kwakS 10 Geschrieben 18. Mai 2015 Melden Geschrieben 18. Mai 2015 Hallo zusammen, ich habe eine Frage bzgl. der ADFS Authentifizierung und der Sicherheit bzw. der Angreifbarkeit der Authentifizierungsmethodik. Bei der ADFS Authentifizierung wird ja ein Security Token erzeugt, welches dem Kerberos Ticket ähnelt. Ist es möglich, dass dieses Security Token durch NTLM Authentifizierung ersetzt wird? Ist es rein theoretisch möglich, durch sniffing etc. Benutzernamen und Kennwort herauszufinden? Soweit ich weiß, wird ja das Security Token mit den zusätzlichen Informationen (wie z.B. Gruppenmitgliedschaften etc.) verschlüsselt. Ich möchte nur sicherstellen, dass wenn ich diese Technik einsetze, das Hacken von Benutzerdaten erschwert wird.
NilsK 3.045 Geschrieben 18. Mai 2015 Melden Geschrieben 18. Mai 2015 Moin, das ADFS-Token ist ein XML-Dokument im SAML-Standard. Es hat mit Kerberos oder NTLM nichts zu tun. Man kann es auch nicht dadurch ersetzen. In Wirklichkeit ähnelt das SAML-Token auch nicht dem Kerberos-Ticket, nur der Protokollablauf basiert an einigen Stellen auf ähnlichen Ideen. Das Token kann je nach Konfiguration der Anbindung verschiedene Daten enthalten. Der interne Username gehört normalerweise nicht dazu. Das Kennwort ist nie im Token enthalten, auch nicht der Windows-Kennworthash. Das ist ja gerade der Witz an SAML. Manche Provider erfordern allerdings zur Identifikation des Users "personenbezogene" Daten wie die Mail-Adresse (sehr häufig) oder auch den Usernamen (eher selten). Das ist aber eine Sache zwischen Kunde und Provider und hat mit ADFS oder SAML an sich nichts zu tun. Ein Hacking interner Daten ist durch das Verfahren weitgehend ausgeschlossen. Man sollte aber im Auge behalten, dass ADFS/SAML kein Ersatz für die interne Authentisierung sind, sondern im Wesentlichen zur Anbindung externer Dienste dienen. [ADFS: Grundlagen und Architektur | faq-o-matic.net]http://www.faq-o-matic.net/2014/04/02/adfs-grundlagen-und-architektur/ Gruß, Nils
Dunkelmann 96 Geschrieben 18. Mai 2015 Melden Geschrieben 18. Mai 2015 Moin, etwas mehr Hintergrund gibt es hier: https://www.microsoft.com/en-us/download/details.aspx?id=28362
kwakS 10 Geschrieben 18. Mai 2015 Autor Melden Geschrieben 18. Mai 2015 Hallo, Nils, vielen Dank für deine Erläuterung. Den Artikel auf deiner Seite hatte ich bereits genutzt um mich in das Thema einzulesen ;) @Dunkelmann: Danke für den Link zum E-Book. Ich denke in diesem Buch finde ich alle Antworten zu meinen Fragen im Bezug zu ADFS :)
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden