受保护的OAuth代币的扩散

隐藏的云管理服务和集成成本

有一个爆炸的公司数量,有助于帮助公司管理跨云服务的用户或数据。A company that uses SalesForce, Google G-Suite, Github, and dozens of other such services has a real challenge when it comes to provisioning users, helping them sign in across services, revoking their access, tracking what they’re paying for unnecessarily, collecting data into dashboards, and so forth.

在Mary Meeker刚刚发布的2017年互联网趋势报告中,它表明,企业平均使用约1000云服务 - 91仅用于营销目的。

通过Mary Meeker的企业云应用程序互联网趋势报告。

类似的公司composenext.Vendorhawk.onelogin.Logrr.kilpfolio.okta.等等,还有更多正在解决云服务增殖问题的不同方面。为他们实现目标,他们必须代表用户或管理员行事。在实践中,这意味着他们获取OAuth令牌或API令​​牌,这就像用于服务的虚拟用户名和密码。这些令牌通常为帐户提供完整的读写权限。

这引出了问题:如何存储这些OAuth令牌?他们是如何受到保护的?如果有人访问存储这些凭据的系统,会发生什么?

Onelogin在宣布最近违反其服务时,他们不经意地为这个问题提供了答案,他们的第二个月内第二。此违规行为攻击者访问Onelogin客户的未加密凭据,如Conde Nast,Dun和Bradstreet和Arm。

这引出了问题:如何存储这些OAuth令牌?

在他们的博客文章宣布违规行为,Onelogin说,“我们加密休息时的某些敏感数据,此时我们不能排除威胁演员还获得解密数据的能力的可能性。“后来他们向客户发了一封电子邮件,“我们的美国数据中心服务的所有客户都受到影响;客户数据受到损害,包括解密加密数据的能力。

通常,当人们说数据被加密“休息时”,这是数据的委婉语透明地与磁盘加密或透明数据库加密加密。

这种类型的加密可以防止物理盗窃,但不是数字盗窃。当笔记本电脑被盗或者某人从服务器中拿出硬盘时,透明加密至关重要。但是,如果攻击者获得访问运行服务器,则加密也对它们是透明的。

如果我们与基本透明加密进一步进一步信用OneLogin,则它们的语句仍然表示它们还有服务器上的键(否则攻击者未访问未加密数据)。这类似于锁定桌面抽屉,然后留在桌面上的钥匙。

由于此泄露,客户需要更改密码(管理员以及所有用户),为其服务生成新的API键,并创建新的OAuth令牌 - 如果他们敢于再次分享那些。

这类似于锁定桌面抽屉,然后留在桌面上的钥匙。

Onelogin并不孤单。我们研究过的集成服务,我们看几十个,没有一个要求使用端到端加密或零信任机制保护这些令牌。

客户应要求更强保护其最敏感的数据,并且他们应该要求他们保留对该数据的控制,包括用于解密它的键。Ironcore可以帮助云供应商确保OAuth代币等敏感数据,并为其客户提供零信任服务,这些服务使用端到端加密来提供无功能丢失的客户数据控制。

现在是云长大的时候,并使用更强大的安全模型,包括强加密,使得像这样的漏洞是一个非事件,没有未加密的敏感数据。

咸哈希

建筑物安全的提示,技巧,指针和透视图......

谢谢鲍勃墙麦迪逊soucie.

写道

学者,梦想家,创造者,冒险家,黑客,领导者和观察者。倡导隐私和安全。CEO Ironcore实验室。

咸哈希

建立安全,可测试,可维护的应用程序的提示,技巧,指针和透视图。Ironcore实验室安全与隐私的思考与观察。

写道

学者,梦想家,创造者,冒险家,黑客,领导者和观察者。倡导隐私和安全。CEO Ironcore实验室。

咸哈希

建立安全,可测试,可维护的应用程序的提示,技巧,指针和透视图。Ironcore实验室安全与隐私的思考与观察。

中等的是一个开放的平台,17亿读者来寻找洞察力和动态的思维。在这里,专家和未被发现的声音相似地潜入任何主题的核心,并将新的想法带到表面上。学到更多

遵循对您有关的作家,出版物和主题,您将在您的主页和收件箱中看到它们。探索

如果您有一个故事来讲述,知识分享,或者提供提供的视角 - 欢迎回家。很容易和免费发布您对任何主题的思考。开始博客

获取媒体应用程序

一个按钮,称“在App Store上下载”,如果点击它将导致您到iOS App Store
一个按钮说'获得它,Google Play',如果点击它将导致您进入Google Play商店