「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
OAuth 2.0 Threat Model and Security Considerationsの
Flowに着目した脅威モデルのうち、ここでは唯一、
サインイン・プロセスの問題を扱う(ただし非対話)。
※ OAuth 2.0ではIdPの仕様について言及されていないので。
サインイン・プロセスの問題 †
レガシー/マイグレーションの理由でよく使用される。
攻撃 †
- ユーザID/パスワードの漏洩
- 非対話的問題を突いた攻撃。
対策 †
限定的に利用する。
- 基本認証から移行する過渡期
- UserAgent?がAuthorization Serverに接続できない場合
- ClientとAuthorization Serverが同じ組織に利用されているケース
共通項 †
- Resource Ownerは認可プロセスを制御できない。
- ClientにユーザID/パスワードが渡る。
共通的な影響 †
悪意のあるClientにscopeの広いトークンが悪用され得る。
- Resource Ownerは、認可プロセスを制御できない。
故に、非対話的問題を突いた攻撃を受け易い(scopeの広いトークン)。
- ClientにユーザID/パスワードが渡る。
故に、トークン取り消しが機能しない。
ユーザID/パスワードの漏洩 †
ユーザID/パスワードの盗難 †
影響 †
共通的な影響
攻撃 †
悪意のあるClientによるユーザID/パスワード盗難
対策 †
- Resource Ownerに異なるサービスに同じ
ユーザID/パスワードを使用しないように促す。
(悪意のあるClientが別のサービスにログイン可能)
- refresh_tokenとclient_idの紐付けを検証
(audによるClient制限を行うことが出来る)
ユーザID/パスワードの盗聴 †
影響 †
共通的な影響
攻撃 †
エンドポイントに対するユーザID/パスワード盗聴
対策 †
- SSL/TLSを利用する。
- 平文認証を使用しない代替認証を使用する。
ユーザID/パスワードのオンライン推測 †
影響 †
単一のユーザID/パスワードの組み合わせの啓示
攻撃 †
有効なユーザID/パスワードの組み合わせを推測
対策 †
- サインイン
- 安全なパスワード・ポリシー設定する。
- ロックアウトを使用する。
- タールピットを使用する。
- CAPTCHAを使用する。
Client側でのユーザID/パスワードの露見アクシデント †
影響 †
共通的な影響
攻撃 †
Clientが十分な保護を提供していない場合、偶発的に起きる。
対策 †
- 他のフローを使用する。
- (Client側で)ログのパスワードを難読化
- (Client-AuthZ側で)
- 要求の機密性を確保する(TLS、VPN)
- ダイジェスト認証を使用
DBからユーザID/パスワードを盗難 †
影響 †
すべてのユーザID/パスワードの開示
攻撃 †
- データベースへのアクセス権を取得
- SQLインジェクション攻撃
対策 †
- システムのセキュリティ対策を実施
- 標準のSQLインジェクション対策を実施
- ハッシュのみを格納
非対話的問題を突いた攻撃。 †
意図しない不要に大きなscope †
影響 †
悪意のあるClientが、不要に大きなscopeを持ったトークンを取得できる。
攻撃 †
悪意のあるClientが、不要に大きなscopeを持ったトークンを要求する。
対策 †
- 認可されるscopeを、
- 当該(非対話的)フローで制限
- Clientの信頼性よって緩和
- 任意の通知手段によってResource Ownerに通知する。
refresh_tokenによる長期的認可の維持 †
影響 †
長期的認可の維持
(この場合、Resource OwnerのCredential変更も有効でない)
攻撃 †
自動再認可でrefresh_tokenを入手。
対策 †
- 当該フローでrefresh_tokenの発行を
- しない。
- Clientの信頼性よって緩和
- 任意の通知手段によってResource Ownerに通知する。
Tags: :IT国際標準, :認証基盤, :クレームベース認証, :OAuth
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
