현재 Azure ACS를 구현하는 프로젝트를 진행 중입니다. 나는 기초가 작동하고있어 Azure ACS가 identityProvider와 NameIdentifier를 포함한 SAML 정보를 보냈다는 것을 알게되었습니다. 2를 사용하여 모든 사용자에게 고유성을 설정할 수 있습니다.Azure ACS - ClaimTypes.NameIdentifier 정보를 암호화해야합니까?
현재이 두 데이터는 일반 텍스트 형식으로 중앙 데이터베이스에 저장됩니다. identityProvider의 경우 큰 문제는 아니지만 Nameidentifier는 다릅니다. 보안상의 이유로 데이터베이스/로그에서 NameIdentifier를 암호화해야합니까, 아니면 과장입니까? 해커가 NameIdentifier 정보를 사용하여 합법적 인 사용자로 가장 할 수 있습니까?
아니요, NameIdentifier만으로는 사용자를 가장 할 수 없습니다. 공격자는 아이디 공급자의 개인 키를 사용하여 디지털 서명을 위조해야합니다.
NameIdentifier는 개인 개인 식별 정보를 구성하기도하며, 이는 공격자가 NameIdentifier를 추적하여 특정 사용자를 식별 할 수 있음을 의미합니다. 이것이 (일부는 아니지만) 일부 ID 공급자가 NameIdentifier를 RP 단위로 해시하는 이유입니다. 그러나 당신이 매우 엄격한 개인 정보 보호 정책을 가지고 있지 않다면 당신이 그것을 암호화해야한다고 생각하지 않습니다. 즉, 사생활 보호를 위해 이름과 이메일과 같은 다른 개인 정보를 암호화하려면 NameIdentifier도 암호화해야합니다.
개인적인 경험에 비추어 볼 때 나는 여러 가지 이유로 저장하는 동안 누군가 IP 및/또는 Nameidentifier를 암호화하는 것을 보지 못했습니다. Nameidentifier는 이미 IP별로 고유 한 ACS 요청 문제마다 해시 된 토큰 값입니다.