ORSYS le mag 2025 logo

Het medium voor training en vaardigheden

Home > Woordenlijst cyberbeveiliging > Token 🟢 Bescherming

Token 🟢 Bescherming

A token op cyberveiligheid is een vorm van digitaal token gebruikt om communicatie tussen gebruikers, applicaties of systemen te authenticeren, autoriseren of beveiligen. Het wordt vaak gebruikt om te voorkomen dat gevoelige informatie zoals wachtwoorden direct wordt verwerkt.

Tokens worden in verschillende contexten gebruikt:

  • Authenticatie (bijv. : JWT - JSON Web Token) → authenticatietoken
  • Autorisatie (bijv. OAuth)
  • Sessies beveiligen (penningen CSRFtoegangsmunten)
  • Beveiligde API's (toegangstokens die met verzoeken worden meegestuurd)

Ze zijn vaak tijdelijk, ondertekend of versleuteld en worden gebruikt als een veilige manier om de identiteit van een gebruiker of de geldigheid van een verzoek te verifiëren.

Let op: een cybersecurity token is anders dan een AI token (elementaire eenheid van tekst, fragment van een woord) of een blockchain token (cryptoactief).

 

Criteria Token in cyberbeveiliging Token in AI Blockchain token (crypto-actief)
Natuur Hardware/software-apparaat of gecodeerde string Teksteenheid (woord, subwoord, teken) Digitaal instrument (smart contract, waarde)
Belangrijkste functie Authenticatie, sessiebeheer, beveiliging Tekstverwerking en -modellering mogelijk maken Een waarde of recht vertegenwoordigen, uitwisselingen vergemakkelijken
Levensduur Kortstondig (OTP), actieve sessie (beperkt JWT) Momentopname tekst voorbewerking Onbepaald zolang de blockchain bestaat
Fysieke ondersteuning Ja (hardwaretokens) of virtueel (JWT) Alleen software (tokenisatie-algoritme) Puur virtueel (smart contract op blockchain)
Gebruikscontext Veiligheid, IAM, SSO, VPN Natuurlijke taalverwerking, vertaling, chatbots Gedecentraliseerde financiering, bestuurdigitale activa

 

 

 

Doelstellingen

 

  • Bescherming van de uitwisseling van gevoelige informatie
  • Toegang door onbevoegden voorkomen
  • Een flexibele authenticatie-/autorisatiemethode bieden
  • Verminder de blootstelling van wachtwoorden of gevoelige data

Types

 

  • JWT (JSON Web Token) voor stateloze authenticatie van gebruikers (de server slaat de sessie niet op in het geheugen)
  • OAuth token om applicaties toegang te geven tot bronnen zonder identifiers te delen
  • CSRF-token om te beschermen tegen cross-site request forgery aanvallen
  • API toegangstoken voor veilige oproepen naar webservices
  • Token verversen om een nieuw toegangstoken te verkrijgen zonder herauthenticatie

 

⚙️ Hoe implementeren?

 

  1. Het token aanmaken na verificatie genereert de server een ondertekend of versleuteld token
  2. Transmissie wordt het naar de client (bijv. browser) gestuurd en opgeslagen (bijv. cookie of lokale opslag)
  3. Gebruik de cliënt stuurt het met elk volgend verzoek mee (bijv. in de HTTP-header)
  4. Controleer de server decodeert en controleert de geldigheid, handtekening en vervaldatum.
  5. Verlenging of intrekking met refresh token of blacklisting-mechanismen

 

Gevolgen

 

  • In het geval van een compromis Een gestolen token kan onbevoegde toegang verlenen totdat deze is verlopen of ingetrokken.
  • Managementcomplexiteit beveiliging, verlopen, opslag, overdracht

 

🛠️ Gereedschap

 

  • Auth0, Sleutelklok, Okta volledig beheer van tokens en authenticatie
  • JWT.io voor het decoderen en controleren van JWT's
  • Postbode voor het testen van API-aanroepen met tokens

Voorbeelden

 

  • Een website gebruikt JWT zodat de gebruiker niet voor elke pagina opnieuw hoeft in te loggen
  • Een mobiele applicatie gebruikt OAuth 2.0 om verbinding te maken met een Google-account
  • Een HTML-formulier bevat een CSRF-token om schadelijke inzendingen te voorkomen

 

Hier is een echt voorbeeld van JWT (JSON Web Token)Het is verdeeld in drie hoofddelen:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.
SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

 

De drie delen ontcijferen:

  • Kop geeft het type token en het handtekeningalgoritme aan
{
"alg": "HS256",
"typ": "JWT
}
  • Lading (gegevens) bevat informatie over de gebruiker of rechten
{
"sub": "1234567890",
"naam: "John Doe,
"iat": 1516239022
}
  • Handtekening resultaat van de cryptografische ondertekening van de eerste twee delen, met een geheime sleutel

De server kan deze handtekening controleren om er zeker van te zijn dat de inhoud niet gewijzigd is. Als het token verlopen of vervalst is, wordt het geweigerd.

Voordelen / Nadelen

 

  • Voordelen :
    • Verbeterde beveiliging
    • Minder serverbelasting (stateless)
    • Flexibele architectuur (API's, microservices)
  • Nadelen :
    • Complex beheer (opslag, rotatie, intrekking)
    • Risico's van onbeveiligde opslag of overdracht

Uitdagingen

 

  • Lokale tokenopslag beschermen
  • Zorgen voor effectieve uitademing en rotatie
  • Vermijd onderscheppingsaanvallen (bijv. XSS, man-in-the-middle)

Recente ontwikkelingen

 

  • Geen vertrouwen tokens integreren in architecturen zonder impliciet vertrouwen
  • Vertrouwelijk computergebruik veilige tokenverwerking in een geïsoleerde omgeving
  • Token binden een token koppelen aan een sessie of apparaat om diefstal te voorkomen

Recente cijfers

 

  • Tegen 2024 zullen meer dan 90 % REST API's authenticatietokens zoals JWT gebruiken (Bron: Gartner, 2024)
  • Ongeveer 60 % aan datalekken gerelateerd aan API's zijn te wijten aan slecht beheer van tokens (Bron: Imperva, 2024)
  • De markt voor oplossingen voor identiteits- en toegangsbeheer (IAM) zal naar verwachting het volgende bereiken 24,1 miljard $ in 2025 (Bron: MarketsandMarkets, 2024)
Terug naar Woordenlijst

gebied van opleiding

Cyberbeveiliging

bijbehorende opleiding

Systeem- en netwerkbeveiliging, niveau 1

Hacking en beveiliging, niveau 1

Beveiliging van informatiesystemen, samenvatting

BEST

Op weg naar de ORSYS Cyber Academy: een gratis ruimte gewijd aan cyberbeveiliging