Usted estĆ” aquĆ:
API (Activar configuraciĆ³n de OAuth): Configurar token de Id.
Esta configuraciĆ³n de seguridad define la vida Ćŗtil criptogrĆ”fica y la estructura de datos del token de Id. de OpenID Connect.
Nombre de control
Aplicaciones conectadas: API (Activar configuraciĆ³n de OAuth): Configurar token de Id.
ConfiguraciĆ³n recomendada
Configurar token de Id. - DuraciĆ³n del token en minutos (2 minutos) | Audiencias de token de Id. | Incluir reclamaciones estĆ”ndar | Incluir permisos personalizados | Atributos personalizados.
DescripciĆ³n general de control
Esta configuraciĆ³n de seguridad define la vida Ćŗtil criptogrĆ”fica y la estructura de datos del token de Id. de OpenID Connect especificando el intervalo de caducidad, los identificadores de audiencia de destino y la inclusiĆ³n de metadatos a nivel de usuario especĆficos.
Riesgo de seguridad si no estĆ” configurado
La escasa duraciĆ³n del token de Id. y los atributos gestionados de forma incorrecta para las sesiones de aplicaciĆ³n conllevan un riesgo de robo de identidad prolongado donde los tokens obsoletos que contienen identificadores de usuario confidenciales siguen siendo vĆ”lidos para la reutilizaciĆ³n no autorizada.
Escenarios de amenazas
Un atacante intercepta un token de Id. duradero y extrae metadatos de usuario persistentes o utiliza la sesiĆ³n activa para imitar a la vĆctima en mĆŗltiples sistemas integrados descendentes que comparten la misma reclamaciĆ³n de audiencia.
Intervalo de puntuaje de CVSS estimado
Alto (7,0 a 8,9).
Consideraciones de impacto de riesgo
El fallo en la implementaciĆ³n de ciclos de vida de tokens cortos y conjuntos de atributos restringidos facilita la recolecciĆ³n no autorizada de identificadores personales y aumenta la probabilidad de ataques de reproducciĆ³n satisfactoria contra la capa de identidad de la organizaciĆ³n.
Mayor riesgo cuando
Cuando el token de Id. incluye atributos personalizados amplios que contienen lĆ³gica de negocio confidencial o cuando la reclamaciĆ³n de audiencia estĆ” establecida en un valor global que permite la aceptaciĆ³n de tokens por proveedores de servicios externos no intencionados.
Bajo riesgo cuando
Si la organizaciĆ³n aplica un plazo de caducidad mĆnimo de dos minutos y utiliza identificadores de audiencia exclusivos para asegurarse de que los tokens estĆ”n vinculados criptogrĆ”ficamente a un Ćŗnico cliente verificado.
Consideraciones de negocio e integraciĆ³n
La implementaciĆ³n de polĆticas de token de Id. restrictivas garantiza el cumplimiento de las leyes de privacidad de datos minimizando la transmisiĆ³n de datos de usuario innecesarios, aunque requiere que la aplicaciĆ³n que consume admita ciclos de actualizaciĆ³n de tokens frecuentes.
RemediaciĆ³n recomendada
Vaya a PolĆticas de OAuth para la aplicaciĆ³n conectada, establezca la Validez del token de Id. en dos minutos, defina las Audiencias del token de Id. y seleccione solo las reclamaciones estĆ”ndar y personalizadas necesarias.
Directrices de revisiĆ³n del estado de seguridad
Security Health Review identifica el uso de tokens de Id. de corta duraciĆ³n y restringidos a reclamaciones como un estĆ”ndar altamente recomendado para minimizar la ventana de oportunidad para el mal uso de credenciales y evitar la exposiciĆ³n de metadatos de usuario persistentes.
