Olet tässä:
Tietoturva: Vaadi koodinvaihdon todennusavain (PKCE)
Tämä suojausasetus vaatii, että kaikkien yhteensopivien OAuth 2 -todennuksen kanssa tehdään kryptografinen kädenputous.
Ohjaimen nimi
Ulkoiset asiakassovellukset: Tietoturva: Vaadi koodinvaihdon todennusavain (PKCE)
Suositeltu kokoonpano
Vaadi Proof Key for Code Exchange (PKCE) -laajennus tuetuille valtuutuskuluille.
Ohjauksen yleiskatsaus
Tämä suojausasetus vaatii kryptografisen kädenkuvan kaikille yhteensopiville OAuth 2.0 -tyypeille, joissa asiakassovellus lähettää tiivistetyn koodin haasteen ensimmäisen pyynnön aikana, ja plaintext-koodin vahvistuksen valtuuden vaihdon aikana, jotta pyyntö sitoutuu tiettyyn asiakassovelluksen esiintymään.
Tietoturvariski, jos ei määritetty
Ilman PKCE-vahvistusta kaikissa tuetuissa kuluissa, vahvistettu valtuutuskoodi tai väliaikainen tunnus voidaan vaihtaa onnistuneesti käyttöoikeusvaltuuteen pahantahtoisella toimijalla, koska valtuutuspalvelimella ei ole teknistä mekanismia alkuperäisen soittajan henkilöllisyyden vahvistamiseksi.
Uhkien skenaariot
Hyökkääjä kaappaa kelvollisen valtuutuskoodin tai kaapattavan tunnuksen onnistuneesta sisäänkirjautumisesta — selainhistorian, järjestelmälokien tai mukautetun URI-skeeman kaappauksen kautta — ja saa ohjelmallisesti kelvollisen istuntotunnuksen ennen kuin laillinen asiakassovellus voi suorittaa kädenlyönnin loppuun.
Arvioitu CVSS-pistealue
Korkea (7.0–8,9).
Riskien vaikutuksissa huomioitavia asioita
Jos PKCE:tä ei noudateta kaikissa asiaankuuluvissa kuluissa, istunnon kaappaus ja valtuuttamattomat tietojen käyttö tapahtuvat laajasti, erityisesti integrointiin, jossa staattista asiakassalaisuutta ei ole käytetty tai jossa se on vaarantunut.
Korkeampi riski, kun
Riski on suurempi julkisille asiakkaille, kuten paikallisille mobiilisovelluksille ja yksisivuisille verkkosovelluksille (SPA), koska nämä alustat eivät voi tallentaa asiakassalaisuutta turvallisesti ja toimivat usein ympäristöissä, joissa liikenteen uudelleenohjaus on havaittavissa.
Matalan riskin milloin
Tämä skenaario on vähemmän riskialtis, jos organisaatio käyttää luottamuksellisia asiakassovelluksia ainoastaan suojatuilla taustapalvelimilla, jotka noudattavat jo pakollista asiakassalaisuutta ja jotka toimivat tarkasti eristetyssä verkkoalueessa.
Liiketoiminnassa ja integraatiossa huomioitavia asioita
Tämän vaatimuksen ottaminen käyttöön kaikille tuetuille kuluille vaatii, että kaikki integroidut asiakassovellukset tukevat S256-transformaatiomenetelmää ja hallitsevat yksilöllisiä korkean entropian merkkijonoja jokaiselle transaktiolle.
Suositeltu korjaus
Avaa Ulkoisen asiakassovelluksen OAuth-asetukset ja valitse Vaadi todennusavain koodin vaihtoon (PKCE) -valintaruutu kaikille tuetuille valtuutuskuluille.
Tietoturvan terveystarkastuksen ohjeet
Tietoturvan terveystarkastus tunnistaa PKCE:n pakolliseksi arkkitehtoniseksi standardiksi kaikille nykyaikaisille henkilöllisyyden ja valtuutuksen kuluille, jotta jokainen valtuuksien vaihto on kryptografisesti sidoksissa tiettyyn asiakkaan esiintymään estääkseen tunnusten syöttämisen ja kaappauksen.
