Token Binding – die Zeit ist reif
Hallo zusammen,
die Welt der Identitäts- und Sicherheitsstandards hat in den letzten Monaten eine EXTREM spannende Entwicklung genommen. Dank der gemeinsamen Anstrengung eines branchenweiten Expertenkreises haben wir enorme Fortschritte gemacht und stehen kurz vor der Finalisierung einer umfassenden Reihe neuer, verbesserter Standards, die sowohl die Sicherheit als auch die Benutzerfreundlichkeit einer ganzen Generation von Clouddiensten und -geräten voranbringen werden.
Zu den wichtigsten Verbesserungen zählen die Token Binding-Spezifikationen, deren abschließende Genehmigung durch die Internet Engineering Task Force (IETF) kurz bevorsteht. (Um mehr über Token Binding zu erfahren, sehen Sie sich diese großartige Präsentation von Brian Campbell an.)
Wir bei Microsoft sind überzeugt, dass die Sicherheit sowohl von Unternehmen als auch von Verbrauchern durch Token Binding deutlich verbessert werden kann, da Entwickler rund um die Welt leistungsfähige, einfach zugängliche Lösungen für die Identitätssicherung und Authentifizierung erhalten.
Wir schätzen diesen Ansatz so positiv ein, dass wir uns jetzt und in Zukunft gemeinsam mit der Community verstärkt für die Festlegung und Umsetzung der Token Binding-Spezifikationen einsetzen.
Jetzt, da die Genehmigung der Spezifikationen unmittelbar bevorsteht, sollten Sie zweifach aktiv werden:
- Experimentieren Sie mit Token Binding und der Planung Ihrer Bereitstellungen.
- Erkundigen Sie sich bei Ihren Browser- und Softwareanbietern, ob sie aktuell oder zukünftig Token Binding-Implementierungen anbieten.
Außerdem freue ich mich, dass Microsoft nur eine unter vielen Branchenstimmen ist, die Token Binding als wichtige Lösung beschreiben, deren Zeit gekommen ist.
Im Folgenden wird Pamela Dingle näher erläutern, warum Token Binding wichtig ist. Sie ist eine führende Branchenexpertin, die viele von Ihnen bereits kennen dürften und die aktuell als Director of Identity Standards im Azure AD-Team von Microsoft tätig ist.
Beste Grüße,
Alex Simons (Twitter: @Alex_A_Simons)
Director of Program Management
Microsoft Identity Division
—————————————————————————————————————————–
Danke Alex und hallo zusammen!
Ich teile Alex‘ Begeisterung. Den Spezifikationen, die schon bald als neue RFC-Standards gefeiert werden dürften, gehen jahrelange Bemühungen voraus. Architekten sollten jetzt die spezifischen Vorteile erkennen, die Token Binding für die Identitätssicherung und Sicherheit im Allgemeinen bietet.
Fragen Sie sich vielleicht, was Token Binding so großartig macht? Token Binding sorgt dafür, dass Cookies, OAuth-Zugriffstoken und -Aktualisierungstoken sowie OpenID Connect-ID-Token außerhalb des clientspezifischen TLS-Kontexts, in dem sie ausgestellt wurden, unbrauchbar werden. Diese Token werden in der Regel als „Bearertoken“ bezeichnet, was bedeutet, dass derjenige, der das Token besitzt, dieses gegen Ressourcen eintauschen kann. Token Binding grenzt dieses Schema jedoch durch einen zusätzlichen Bestätigungsmechanismus ein, mit dem das zum Zeitpunkt der Tokenausstellung erfasste kryptografische Material mit dem zum Zeitpunkt der Tokenverwendung erfassten kryptografischen Material verglichen wird. Nur der richtige Client, der den richtigen TLS-Kanal verwendet, hält diesem Vergleich stand. Der Prozess, bei dem derjenige, der das Token präsentiert, gezwungen wird, seine Berechtigung nachzuweisen, wird „Proof-of-Possession“ (PoP) genannt.
Cookies und Token können außerhalb des ursprünglichen TLS-Kontextes erfahrungsgemäß auf vielfältige Weise missbraucht werden, beispielsweise in Form gekaperter Sitzungscookies, kompromittierter Zugriffstoken oder raffinierter MiTM-Angriffe. Dies ist der Grund dafür, dass die IETF im Internet-Draft OAuth 2 Security Best Current Practice Token Binding empfiehlt und dass wir die Prämien in unserem Identity Bounty Program erst kürzlich verdoppelt haben. Durch die Forderung eines PoP-Nachweises erschweren wir Angreifern die opportunistische, mutwillige und missbräuchliche Nutzung von Cookies oder Token.
Token Binding ermöglicht es uns wie jeder andere PoP-Mechanismus, wirksame Abwehrmaßnahmen zu ergreifen. Wir können hart um jedes Token kämpfen, oder wir können uns einfach um unsere Sicherheit kümmern. Im Gegensatz zu anderen PoP-Mechanismen wie Clientzertifikaten ist das Token Binding-Konzept in sich geschlossen und für Benutzer transparent. Ein Großteil der Arbeit wird dabei von der Infrastruktur geleistet. Wir hoffen, dass bald jeder die Möglichkeit haben wird, hohe Standards in der Identitätssicherung anzusetzen. Zunächst erwarten wir jedoch einen verstärkten Bedarf im Behörden- und Finanzsektor, da die Einhaltung gesetzlicher PoP-Anforderungen hier am stärksten gefragt ist. Beispielsweise muss jeder, der die NIST 800-63C AAL3-Kategorisierung benötigt, diese Technologie einsetzen.
Token Binding ist ein umfassendes Thema, das uns mittlerweile seit drei Jahren beschäftigt. Während die Bestätigung der Spezifikationen einen bedeutenden Meilenstein darstellt, bleibt für unser Ökosystem noch eine Menge zu tun. Schließlich kann die Spezifikation nur erfolgreich sein, wenn sie anbieter- und plattformübergreifend wirksam ist. Wir freuen uns, die Sicherheitsvorteile und Best Practices, die wir bei der Arbeit mit dieser Technologie gewonnen haben, in den nächsten Monaten mit Ihnen zu teilen, und hoffen, dass Sie sich gemeinsam mit uns für Token Binding stark machen, wo immer Sie diese benötigen.
Bis bald,
Pam