¿Qué podría hacer un usuario malintencionado con un token de actualización que no se puede revocar y tiene un año de caducidad?

0

En ADFS 4.0, un token de actualización no se puede renegar sin pasar por un flujo de solicitud de autorización (solicitando al usuario nuevamente las credenciales) y no se puede revocar.

Estoy obligado a poner un período de vida de 1 año para el token de actualización para evitar que el usuario ingrese su nombre de usuario / contraseña cada vez que caduque el token de actualización.

¿Cuál es el riesgo si un usuario malintencionado roba este token de actualización con un año de caducidad?

    
pregunta Eloy Roldán Paredes 18.10.2018 - 12:00
fuente

1 respuesta

1

Si un usuario o atacante tiene un token de actualización, entonces pueden solicitan un token de acceso y luego acceden a cualquier recurso protegido. Esta es la definición de tokens de actualización / acceso. También tendrían acceso durante todo el año, aunque incluso si solo lo tuvieran por un día, podrían hacer el mismo daño. Incluso con tiempos de vencimiento muy cortos, si pudieran obtener un token en primer lugar, podrían replicar lo que hicieron la primera vez para obtener más tokens.

Ahora, ¿alguien puede obtener el token de actualización? No a menos que su computadora ya esté comprometida. Lo más probable es que ADFS lo bloquee de forma remota mediante métodos de cookies seguras / solo HTTP, lo que obligará a que se transmitan a través de una conexión cifrada y evitará fugas de JS (las plataformas que no sean web tendrán protecciones similares). Si alguien puede acceder físicamente a la computadora y ver la cookie, entonces de todos modos es mejor que solo descarguen un keylogger.

    
respondido por el Nicholas Pipitone 18.10.2018 - 20:48
fuente

Lea otras preguntas en las etiquetas