Как Extended Protection for Authentication помогает защитить от атак Man-in-the-Middle?

Extended Protection for Authentication помогает защитить от атак Man-in-the-Middle (MITM), при которых злоумышленник перехватывает учётные данные клиента и передаёт их на сервер. learn.microsoft.com

Механизм защиты заключается в использовании внешнего канала, защищённого TLS, и внутреннего канала с аутентификацией клиента. learn.microsoft.com При этом на сервер передаётся токен привязки канала (Channel Binding Token, CBT). learn.microsoft.com

Сервер сравнивает CBT, содержащийся в информации аутентификации клиента, с CBT, прикреплённым к каналу злоумышленник-сервер. learn.microsoft.com Так как CBT специфичен для назначения канала, то CBT клиента и злоумышленника не совпадает с CBT злоумышленника и сервера. learn.microsoft.com Это позволяет серверу обнаружить MITM-атаку и отклонить запрос аутентификации. learn.microsoft.com

Важно помнить, что полная защита от MITM-атак невозможна, но можно значительно снизить риск, используя комбинацию методов защиты. blog.ai-mix.ru