Das "Sicherheitsproblem" spielt erst mal keine große Rolle. Denn hierfür muss der entsprechende Benutzer bereits kompromitiert worden sein zumal man noch das Passwort des Benutzers benötigt. Das sind erst mal Hürden, die überwunden werden wollen. Das der Code auch nur ~60s gültig ist, ist das nächste Problem, dem sich ein Hacker stellen muss. Es dürfte da schon einfacher sein, sich in den Browser einzuschleusen und das Cookie mit dem Token bzw, die Tokens direkt aus den Requests auszulesen und zu versenden. Dieses ist ein minimaler Datensatz, fällt kaum auf (da minimalster Traffic) und ist minimal eine Stunde (ab Ausstellung) gültig, selbst wenn der Benutzeraccount gesperrt wird (schöne neue Cloud-Welt). 1 mal bearbeitet, zuletzt am 09.03.20 15:43 durch Allandor.

Zu dem Sicherheitsproblem - Active Directory: Microsofts Mehrfaktor-Login ist sicher hinter der Paywall

‹
Thema
›

Zu dem Sicherheitsproblem

Autor: Allandor 09.03.20 - 15:25

Das "Sicherheitsproblem" spielt erst mal keine große Rolle. Denn hierfür muss der entsprechende Benutzer bereits kompromitiert worden sein zumal man noch das Passwort des Benutzers benötigt. Das sind erst mal Hürden, die überwunden werden wollen.
Das der Code auch nur ~60s gültig ist, ist das nächste Problem, dem sich ein Hacker stellen muss.
Es dürfte da schon einfacher sein, sich in den Browser einzuschleusen und das Cookie mit dem Token bzw, die Tokens direkt aus den Requests auszulesen und zu versenden. Dieses ist ein minimaler Datensatz, fällt kaum auf (da minimalster Traffic) und ist minimal eine Stunde (ab Ausstellung) gültig, selbst wenn der Benutzeraccount gesperrt wird (schöne neue Cloud-Welt).

1 mal bearbeitet, zuletzt am 09.03.20 15:43 durch Allandor.

‹
Thema
›

Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Zu dem Sicherheitsproblem

Zu dem Sicherheitsproblem

Autor: Allandor 09.03.20 - 15:25