Miért ne féljünk a password hash szinkronizálástól?

A Microsoft Detection and Response Team (DART) csapat tollából született egy remek cikk, https://www.microsoft.com/security/blog/2019/05/30/demystifying-password-hash-sync/

Ennek kapcsán szeretnék én is pár gondolatot megírni.

Ügyfelekkel történő konzultációk során, mikor szóbakerül a jelszóhash-szinkronizálás, sok esetben a teljes megdöbbenés és elutasítás a reakció:

“nem szeretném, hogy a Microsoft hozzáférjen az összes földi AD-jelszavamhoz”

“szigorúan tilos, hogy jelszóinformációk elhagyják a belső hálózatot”

“küzdjön csak meg az NSA a jelszavaimért, nem adom neki az MS-en kereszül tálcán” (ez remélem, irónia volt, nem mertem visszakérdezni…)

Először is, nézzük, hogyan a fenti aggodalmak miért nem valósak, és hogyan történik ez a hash-kezelés:

  • Az AzureAD Connect kliens a domain controllertől kapott jelszóhash-t átalakítja egy 32 bájtos hexadecimális karakterré
  • utána egy binárissá alakítja UTF-16 kódolással
  • a kapott értéket megsózza (salt) további 10 bájttal
  • az így kapott eredményt pedig 1000 alkalommal újrahash-eli HMAC-SHA256 kódolással
  • a végeredményt pedig a tenanthoz dedikált Service Bus juttatja el az AzureAD-ba (TLS kapcsolaton keresztül)

Ez a folyamat valószínűleg már mindenkinek megnyugató 🙂

Továbbmenve, paradox módon hangozhat, de nagyobb biztonságot tudok elérni a felhő felé nyitással (azaz a password hash szinkronizálással), mintha teljesen bezárkóznék mindenféle földi védelmi rendszere mögé! Szembemegy a gondolat a régi beidegződésekkel,igaz? 🙂

Mire gondolok itt?

Ha engedélyezzük a password hash szinkronizálást, igénybevehetünk robosztus felhő alapú, gép intelligenicára támaszkodó szolgáltatásokat, mint például az Azure AD Identity Protection. Dióhéjban, evvel a szolgáltatással nagyon erősen védhető az userek identitása, kaphatok riasztásokat, ha gyanús bejelentkezések történnek az accountokkal, ha kompromittálódott a felhasználói fiók (azaz az usernév/jelszó páros kiszivárgott, pl feltört adatbázisokba) és ezekhez az anolimáliákhoz automatikus akciókat is lehet rendelni (pl. gyanús felhasználói bejelentkezés esetén legyen kötelező a multifaktoros hitelesítés). Elérhetővé válik a Smart Lockout szolgáltatás, ami a jelszótörő brute-force támadásokat megállítja. Az IP lockout service, ami észleli az ún. password spray-attack támadásokat és blokkolja azokat, miközben a valódi felhasználó továbbra is gond nélkül be tud jelentkezni a hálózatba.

Mondanom sem kell, ilyenhez hasonló földi védelmi rendszer ára (hardverek, licenszköltségek, speciális szoftverek) a csillagos égig érhet.

Összefoglalva: használjuk bátran a password hash szinkronizálás szolgáltatást, a kockázatot nem növeljük vele, és elérhető lesz sok magas szintű felhős védelmi megoldás.

1 thought on “Miért ne féljünk a password hash szinkronizálástól?

  1. Pingback: Office 365 federáció megszüntetése | Zoltan Istvanffy's IT Blog

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s