAgent?がAuthorization Serverに接続できない場合
  • ClientとAuthorization Serverが同じ組織に利用されているケース

共通項

  • Resource Ownerは認可プロセスを制御できない。
  • ClientにユーザID/パスワードが渡る。

共通的な影響

悪意のあるClientにscopeの広いトークンが悪用され得る。

  • Resource Ownerは、認可プロセスを制御できない。
    故に、非対話的問題を突いた攻撃を受け易い(scopeの広いトークン)。
  • ClientにユーザID/パスワードが渡る。
    故に、トークン取り消しが機能しない。

ユーザID/パスワードの漏洩

ユーザID/パスワードの盗難

影響

共通的な影響

攻撃

悪意のあるClientによるユーザID/パスワード盗難

対策

  • Resource Ownerに異なるサービスに同じ
    ユーザID/パスワードを使用しないように促す。
    (悪意のあるClientが別のサービスにログイン可能)
  • refresh_tokenとclient_idの紐付けを検証
    (audによるClient制限を行うことが出来る)

ユーザID/パスワードの盗聴

影響

共通的な影響

攻撃

エンドポイントに対するユーザID/パスワード盗聴

対策

  • SSL/TLSを利用する。
  • 平文認証を使用しない代替認証を使用する。

ユーザID/パスワードのオンライン推測

影響

単一のユーザID/パスワードの組み合わせの啓示

攻撃

有効なユーザID/パスワードの組み合わせを推測

対策

  • 他のフローを使用する。
  • サインイン
    • 安全なパスワード・ポリシー設定する。
    • ロックアウトを使用する。
    • タールピットを使用する。
    • CAPTCHAを使用する。
  • クライアント認証を併用する。

Client側でのユーザID/パスワードの露見アクシデント

影響

共通的な影響

攻撃

Clientが十分な保護を提供していない場合、偶発的に起きる。

対策

  • 他のフローを使用する。
  • (Client側で)ログのパスワードを難読化
  • (Client-AuthZ側で)
    • 要求の機密性を確保する(TLS、VPN)
    • ダイジェスト認証を使用

DBからユーザID/パスワードを盗難

影響

すべてのユーザID/パスワードの開示

攻撃

  • データベースへのアクセス権を取得
  • SQLインジェクション攻撃

対策

  • システムのセキュリティ対策を実施
  • 標準のSQLインジェクション対策を実施
  • ハッシュのみを格納

非対話的問題を突いた攻撃。

ユーザID/パスワードのオンライン推測

意図しない不要に大きなscope

影響

悪意のあるClientが、不要に大きなscopeを持ったトークンを取得できる。

攻撃

悪意のあるClientが、不要に大きなscopeを持ったトークンを要求する。

対策

  • 他の(対話的)フローを使用する。
  • 認可されるscopeを、
    • 当該(非対話的)フローで制限
    • Clientの信頼性よって緩和
    • 任意の通知手段によってResource Ownerに通知する。

refresh_tokenによる長期的認可の維持

影響

長期的認可の維持
(この場合、Resource OwnerのCredential変更も有効でない)

攻撃

自動再認可でrefresh_tokenを入手。

対策

  • 他の(対話的)フローを使用する。
  • 当該フローでrefresh_tokenの発行を
    • しない。
    • Clientの信頼性よって緩和
    • 任意の通知手段によってResource Ownerに通知する。

Tags: :IT国際標準, :認証基盤, :クレームベース認証, :OAuth


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2018-10-26 (金) 16:10:35 (22d)