kwakS 10 Geschrieben 18. Mai 2015 Melden Teilen Geschrieben 18. Mai 2015 Hallo zusammen, ich habe eine Frage bzgl. der ADFS Authentifizierung und der Sicherheit bzw. der Angreifbarkeit der Authentifizierungsmethodik. Bei der ADFS Authentifizierung wird ja ein Security Token erzeugt, welches dem Kerberos Ticket ähnelt. Ist es möglich, dass dieses Security Token durch NTLM Authentifizierung ersetzt wird? Ist es rein theoretisch möglich, durch sniffing etc. Benutzernamen und Kennwort herauszufinden? Soweit ich weiß, wird ja das Security Token mit den zusätzlichen Informationen (wie z.B. Gruppenmitgliedschaften etc.) verschlüsselt. Ich möchte nur sicherstellen, dass wenn ich diese Technik einsetze, das Hacken von Benutzerdaten erschwert wird. Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 18. Mai 2015 Melden Teilen Geschrieben 18. Mai 2015 Moin, das ADFS-Token ist ein XML-Dokument im SAML-Standard. Es hat mit Kerberos oder NTLM nichts zu tun. Man kann es auch nicht dadurch ersetzen. In Wirklichkeit ähnelt das SAML-Token auch nicht dem Kerberos-Ticket, nur der Protokollablauf basiert an einigen Stellen auf ähnlichen Ideen. Das Token kann je nach Konfiguration der Anbindung verschiedene Daten enthalten. Der interne Username gehört normalerweise nicht dazu. Das Kennwort ist nie im Token enthalten, auch nicht der Windows-Kennworthash. Das ist ja gerade der Witz an SAML. Manche Provider erfordern allerdings zur Identifikation des Users "personenbezogene" Daten wie die Mail-Adresse (sehr häufig) oder auch den Usernamen (eher selten). Das ist aber eine Sache zwischen Kunde und Provider und hat mit ADFS oder SAML an sich nichts zu tun. Ein Hacking interner Daten ist durch das Verfahren weitgehend ausgeschlossen. Man sollte aber im Auge behalten, dass ADFS/SAML kein Ersatz für die interne Authentisierung sind, sondern im Wesentlichen zur Anbindung externer Dienste dienen. [ADFS: Grundlagen und Architektur | faq-o-matic.net]http://www.faq-o-matic.net/2014/04/02/adfs-grundlagen-und-architektur/ Gruß, Nils Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 18. Mai 2015 Melden Teilen Geschrieben 18. Mai 2015 Moin, etwas mehr Hintergrund gibt es hier: https://www.microsoft.com/en-us/download/details.aspx?id=28362 Zitieren Link zu diesem Kommentar
kwakS 10 Geschrieben 18. Mai 2015 Autor Melden Teilen Geschrieben 18. Mai 2015 Hallo, Nils, vielen Dank für deine Erläuterung. Den Artikel auf deiner Seite hatte ich bereits genutzt um mich in das Thema einzulesen ;) @Dunkelmann: Danke für den Link zum E-Book. Ich denke in diesem Buch finde ich alle Antworten zu meinen Fragen im Bezug zu ADFS :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.