È tempo di binding di token
Salve a tutti,
Gli ultimi mesi sono stati molto stimolanti per quanto riguarda gli standard di identità e di sicurezza. Grazie agli sforzi di molti esperti del settore, abbiamo fatto progressi incredibili nel finalizzare una vasta gamma di standard nuovi e migliorati che perfezioneranno sia la sicurezza che l’esperienza utente di una generazione di servizi e dispositivi cloud.
Uno dei più importanti miglioramenti è rappresentato dalla famiglia di specifiche Binding di token, che sta per ottenere la ratifica finale dell’Internet Engineering Task Force (IETF) (per saperne di più sul binding di token, guardate questa interessante presentazione di Brian Campbell).
In Microsoft, crediamo che il binding di token possa migliorare notevolmente la sicurezza degli scenari aziendali e dei consumatori, rendendo la verifica dell’elevata identità e dell’autenticazione accessibile in modo semplice ed esteso agli sviluppatori di tutto il mondo.
Poiché riteniamo che questo impatto possa essere molto positivo, ci impegniamo a lavorare costantemente con la community per la creazione e l’adozione della famiglia di specifiche binding di token.
Ora che le specifiche sono vicine alla ratifica, vorrei lanciare due appelli all’azione:
- Iniziate a sperimentare il binding di token e a pianificare le vostre distribuzioni.
- Contattate i vostri fornitori di browser e software, chiedendo loro di spedirvi subito le implementazioni del binding di token, se non lo hanno già fatto.
Sono felice di riferirvi che Microsoft è solo una delle tante voci del settore che afferma che il binding di token è una soluzione importante che è tempo di mettere in pratica.
Per saperne di più sul motivo per cui il binding di token è importante, passerò la parola a Pamela Dingle, una voce leader del settore che molti di voi già conoscono, ora Director of Identity Standards del team Azure AD di Microsoft.
Con i migliori saluti,
Alex Simons (Twitter: @Alex_A_Simons)
Director di Program Management
Microsoft Identity Division
—————————————————————————————————————————–
Grazie Alex e salve a tutti,
condivido l’entusiasmo di Alex! Alle specifiche che a breve vedrete proclamate come nuovi standard RFC sono stati dedicati molti anni e un grande impegno. È il momento giusto per gli architetti per approfondire i vantaggi specifici di identità e sicurezza rappresentati dal binding di token.
Cosa c’è di così eccezionale nel binding di token, ci si potrebbe chiedere? Il binding di token rende inutilizzabili i cookie, i token di accesso e i token di aggiornamento OAuth e i token OpenID Connect ID al di fuori del contesto TLS specifico del client in cui sono stati rilasciati. Normalmente questi token sono token “portanti”, nel senso che chi li possiede può scambiarli con risorse, ma il binding di token migliora questo modello, attraverso la stratificazione in un meccanismo di conferma, per testare il materiale crittografico raccolto al momento dell’emissione del token con il materiale crittografico raccolto al momento dell’utilizzo del token. Solo il client giusto, utilizzando il canale TLS giusto, supererà il test. Questo processo per il quale l’entità che presenta il token viene forzata a dimostrarne il possesso, si chiama “prova di possesso”.
Cookie e token possono essere utilizzati al di fuori del contesto TLS originale in modi dannosi di qualsiasi tipo. Si potrebbe trattare di cookie di sessione dirottati, di token di accesso trapelati o di MiTM sofisticati. Questo è il motivo per cui nella bozza IETF OAuth 2 Security Best Current Practice viene suggerito il binding di token. Un altro motivo sta nel fatto che di recente abbiamo raddoppiato i premi del nostro programma bounty di identità. Richiedendo la prova del possesso, trasformiamo l’uso opportunistico o premeditato di cookie o token in modi diversi da quelli per cui sono stati concepiti in qualcosa di difficile e costoso per un utente malintenzionato.
Come ogni meccanismo di prova del possesso, il binding di token ci dà la possibilità di difenderci in modo profondo. Possiamo lavorare sodo per non perdere mai un token, ma possiamo anche verificare semplicemente di essere protetti. A differenza di altri meccanismi di prova di possesso come i certificati client, il binding di token è autonomo e trasparente per l’utente e la maggior parte delle attività complesse vengono svolte dall’infrastruttura. Ci auguriamo che questo significhi che, alla fine, chiunque possa scegliere di operare ad un alto livello di garanzia di identità, ma ci aspettiamo una forte domanda iniziale da parte del governo e dei vertici finanziari, in possesso di requisiti normativi immediati per eseguire la prova del possesso. Ad esempio, chiunque richieda la categorizzazione NIST 800-63C AAL3 necessita di questo tipo di tecnologia.
Il binding di token rappresenta un percorso lungo. Ci lavoriamo da tre anni e, nonostante la ratifica delle specifiche sia un punto fermo, come ecosistema abbiamo ancora molto da costruire, e questa specifica deve funzionare tra fornitori e piattaforme per avere successo. Siamo molto entusiasti di condividere nei prossimi mesi i vantaggi e le migliori pratiche in termini di sicurezza scaturiti dall’acquisizione di questa funzionalità e speriamo che vi unirete a noi nel sostenere questa tecnologia ovunque ne abbiate bisogno.
Grazie,
— Pam