Μετάβαση στο κύριο περιεχόμενο
Microsoft 365
Εγγραφή

Ήρθε η ώρα για δέσμευση διακριτικών

Διά

Φίλοι μου, γεια σας,

Οι τελευταίοι μήνες ήταν ΠΟΛΥ συναρπαστικοί για τον κόσμο των προτύπων ταυτότητας και ασφάλειας. Χάρη στις προσπάθειες ενός μεγάλου συνόλου ειδικών από όλο τον κλάδο, έχουμε κάνει απίστευτη πρόοδο στην ολοκλήρωση μιας μεγάλης γκάμας νέων και βελτιωμένων προτύπων που θα βελτιώσουν τόσο την ασφάλεια όσο και την εμπειρία χρήσης μιας γενιάς υπηρεσιών cloud και συσκευών.

Μία από τις πιο σημαντικές από αυτές τις βελτιώσεις είναι η οικογένεια προδιαγραφών Token Binding, που οδεύει προς την τελική επικύρωση στο Internet Engineering Task Force (IETF). (Εάν θέλετε να μάθετε περισσότερα για τη δέσμευση διακριτικών, παρακολουθήστε αυτή την εξαιρετική παρουσίαση από τον Brian Campbell.)

Στη Microsoft, πιστεύουμε ότι η δέσμευση διακριτικών μπορεί να βελτιώσει σε μεγάλο βαθμό την ασφάλεια τόσο για μεγάλες επιχειρήσεις όσο και για καταναλωτές καθιστώντας την εξασφάλιση ταυτότητας και ελέγχου ταυτότητας ευρέως προσβάσιμη με απλό τρόπο για προγραμματιστές σε όλο τον κόσμο.

Καθώς πιστεύουμε ότι ο αντίκτυπος θα είναι πολύ θετικός, εξακολουθούμε να είμαστε πλήρως προσηλωμένοι στη συνεργασία με την κοινότητα για τη δημιουργία και την υιοθέτηση της οικογένειας προδιαγραφών δέσμευσης διακριτικών.

Τώρα που οι προδιαγραφές κοντεύουν να επικυρωθούν, θα ήθελα να κάνω δύο καλέσματα για δράση:

  1. Αρχίστε να πειραματίζεστε με τη δέσμευση διακριτικών και να σχεδιάζετε τις αναπτύξεις σας.
  2. Επικοινωνήστε με τους προμηθευτές του προγράμματος περιήγησης και των εφαρμογών λογισμικού σας και ζητήστε τους να σας προμηθεύσουν με υλοποιήσεις δέσμευσης διακριτικών σύντομα, εάν δεν το έχουν κάνει ήδη.

Επίσης, είμαι στην ευχάριστη θέση να αναφέρω ότι η Microsoft είναι μόνο μία από τις πολλές φωνές του κλάδου που λένε ότι η δέσμευση διακριτικών είναι μια σημαντική λύση και ότι έχει έρθει η ώρα της.

Τώρα θα δώσω τον λόγο στην Pamela Dingle, μια κορυφαία εκπρόσωπο του κλάδου που πολλοί από εσάς γνωρίζετε ήδη, Διευθύντρια Προτύπων Ταυτότητας στην ομάδα του Azure AD, η οποία θα σας εξηγήσει γιατί η δέσμευση διακριτικών είναι σημαντική.

Με εκτίμηση,

Alex Simons (Twitter: @Alex_A_Simons)

Διευθυντής Διαχείρισης Προγραμμάτων

Τμήμα Ταυτότητας της Microsoft

—————————————————————————————————————————–

Σ’ ευχαριστώ Alex, γεια σε όλους,

Όπως και ο Alex, είμαι κι εγώ ενθουσιασμένη! Οι προδιαγραφές που πολύ σύντομα θα δείτε να έχουν την τιμητική τους ως νέα πρότυπα RFC είναι το αποτέλεσμα πολυετών προσπαθειών. Είναι η κατάλληλη στιγμή για να εμβαθύνουν οι αρχιτέκτονες στα συγκεκριμένα πλεονεκτήματα ταυτότητας και ασφάλειας που προσφέρει η δέσμευση διακριτικών.

