ユーザーが独自の ID プロバイダーを使用して SAML 認証を許可する Web アプリケーションがあります。アプリケーションのデータベースにフィールドがあり、許可されたユーザーのみが復号化できるようにしたい (システムの開発者/管理者は暗黙的に許可されていない)。ユーザーがパスワードでログインする場合、これは簡単です。秘密鍵がログイン パスワードで暗号化されている RSA キーペアを作成し、パスワードが変更された場合はキーチェーンを更新します。しかし、ユーザーは SAML で認証されているため、ログイン パスワードがない場合、これを行うにはどうすればよいでしょうか。
1 に答える
0
私はあなたにこれを言うのは嫌ですが、あなたの安全なオプション(派生キー)もそれほど安全だとは思いません。
現実には、管理者はここで非常に悪いことをすることができます...以下を含みます:
- f / eにコードを挿入し、飛行中のパスワードを盗む
- データを盗み、データベースに対して直接辞書攻撃を行い、データのロックを解除するための多くの可能なキーを推測します(パスワードセットが比較的小さいことを知っています)
IMOは、パスワードからキーを取得するだけでは不十分です。「ベストプラクティス」と見なすには、バーを大幅に高くする必要があります。理想的には、1つのソリューションで両方の問題を解決できますが、ソースとしてパスワードを使用する場合(または派生パスワードハッシュ)、それが不可能な場合があります。
于 2012-10-23T06:28:03.057 に答える