U bent hier:
Beveiliging: Bewijssleutel vereisen voor Code Exchange (PKCE)
Deze beveiligingsinstelling vereist een cryptografische handdruk voor alle compatibele OAuth 2.
Controlenaam
Externe clientapps: Beveiliging: Bewijssleutel vereisen voor Code Exchange (PKCE)
Aanbevolen configuratie
Extensie Proof Key for Code Exchange (PKCE) vereisen voor ondersteunde autorisatiestromen.
Overzicht van besturingselementen
Deze beveiligingsinstelling verplicht een cryptografische handdruk voor alle compatibele OAuth 2.0-toekenningstypen waarbij de client een uitdaging met hashed code verzendt tijdens de initiële aanvraag en een codeverificatie in platte tekst tijdens de tokenuitwisseling om de aanvraag te binden aan het specifieke clientexemplaar.
Beveiligingsrisico indien niet geconfigureerd
Zonder dat PKCE wordt afgedwongen voor alle ondersteunde stromen, kan een onderschepte autorisatiecode of tussentijds inloggegeven met succes worden uitgewisseld voor een toegangstoken door een kwaadwillende actor, omdat de autorisatieserver geen technisch mechanisme heeft om de identiteit van de oorspronkelijke aanroeper te verifiëren.
Dreigingsscenario's
Een aanvaller legt een geldige autorisatiecode of een geldig onderschepbaar inloggegeven vast via een geslaagde inlogpoging—via browserhistorie, systeemlogboeken of onderschepping van aangepaste URI-schema's—en verkrijgt programmatisch een geldig sessietoken voordat de legitieme client de handdruk kan voltooien.
Geschatte CVSS-scorebereik
Hoog (7,0–8,9).
Overwegingen bij risico-impact
Als PKCE niet wordt afgedwongen voor alle van toepassing zijnde stromen, kan dit leiden tot wijdverspreide sessie-overname en ongeoorloofde toegang tot gegevens, met name gericht op integraties waarbij een statisch clientgeheim niet wordt gebruikt of is gecompromitteerd.
Hoger risico wanneer
Het risico is groter voor openbare clients, zoals native mobiele toepassingen en webtoepassingen van één pagina (SPA's), aangezien deze platforms geen clientgeheim veilig kunnen opslaan en vaak werken in omgevingen waar verkeer kan worden omgeleid.
Laag risico wanneer
Het scenario is een lager risico als de organisatie uitsluitend vertrouwelijke clients gebruikt op beveiligde back-endservers die al een verplicht clientgeheim afdwingen en werken binnen een strikt geïsoleerd netwerkgebied.
Overwegingen bij bedrijf en integratie
Het inschakelen van deze vereiste voor alle ondersteunde stromen vereist dat alle geïntegreerde clienttoepassingen de S256-transformatiemethode ondersteunen en unieke tekenreeksen met hoge entropie beheren voor elke transactie.
Aanbevolen oplossing
Ga naar de OAuth-instellingen van de externe clientapp en schakel het selectievakje Bewijssleutel vereisen voor Code Exchange (PKCE) in voor alle ondersteunde autorisatiestromen.
Begeleiding bij beoordeling van beveiligingstoestand
Beoordeling van beveiligingstoestand identificeert PKCE als een verplichte architectonische standaard voor alle moderne identiteits- en autorisatiestromen, zodat elke tokenuitwisseling cryptografisch is gebonden aan het specifieke clientexemplaar om het injecteren en onderscheppen van inloggegevens te voorkomen.
