Време е за обвързване на маркери
Здравейте, хора,
Последните няколко месеца бяха едно МНОГО вълнуващо време в света на стандартите за самоличност и защита. Благодарение на усилията на широк набор от експерти в отрасъла, направихме невероятен напредък във финализирането на широк набор от нови и подобрени стандарти, които ще подобрят защитата и усещането на потребителите на цяла генерация от услуги и устройства в облака.
Едно от най-важните неща в тези подобрения е семейството спецификации Token Binding (обвързване на маркери), което вече е на път към финална ратификация в Internet Engineering Task Force (IETF). (Ако искате да научите повече за обвързването на маркери, гледайте тази чудесна презентация от Браян Кембел.)
Ние в Microsoft вярваме, че Token Binding може значително да подобри сигурността на сценариите за предприятията и потребителите чрез осигуряване на висока степен на самоличност и удостоверяване – с широк и прост достъп от разработчиците по целия свят.
Като се има предвид колко позитивно вярваме, ние сме били и продължаваме да бъдем дълбоко ангажирани да работим с общността за създаване и приемане на семейството спецификации за обвързване на маркери.
Сега, когато спецификациите са близо до ратифициране, бих желал да изложа два призива за действие:
- Започнете да експериментирате с обвързването на маркери и с планирането на вашите разполагания.
- Обърнете се към вашите доставчици на браузър и софтуер, като ги помолите да изпратят процедурите за реализиране на обвързване на маркери, ако още не са го направили.
И съм щастлив да съобщя, че Microsoft е просто един от многото гласове в отрасъла, който казва, че обвързването на маркери е важно решение, чийто момент е настъпил.
За още информация защо обвързването на маркери е от значение, ще се обърна към Памела Дингъл – водещ глас в отрасъла, който много от вас вече познават и която вече е директор в Microsoft по стандартите за самоличност в екипа на Azure AD.
С уважение,
Алекс Саймънс (@Twitter: @Alex_A_Simons)
Директор по управление на програми
Отдел по удостоверяване на самоличността на Microsoft
—————————————————————————————————————————–
Благодаря на Алекс и здравейте на всички,
Споделям вълнението на Алекс! С години влагаме време и усилия в спецификациите, които ще приветствате като нови RFC стандарти след кратък период от време. Моментът е подходящ за архитектите да се поровят в конкретните предимства в самоличността и защитата, които представлява Token Binding.
Може би се питате, какво е толкова хубавото в обвързването на маркери? Обвързването на маркери прави бисквитките, маркерите за достъп OAuth и за обновяване, както и ИД маркерите за свързване OpenID неизползваеми извън специфичен за клиента TLS контекст, в който са издадени. Обикновено такива символи са маркери „на приносител“, което означава, че всеки, който притежава маркера за ресурси, може да обменя маркер срещу ресурси, но обвързването на маркери подобрява този модел чрез механизъм на потвърждение със слоеве, за да тества криптографски материал, събран при издаването на маркера, срещу криптографски материал, събран при използването на маркера. Само правилният клиент ще премине успешно теста с помощта на правилния TLS канал. Този процес на предизвикване на обекта да представи маркера, за да се докаже, се нарича „доказателство за притежание“.
Излиза, че бисквитките и маркерите могат да се използват извън първоначалния контекст на TLS по всякакви видове злонамерени начини. Това може да са бисквитки от открадната сесия или изтекли маркер за достъп, както и сложни MiTM. Ето защо в проекта за текущи най-добри практики на защита IETF OAuth 2 се препоръчва обвързването на маркери и защо наскоро удвоихме ползите от нашата програма за даряване на самоличност. Като изискваме доказателство за притежание, ние превръщаме случайно използваното или обмислено предварително използване на бисквитки или маркери по начини, които не са предназначени за нещо трудно и скъпо, за да бъдат изпробвани от някой хакер.
Като всяко доказателство за механизъм на притежание, обвързването на маркери ни дава възможността да изградим защита в дълбочина. Можем да работим усилено, за да не загубим маркер, но можем също така да го удостоверим, просто за безопасност. За разлика от други механизми за доказателство за притежание, например сертификати на клиента, обвързването на маркери е самостоятелно и прозрачно за потребителя, а повечето от тежката работа се извършва от инфраструктурата. Надяваме се, че това в крайна сметка означава, че всеки може да избере да работи за осигуряване на самоличността на високо ниво, но очакваме да видим голямо търсене от държавни организации и финансови вертикали от самото начало, тъй като те имат непосредствени нормативни изисквания, за да представят доказателство за притежание. Като един пример, всеки, който изисква AAL3 категоризация NIST 800-63C, изисква този вид технология.
Обвързването на маркери представлява един дълъг път. Ние сме от три години в процеса и докато ратифицирането на спецификациите е важен етап като екосистема, все още имаме много да направим, а тази спецификация трябва да работи за изпълнителите и платформите, за да бъде успешна. Имаме удоволствието през следващите месеци да започнем да споделяме в дълбочина ползите за защитата от прилагането на тази функционалност и се надяваме, че ще се присъедините към нас в подкрепа за тази технология, когато ви потрябва.
Поздрави,
– Пам
