「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>OAuth 2.0 Threat Model and Security Considerations]]

* 目次 [#db7f0327]
#contents

*概要 [#yb50747c]
OAuth 2.0 Threat Model and Security Considerationsの~
一般的なすべてのOAuthコンポーネントに適用されるセキュリティ考慮事項。

*サーバへの要求 [#y533fd4f]
**対象 [#p4a1eecd]
要求
-Client(UserAgent)からAuthorization Server
-Client(UserAgent)からResource Server

**脅威 [#o5c4480e]
各種トークンの傍受攻撃または再生攻撃が可能になる。

**対策 [#dd3c9c49]
SSL/TLSを利用する。

*サーバ証明 [#rf5914dc]
**対象 [#u74c2000]
各種サーバ
-Authorization Server
-Client(Web application)
-Resource Server

**脅威 [#n12327fc]
偽造サーバへの誘導

**対策 [#t2aa0101]
SSL/TLS(サーバ証明)の利用

*Resource Ownerへの通知 [#l3bff01f]

**対象 [#x1fd1840]
各種イベント

-非対話的フローでの認可
-リフレッシュ
-, etc.

**脅威 [#c99e7969]
特定の種類の攻撃

**対策 [#qa143eb2]
下記により、攻撃を認識する可能性がある。

-認可画面の表示

-Notification messages (email, SMS)~
通知はフィッシング媒介になる可能性があることに注意

-アクティビティ/イベントログ
-ユーザ・セルフケア・ポータル

*資格情報(Credentials) [#zca7e2c1]
**対象 [#y4c93394]
各種、資格情報。

-認証情報
--client_id/client_secret
--ユーザID/パスワード

-トークン
--refresh_token
--access_token
--code
--, etc.

**脅威 [#e3c22935]
-資格情報への不正アクセス
-資格情報の濫用

**対策 [#ka2338ef]
認証情報を保護

-[[資格情報保護のベストプラクティスを実施>https://www.owasp.org/]]
--標準のシステムセキュリティ手段を実施する
--標準のSQLインジェクション対策を実施する
--クレデンシャルの非平文記憶
--資格情報の暗号化
--非対称暗号の使用

*資格情報へのオンライン攻撃 [#x31acf6f]

**対象 [#o62784bc]
-[[#zca7e2c1]]と同じ。
-一部に、トークンハンドルを含む。

**脅威 [#l8184c83]
[[#zca7e2c1]]と同じ。

**対策 [#e36b39aa]
-安全なパスワードポリシー

-高いエントロピーを使用
--認証サーバによって生成
--128ビット以上
--暗号的に強いランダム/擬似乱数シーケンスを活用

-ロックアウトを使用する。
-タールピット(一時的ロック)を使用する。
-CAPTCHAを使用する(UXへの悪影響有り)。

*トークン [#q40cb227]
**対象 [#a42bf621]
-code
-access_token
-refresh_token

**脅威 [#ae4637be]
-トークンリーク
-悪質なソフトウェアへのトークン発行
-非対話型の認可タイプによる意図しないトークン発行

**対策 [#b9904fd3]
-特有のポリシーでscopeを制限する
--認可タイプ
---対話型
---非対話型
--役割
---Client
---Resource Server
---Resource Owner

-短い有効期限を使用する~
他のセキュリティ対策(シグネチャなど)が補完/強化され、~
あらゆる種類のトークンリークの影響が軽減される。

-使用回数の制限
-特定のResource Serverにバインド

----
Tags: [[:認証基盤]], [[:クレームベース認証]], [[:OAuth]]

トップ   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS