Tõendi sidumine
Hei, rahvas!
Viimase paari kuu jooksul on toimunud VÄGA põnevaid identimis- ja julgeolekustandarditega seotud sündmusi. Tänu kogu valdkonna paljude ekspertide jõupingutustele oleme teinud uskumatuid edusamme uute ja täiustatud standardite laiaulatusliku komplekti paremaks muutmisel, mis parendavad nii pilveteenuste kui ka seadmete turvalisust ja kasutuskogemust.
Üks olulisemaid täiustusi on Token Bindingu spetsifikatsioonide komplekt, mis peagi ratifitseeritakse lõplikult Interneti standardimise organisatsiooni Internet Engineering Task Force (IETF) poolt. (Kui soovite tõendi sidumise kohta lisateavet, vaadake seda suurepärast esitlust , mille autor on Brian Campbell.)
Meie Microsoftis usume, et kuna Token Binding muudab autentimise lahenduse arendajate jaoks laialdaselt ja lihtsalt ligipääsetavaks kogu maailmas, parandab see oluliselt nii ettevõtte kui ka tarbija stsenaariumide turvalisust.
Arvestades seda, kui positiivne see mõju võib olla, olime ja oleme jätkuvalt pühendunud koostööle kogukonnaga, et luua ja võtta vastu tõendi sidumise spetsifikatsioonide komplekt.
Nüüd, kui spetsifikatsioonid peagi ratifitseeritakse, tahaksin ma esitada kaks tegevuskutset.
- Alustage tõendi sidumise katsetamist ja juurutuste kavandamist.
- Võtke ühendust oma brauseri- ja tarkvaratarnijatega, paludes neil peagi tarnida tõendi sidumise juurutused, kui teil neid veel pole.
Samuti on mul hea meel teatada, et Microsoft on üks paljudest ettevõtetest, kes on arvamusel, et tõendi sidumine on oluline lahendus, millele peab tähelepanu pöörata.
Täpsemat teavet selle kohta, miks sidumine on oluline, annab teile Microsofti Azure AD meeskonna identimisstandardite juht Pamela Dingle – antud valdkonna eestkõneleja, keda paljud teist juba teavad.
Parimate soovidega
Alex Simons (Twitter: @Alex_A_Simons)
Programmijuhtimise osakonna juht
Microsoft Identity Division
—————————————————————————————————————————–
Tänan, Alex. Tere kõigile!
Olen samuti põnevil nagu Alex. Aastaid oleme teinud suuri jõupingutusi seoses spetsifikatsioonidega, millest peagi saavad uued RFC standardid. Arhitektidel on õige aeg uurida konkreetseid identimise ja turbealaseid eeliseid, mida Token Binding pakub.
Ilmselt tahate teada, mis on tõendi sidumise juures head. Tõendi sidumine muudab küpsised, OAuthi pääsu- ja värskendustõendid ning OpenID ühenduse ID tõendid kasutuskõlbmatuks väljaspool kliendikohast TLS-konteksti, milles need välja anti. Tavaliselt on sellised tõendid kandjatõendid, mis tähendab, et see, kellel on tõend, võib vahetada ressursside tõendit, kuid tõendi sidumine parandab seda mustrit, kihistades kinnitamise viisid, et võrrelda omavahel tõendi väljaandmise ajal ning tõendi kasutamise ajal kogutud krüptitud materjale. Testi läbib edukalt ainult õige klient, kes kasutab õiget TLS-kanalit. Protsessi, mil üksus esitab tõendi oma identiteedi tõestamiseks, nimetatakse „omamise tõendamiseks”.
Teame, et küpsiseid ja tõendeid saab kasutada väljaspool algset TLS-konteksti kõikvõimalikeks pahatahtlikeks tegevusteks. Taolistel juhtudel võib tegemist olla kaaperdatud seansiküpsiste või lekkinud pääsutõendite või keerukate vahendajarünnetega. See on põhjus, miks IETF-i OAuth 2 praegune turvalisuse parima tava kavand soovitab tõendi sidumist, ja miks me just hiljuti kahekordistasime oma identimise boonusprogrammi auhindu. Nõudes omamise tõendamist, muudame me küpsiste või tõendite pahatahtlikul viisil kasutamise raskeks ja kalliks ettevõtmiseks, et ründaja loobuks sellest kavatsusest.
Nagu kõik omamise tõendamise viisid, annab ka tõendi sidumine meile võimaluse luua põhjaliku kaitse. Me võime pingutada selle nimel, et mitte kunagi tõendit kaotada, aga me saame läbi viia kontrolli, et olla kaitstud. Erinevalt teistest omamise tõendamise viisidest, nagu kliendi sertifikaadid, on tõendi sidumine iseseisev ja kasutaja jaoks läbipaistev, kusjuures suurema osa keerukast tööst teeb infrastruktuur. Me loodame, et see tähendab lõpuks, et igaüks võib valida kõrgel identimise tagatistasemel tegutsemise, kuid alguses ootame valitsuse ja vertikaalsete finantsturgude tugevat nõudlust, sest nemad on kehtestanud regulatiivsed nõuded omamise tõendamiseks. Näiteks see, kes nõuab NIST 800-63C AAL3 kategoriseerimist, kohustab omama taolist tehnoloogiat.
Töö tõendi sidumisega kujutab endast pikka teekonda. Oleme seljatanud kolm aastat ja kuigi spetsifikatsioonide ratifitseerimine on meie saavutuste põnev verstapost, on meil ökosüsteemina veel palju täiustada, ning selleks, et spetsifikatsioon oleks edukas, peab see töötama tarnijate ja platvormide jaoks sobivalt. Me oleme väga elevil eelseisvate kuude pärast, mil hakkame põhjalikult jagama turbeeeliseid ja parimaid tavasid, ning me loodame, et te ühinete meiega, võttes selle tehnoloogia kasutusele.
Tervitades
— Pam