Облачные токены Microsoft – больше никаких «секретиков». Часть 1

[sshipilevsky]

Спасибо за разбор!
Было бы интересно посмотреть, насколько эффективно помогают дополнительные инструменты Identity Protection в Azure AD от подобной "атаки":

1) Conditional Access - по идее, если возможности доступа к O365 ограничены с помощью CA, то новый токен получить будет либо невозможно, либо доступ к ресурсам будет ограничен (в зависимости от политик CA)

2) Continuous Access Evaluation - относительно новая фича, которая была добавлена в Azure AD, которая теперь выдает Access Token на более длительное время (около 30 часов, емнип), но в real-time мониторит user context на момент обращения с действительным токеном и может среагировать на резкие изменения в контексте (например Impossible Travel)