攻擊者愈加頻繁地使用精密攻擊,強化您的環境以防止令牌竊取和令牌重播,從而防範數據外洩,這一點至關重要。 雖然具有挑戰性,但您可以採取一些簡單的步驟來減少攻擊面,進而提高攻擊者成功竊取及重播令牌的成本。 保護令牌的健全策略需要多層式深度防禦方法,其中包括:
- 部署網路釣魚防護認證
- 針對惡意代碼型攻擊強化您的裝置
- 使用裝置型和風險型條件式存取
- 盡可能強制執行裝置綁定令牌
- 實作網路型強制執行
本文件摘要說明哪些令牌的基本概念、令牌遭竊的方式,並提供您可以採取的具體步驟來降低環境中成功攻擊的風險。 由於Microsoft Entra 中的複雜度和各種不同的令牌,某些主題會以簡單的方式一般化,而且可能未涵蓋所有邊緣案例。 不過,本指南涵蓋公用用戶端的大部分案例。 機密用戶端 案例不在範圍內。
以密碼為基礎的攻擊仍然包含超過99% Microsoft所見的攻擊,是大多數遭入侵身分識別的根本原因。 組織應部署具有抵禦網路釣魚功能的多因素驗證 (MFA),以作為保護身分識別的防禦前線。 這樣做會迫使對手調整其策略,移至下一個邏輯攻擊媒介,這可能是令牌竊取。 「雖然令牌竊取導致身分識別洩露比密碼攻擊少得多,但我們的偵測指出,事件已成長為估計每天 39,000 起。 此外,在過去的一年裡,我們看到 AiTM 網路釣魚攻擊的 146% 上升,當攻擊者欺騙使用者按兩下連結並代表攻擊者完成 MFA 時,就會發生這種情況。* 雖然部署網路釣魚防護 MFA 應該是首要任務,但組織也應該開始準備令牌竊取風險降低策略,因為令牌竊取攻擊媒介會隨著時間持續增加。 當密碼型攻擊變得較不可行時,防範令牌竊取會變得更加重要。
* 從 2024 Microsoft 數位防禦報告 (第 40 頁)
什麼是權杖?
令牌是各種驗證和授權程式中用來授與資源存取權的數字物件。 他們會驗證使用者或工作負載的身分識別,並授與資源的存取權,而不需要傳輸每個交易的密碼或認證。 令牌會以安全格式封裝使用者身分識別及其許可權的相關信息,確保敏感性資訊在驗證程序期間仍受到保護。
在數字環境中,令牌可藉由啟用安全且有效率的驗證機制,在增強安全性方面扮演重要角色。 它們有助於降低認證被竊取的風險,透過減少認證在網路上的暴露。 不過,他們有一個特性,即如果裝置或網路遭到入侵,攻擊者可能會外泄它們。 攻擊者接著可以使用這些令牌,以登入使用者身分存取資源。
令牌種類摘要
有許多種類的令牌,但通常分為兩種類別之一:
- 登入會話 – 這些令牌會維護使用者的登入狀態,讓使用者不需要經常重新驗證即可存取資源。 它們會傳遞給身份提供者,以請求屬於應用程式會話類別的令牌。 它們也稱為 OAuth 2.0 標準中的刷新令牌。
- 應用程式會話 – 這些令牌會授權存取特定應用程式。 它們是短期的,會在用戶端與應用程式之間播放。 它們也稱為 OAuth 2.0 標準中的存取令牌。
令牌也可能因用戶端應用程式而異。 相較於 Outlook 和 Teams 等原生應用程式,透過瀏覽器存取的 Web 應用程式有時會使用不同類型的令牌。
最佳做法是,您應該首先優先保護您的登入會話令牌,因為這些令牌可以持續數周或數月,如果遭竊,可能會導致持續的未經授權存取。
這兩個令牌系列之間的另一個差異:登入會話令牌的設計上是可撤銷的,而應用程式會話通常不可撤銷。 例如,只有在應用程式已整合持續存取評估時,才能撤銷 Entra ID 存取令牌。
| 令牌類型 | 發行者 | 目標 | 範圍設定為資源 | 壽命 | 可撤銷的 | 可再生 |
|---|---|---|---|---|---|---|
| 主要更新憑證(PRT) | Entra ID (Entra 身份識別) | 要求存取令牌 | 否 – 可以要求任何資源的存取令牌 | 14 天* | 是的 | 是的 |
| 重新整理令牌 | Entra ID (Entra 身份識別) | 要求存取令牌 | 是的 | 90 天* | 是的 | 是的 |
| 存取令牌 | Entra ID (Entra 身份識別) | 存取資源 | 是的 | 變數 60-90 分鐘 | 是,如果 CAE 能夠 | 否 |
| 應用程式驗證 Cookie | Web 應用程式 | 存取資源 | 是的 | 由應用程式決定 | 視應用程式而定 | 否 |
*滾動視窗 – 每次使用令牌時,都會重新啟動存留期。
令牌竊取攻擊向量
敵人可以使用許多不同的攻擊媒介來竊取令牌。 一旦令牌遭竊,敵人就可以模擬使用者、取得未經授權的存取,甚至外洩敏感數據。 這些攻擊向量的一些範例包括:
- 中間的對手:一種複雜的中間人(MitM)攻擊形式。 在此案例中,攻擊者會在兩個通訊對象之間定位自己,攔截並可能改變通訊,而不需要任何一方知道。 此案例可讓攻擊者擷取敏感性資訊,例如認證、會話 Cookie 和其他數據,甚至略過多重要素驗證等安全性措施。 深入瞭解中間的 攻擊者網路釣魚攻擊。
- 惡意代碼:惡意代碼可以藉由滲透系統及監視網路流量或存取儲存的數據,從裝置竊取令牌。 安裝之後,惡意代碼可以攔截裝置與合法服務之間的通訊,以擷取驗證令牌、會話 Cookie 或其他認證。 它也可以利用弱點直接從記憶體或記憶體擷取令牌。
在本文中,我們主要著重於如何擊敗針對終端用戶的攻擊,例如先前列出的攻擊。 伺服器端或應用程式入侵等攻擊向量已脫離本文的範圍。 若要減輕這類攻擊,組織應遵循下列的一般最佳做法:
- 保護應用程式的驗證
- 確保應用程式擁有最低必要的權限
- 避免在伺服器端記錄中擷取和保留令牌
- 監視具有其他資源許可權的 OAuth 應用程式,以檢測入侵跡象
後續步驟
若要瞭解如何保護Microsoft Entra識別碼中的令牌,請繼續 保護Microsoft Entra 標識符中的令牌。