SYNCHRONIZING CREDENTIAL HASHES BETWEEN DIRECTORY SERVICES

SYNCHRONIZING CREDENTIAL HASHES BETWEEN DIRECTORY SERVICES

The subject disclosure is directed towards securely synchronizing passwords that are changed at a source location (e.g., an on-premises directory service) to a target location (e.g., a cloud directory service), so that the same credentials may be used to log into the source or target location, yet w...

Ausführliche Beschreibung

Gespeichert in:
Bibliographische Detailangaben
Hauptverfasser: GORDON, ARIEL N, CHANDER, GIRISH, SOMASEKARAN, ANANDHI, GUBENKO, SERGII, CHIKKAMAGALUR, RAMAN N, SATAGOPAN, MURLI D, LUK, JONATHAN M, ELMALKI, ZIAD
Format: Patent
Sprache:eng ; fre
Schlagworte:
CALCULATING
COMPUTING
COUNTING
ELECTRIC COMMUNICATION TECHNIQUE
ELECTRIC DIGITAL DATA PROCESSING
ELECTRICITY
PHYSICS
TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHICCOMMUNICATION
Online-Zugang:Volltext bestellen
Tags: Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
Beschreibung
Zusammenfassung:The subject disclosure is directed towards securely synchronizing passwords that are changed at a source location (e.g., an on-premises directory service) to a target location (e.g., a cloud directory service), so that the same credentials may be used to log into the source or target location, yet without necessarily having each domain controller handle the synchronization. The plaintext password is not revealed, instead using hash values computed therefrom to represent the password-related data. The target may receive a secondary hash of a primary hash, and thereby only receive and store a password blob. Authentication is accomplished by using the same hashing algorithms at the target service to compute a blob and compare against the synchronized blob. Also described are crypto agility and/or changing hashing algorithms without requiring a user password change. La présente invention concerne la synchronisation sécurisée de mots de passe qui sont changés au niveau d'un emplacement source (par exemple, un service d'annuaire sur les lieux) sur un emplacement cible (par exemple, un service d'annuaire en nuage), de manière que les mêmes authentifiants puissent être utilisés pour ouvrir une session dans l'emplacement source ou cible, cependant sans qu'il ne soit nécessaire que chaque contrôleur de domaine gère la synchronisation. Le mot de passe en clair n'est pas révélé, en utilisant à la place des valeurs de hachage calculées à partir de lui pour représenter les données relatives au mot de passe. La cible peut recevoir une valeur de hachage secondaire d'une valeur de hachage primaire, et ainsi recevoir et stocker seulement un grand objet binaire (blob) de mot de passe. Une authentification est accomplie par utilisation des mêmes algorithmes de hachage au niveau du service cible pour calculer un grand objet binaire et le comparer au grand objet binaire synchronisé. L'agilité cryptographique et/ou le changement d'algorithmes de hachage sans requérir un changement de mot de passe de l'utilisateur sont également décrits.