Přišel čas vazby tokenů
Všechny vás zdravím!
Poslední měsíce přinesly na poli identit a standardů zabezpečení VELMI zajímavé novinky. Díky úsilí velkého množství odborníků z celého odvětví jsme udělali neuvěřitelný pokrok ve snaze dokončit širokou řadu nových a vylepšených standardů, které zvýší zabezpečení a zpříjemní uživatelům práci s novou generací cloudových služeb a zařízení.
Mezi nejdůležitější z těchto vylepšení patří skupina specifikací pro vazbu tokenů, která teď čeká na konečnou ratifikaci ze strany organizace Internet Engineering Task Force (IETF). (Pokud se chcete dozvědět víc o vazbě tokenů, podívejte se na tuto skvělou prezentaci Briana Campbella.)
V Microsoftu věříme, že vazba tokenů může výrazně zvýšit zabezpečení podnikových i spotřebitelských zařízení, protože vývojářům z celého světa zjednoduší přístup k identitám a ověřovacím procesům s vysokými zárukami.
Jsme přesvědčení, že tento krok bude mít nesmírně pozitivní dopad, takže i nadále ctíme svůj závazek spolupracovat s komunitou na vytváření skupiny specifikací pro vazbu tokenů a jejich nasazování v praxi.
Vzhledem k tomu, že se blíží jejich ratifikace, bych rád vybídl vývojáře ke dvěma krokům:
- Začněte experimentovat s vazbou tokenů a plánovat nasazení této specifikace.
- Kontaktujte dodavatele svého prohlížeče a softwaru a požádejte je, aby vám poslali plán implementace vazby tokenů, pokud to zatím neudělali.
Jsem rád, že Microsoft patří ve svém oboru mezi řadu propagátorů, podle kterých je vazba tokenů důležité řešení, jehož čas teď přichází.
Další informace o tom, proč je vazba tokenů důležitá, se dozvíte od Pamely Dingle, špičkové odbornice, kterou mnozí z vás už znají a která momentálně působí jako ředitelka Microsoftu pro standardy v oblasti identity v týmu Azure AD.
S přátelským pozdravem
Alex Simons (Twitter: @Alex_A_Simons)
Ředitel pro řízení programů
Divize Microsoft Identity
—————————————————————————————————————————–
Díky, Alexi. Hezký den všem,
Jsem stejně nadšená jako Alex. Vytvoření specifikací, které budou brzy oslavované jako nové RFC standardy, zabralo několik let tvrdé práce. Přišel čas, aby architekti začali využívat konkrétní výhody v oblasti identit a zabezpečení, které vazba tokenů přináší.
Možná se ptáte, co je na vazbě tokenů tak skvělé. Vlivem vazby tokenů se soubory cookie, přístupové a obnovovací tokeny OAuth a tokeny OpenID Connect ID nedají použít mimo kontext TLS konkrétního klienta, ve kterém byly vydané. Za normálních okolností jsou tyto tokeny nosné, což znamená, že kdokoliv, kdo takový token má, ho může vyměnit za prostředky, ale vazba tokenů tento proces vylepšuje, protože přidává potvrzovací mechanismus, kterým porovnává kryptografický materiál shromážděný ve chvíli vydání tokenu s kryptografickým materiálem shromážděným ve chvíli uplatnění tokenu. Tímto testem projde jen oprávněný klient fungující ve správném kanálu TLS. Tomuto procesu donucení entity, která předkládá token, aby prokázala svoji totožnost, se říká „důkaz držení tokenu“.
Ukazuje se, že soubory cookie a tokeny se dají použít mimo původní kontext TLS různými zákeřnými způsoby. Problémy můžou způsobit ukradené soubory cookie relace, prozrazené přístupové tokeny nebo sofistikované útoky typu MiTM. Proto návrh organizace IETF na aktuální nejlepší osvědčené postupy pro protokol OAuth 2.0 doporučuje vazbu tokenů. A ze stejného důvodu jsme nedávno zdvojnásobili odměny v programu, kterým nám pomáháte objevovat slabá místa v zabezpečení identit. Vyžadování důkazu o držení tokenu způsobí, že pokus o zneužití souborů cookie a tokenů za účelem vlastního prospěchu bude pro útočníky těžší a také dražší.
Stejně jako ostatní mechanismy důkazů držení nám vazba tokenů umožňuje vytvořit obrannou linii s hlubokými základy. Můžeme vyvinout maximální úsilí, abychom nikdy neztratili ani jeden token, ale také můžeme pro zvýšení bezpečnosti použít ověřování. Na rozdíl od ostatních mechanismů pro důkaz držení, jako jsou třeba klientské certifikáty, je vazba tokenů samostatná a pro uživatele transparentní. Většinu těžké práce navíc odvede infrastruktura. Doufáme, že to bude znamenat, že identity s vysokou úrovní záruk budou dostupné všem zájemcům. Ze začátku ale očekáváme velkou poptávku ze strany státních a finančních institucí, protože jejich systémy musí v souladu s předpisy provádět důkazy o držení ověřovacích prvků. Tyto technologie musí mít například všichni, kdo vyžadují kategorizaci AAL3 podle předpisu NIST 800-63C.
Vazba tokenů má před sebou dlouhou cestu. Věnujeme se jí tři roky, a přestože je ratifikace specifikací vynikajícím milníkem, stále musíme odvést hodně práce na celém ekosystému. Aby byla tato technologie úspěšná, musí fungovat napříč dodavatelskými řešeními a platformami. Velice se těšíme na nadcházející měsíce, kdy začneme sdílet podrobné informace o výhodách pro zabezpečení a doporučených postupech, které jsme vytvořili na základě svých zkušeností s těmito funkcemi. A doufáme, že se k nám připojíte při propagaci tohoto standardu všude, kde je ho zapotřebí.
Díky!
— Pam
