2017-10-09 183 views
0

受財務監管的業務合作伙伴想要了解Azure AD B2C中用戶密碼的維護方式(散列算法等)的一些詳細信息。任何人都可以分享任何見解。Azure AD B2C中的密碼保護B2C

我可以找到有關Azure AD如何同步諸如https://www.dsinternals.com/en/how-azure-active-directory-connect-syncs-passwords/之類的文章上的密碼的信息,但不知道如何保護基於雲的密碼。

感謝邁克爾

+0

我投票結束這個問題作爲題外話,因爲它似乎更適合[信息安全StackExchange](https://security.stackexchange.com/)。 – Alejandro

回答

0

我有一種奇怪的感覺,這是微軟的東西永遠不會告訴你出於安全原因。

你甚至不能恢復從Azure的AD密碼

0

Azure的AD B2C是在後端只是Active Directory中。看到這個博客帖子是如何處理的密碼:

https://social.technet.microsoft.com/Forums/windowsserver/en-US/034a0e33-a8ab-474e-ba6c-3371724d0be1/forum-faq-how-is-user-password-of-user-objects-stored-in-active-directory-can-i-view-it-can-i?forum=winserverDS

摘錄:

用戶的密碼哈希存儲在unicodePwd屬性用戶對象上的Active Directory。 Windows不是以明文形式存儲用戶帳戶密碼,而是通過使用兩種不同的密碼錶示(通常稱爲「哈希」)來生成並存儲用戶帳戶密碼。當您將用戶帳戶的密碼設置或更改爲包含少於15個字符的密碼時,Windows會生成密碼的LAN管理器哈希(LM哈希)和Windows NT哈希(NT哈希)。這些散列存儲在本地安全帳戶管理器(SAM)數據庫或Active Directory中。

此unicodePwd屬性可以在受限制的條件下寫入,但由於安全原因無法讀取。該屬性只能修改;它不能被添加到創建對象或被搜索查詢。爲了修改此屬性,客戶端必須具有到服務器的128位安全套接字層(SSL)連接。爲了使這種連接成爲可能,服務器必須擁有用於128位RSA連接的服務器證書,客戶端必須信任生成服務器證書的證書頒發機構(CA),並且客戶端和服務器都必須具有128位加密。