Γιατί λοιπόν είναι τόσο σημαντική η δέσμευση διακριτικών; Η δέσμευση διακριτικών καθιστά αδύνατη τη χρήση των cookies, των διακριτικών πρόσβασης και των διακριτικών ανανέωσης OAuth, καθώς και των διακριτικών ταυτότητας OpenID Connect έξω από το περιβάλλον TLS του συγκεκριμένου υπολογιστή-πελάτη στο οποίο εκδόθηκαν. Συνήθως αυτά τα διακριτικά είναι διακριτικά “φορέα”, που σημαίνει ότι όποιος κατέχει το διακριτικό μπορεί να το ανταλλάξει με πόρους. Η δέσμευση διακριτικών βελτιώνει αυτό το μοντέλο, προσθέτοντας έναν μηχανισμό επιβεβαίωσης για τον έλεγχο του υλικού κρυπτογράφησης που συλλέγεται κατά την έκδοση του διακριτικού σε σχέση με το υλικό κρυπτογράφησης που συλλέγεται κατά τη χρήση του διακριτικού. Μόνο ο κατάλληλος υπολογιστής-πελάτης, που χρησιμοποιεί το κατάλληλο κανάλι TLS, θα περάσει τον έλεγχο. Αυτή η διαδικασία με την οποία υποχρεώνεται η οντότητα που παρουσιάζει το διακριτικό να αποδείξει τον εαυτό της ονομάζεται “επαλήθευση κατοχής”.

Έχει φανεί ότι τα cookies και τα διακριτικά μπορούν να χρησιμοποιηθούν έξω από το αρχικό περιβάλλον TLS με διάφορους κακόβουλους τρόπους. Μερικά παραδείγματα είναι ο σφετερισμός των cookies περιόδου λειτουργίας, η διαρροή των διακριτικών πρόσβασης και οι εξελιγμένες επιθέσεις τύπου MiTM. Για τον λόγο αυτόν, το IETF OAuth 2 Security Best Current Practice draft συνιστά τη δέσμευση διακριτικών, ενώ πρόσφατα διπλασιάσαμε τις αμοιβές στο πρόγραμμα Identity Bounty. Απαιτώντας επαλήθευση κατοχής, κάνουμε την ευκαιριακή ή την προμελετημένη χρήση των cookies ή των διακριτικών με μη προβλεπόμενο τρόπο σε κάτι δύσκολο και ακριβό για έναν εισβολέα που θα θέλει να το επιχειρήσει.

Όπως κάθε μηχανισμός επαλήθευσης κατοχής, η δέσμευση διακριτικών μάς δίνει τη δυνατότητα να δημιουργήσουμε άμυνα σε βάθος. Μπορούμε να εργαζόμαστε σκληρά για να μην χάσουμε ποτέ κάποιο διακριτικό, αλλά μπορούμε επίσης να επαληθεύουμε για σιγουριά. Σε αντίθεση με άλλους μηχανισμούς επαλήθευσης κατοχής, όπως τα πιστοποιητικά υπολογιστών-πελατών, η δέσμευση διακριτικών είναι αυτάρκης και διαφανής για τον χρήστη, ενώ η περισσότερη δουλειά γίνεται από την υποδομή. Ελπίζουμε ότι αυτό τελικά θα σημαίνει ότι ο καθένας μπορεί να επιλέξει να λειτουργεί σε υψηλό επίπεδο εξασφάλισης ταυτότητας, αλλά αναμένουμε μεγάλη ζήτηση από τους κλάδους του δημόσιου τομέα και των χρηματοοικονομικών, καθώς έχουν άμεσες ρυθμιστικές απαιτήσεις για επαλήθευση κατοχής. Για παράδειγμα, όποιος χρειάζεται την κατηγοριοποίηση NIST 800-63C AAL3 χρειάζεται αυτή την τεχνολογία.

Η δέσμευση διακριτικών αντιπροσωπεύει μια μακρά διαδρομή. Μετά από τρία χρόνια, μπορεί η επικύρωση των προδιαγραφών να είναι ένα συναρπαστικό ορόσημο, ωστόσο ως οικοσύστημα έχουμε πολλά ακόμη να δημιουργήσουμε. Αυτή η προδιαγραφή πρέπει να λειτουργεί σε διάφορους προμηθευτές και πλατφόρμες για να είναι επιτυχής. Είμαστε πολύ ενθουσιασμένοι που θα αρχίσουμε τους επόμενους μήνες να περιγράφουμε σε βάθος τα πλεονεκτήματα ασφάλειας και τις βέλτιστες πρακτικές που έχουν προέλθει από την υιοθέτηση αυτής της λειτουργίας εκ μέρους μας. Ελπίζουμε ότι και εσείς θα στηρίζετε αυτή την τεχνολογία όπου τη χρειάζεστε.

Με φιλικούς χαιρετισμούς,

– Pam

Σχετικές δημοσιεύσεις