다음 주는 빅한 주다. Silverfort. 우리 팀의 많은 사람들이 연례 RSA 컨퍼런스에 참석하기 위해 캘리포니아로 향하고 있습니다. 방문하신다면 꼭 찾아오세요 모스콘 사우스(부스 #3333).
하지만 올해는 우리 팀에게 더욱 특별합니다. 우리는 떠오르는 스타 연구원 중 한 명인 Dor Segal(이스라엘의 8200 유닛에서 경력을 쌓은 후 XNUMX년 넘게 보안 연구를 수행해옴)이 MITM 공격이 여전히 현대를 우회할 수 있는 방법을 공개하게 되어 매우 기쁩니다. 인증 FIDO2와 같은 방법.
Dor의 세션에서는 비밀번호 없는 인증(FIDO2)의 장점과 단점을 살펴봅니다. WebAuthn 프로토콜 기본 사항. 그는 최신 인증 방법의 예로서 표준 MITM 공격을 사용하여 FIDO2 인증 세션을 하이재킹하고, 토큰을 복제하고, 원하는 대로 다른 세션에서 사용할 수 있는 방법을 시연합니다. FIDO2는 인증 보안을 향상시키지만 방어가 항상 세션 자체까지 확장되는 것은 아닙니다. 대부분의 애플리케이션, 특히 브라우저 및 웹 기반 SSO에서 구현되는 방식으로 인해 실제 세션이 손상될 수 있습니다.
Dor는 MITM 공격을 시연하여 공격자가 다음과 같은 알려진 연합 공급자로부터 자격 증명을 훔칠 수 있는 방법을 보여줍니다. Entra ID, 그는 애플리케이션 관리자와 개발자 모두를 위한 몇 가지 완화 기술을 제안할 것입니다. (스포일러 경고: 토큰 바인딩은 필수입니다!)
이 세션에 들러주세요 6월 10일 월요일 50시 2014분 Moscone West, Room XNUMX.
거기에 보자!