Laikas atpažinimo ženklų siejimui

Sveiki visi.

Paskutiniai keli mėnesiai buvo tikrai LABAI įdomūs tapatybių ir saugos standartų pasaulyje. Dėl įvairiausių visos pramonės šakos ekspertų pastangų padarėme neįtikėtiną pažangą užbaigdami platų naujų ir patobulintų standartų rinkinį, kuris pagerins tiek visos kartos debesies tarnybų ir įrenginių saugą, tiek ir vartotojų patirtį.

Vienas iš svarbiausių šių patobulinimų yra atpažinimo ženklų siejimo specifikacijų grupė, kurią netrukus ketina ratifikuoti Interneto kūrimo darbo grupė (IETF). (Jei norite sužinoti daugiau apie atpažinimo ženklų siejimą, peržiūrėkite šią puikią pateiktį, kurią sudarė Brian Campbell.)

Mes, „Microsoft“, manome, kad atpažinimo ženklų siejimas gali labai pagerinti tiek įmonių, tiek vartotojų scenarijus, suteikiant lengvą prieigą prie aukšto lygio tapatybių ir autentifikavimo užtikrinimo kūrėjams visame pasaulyje.

Atsižvelgdami į tai, kokį teigiamą poveikį gali padaryti ši sistema, buvome ir esame tvirtai pasiryžę dirbti kartu su bendruomene kurdami atpažinimo ženklų siejimo specifikacijų grupę ir skatindami jos priėmimą.

Kadangi specifikacijos jau greitai gali būti ratifikuotos, norėčiau paraginti imtis dviejų veiksmų:

1. Pradėkite eksperimentuoti su atpažinimo ženklų siejimu ir planuoti diegimus.
2. Kreipkitės į savo naršyklės ir programinės įrangos teikėjus prašydami jų išsiųsti atpažinimo ženklų siejimo įgyvendinimo sprendimą, jei jie to dar nepadarė.

Man taip pat malonu pranešti, kad „Microsoft“ yra tik vieni iš daugelio pramonės šakos dalyvių, išreiškę nuomonę, kad atpažinimo ženklų siejimas yra svarbus sprendimas ir atėjo pats laikas jį įgyvendinti.

Daugiau apie atpažinimo ženklų siejimo klausimus papasakos Pamela Dingle – pramonės šakos nuomonės lyderė, kurią daugelis iš jūsų jau žino, ir kuri šiuo metu yra „Microsoft“ tapatybės standartų direktorė „Azure AD“ komandoje.

Pagarbiai

Alex Simons (Twitter: @Alex_A_Simons)

Programų valdymo direktorius

„Microsoft“ tapatybių valdymo skyrius

—————————————————————————————————————————–

Ačiū Alex‘ai ir sveiki visi.

Visiškai sutinku su Alex‘o požiūriu! Į šių specifikacijų kūrimą sudėta daugybė metų ir pastangų. Jau visai netrukus jos taps naujaisiais RFC standartais. Dabar pats laikas architektams įsigilinti į konkrečius tapatybių ir saugos privalumus, kuriuos teikia atpažinimo ženklų siejimas.

Turbūt norite sužinoti, kuo atpažinimo ženklų siejimas toks puikus? Atpažinimo ženklų siejimas sukuria slapukus, „OAuth“ pasiekia atpažinimo ženklus ir juos atnaujina, o „OpenID Connect ID“ atpažinimo ženklai netinkami naudoti kitame nei konkretaus kliento TLS kontekste, kuriame jie buvo išduoti. Paprastai tokie atpažinimo ženklai yra „savininko“ atpažinimo ženklai, o tai reiškia, kad tas, kas turi atpažinimo ženklą gali iškeisti atpažinimo ženklą į išteklius, tačiau atpažinimo ženklų siejimas patobulina šį modelį įtraukdamas patvirtinimo mechanizmą, kad būtų patikrinta kriptografijos medžiaga, surinkta atpažinimo ženklo išdavimo metu palyginant ją su kriptografijos medžiaga, surinkta atpažinimo ženklo naudojimo metu. Testą išlaikys tik tinkamas klientas, naudojantis tinkamą TLS kanalą. Šis procesas, kai atpažinimo ženklą pateikiantis subjektas yra priverčiamas įrodyti savo teisėtumą, vadinamas „turėjimo įrodymu“.

Pasirodo, kad slapukus ir atpažinimo ženklus galima naudoti ne pirminiame TLS kontekste įvairiausiais kenkėjiškais būdais. Tai gali būti neteisėtai pasisavinti seanso slapukai, nutekinti prieigos atpažinimo ženklai arba sudėtinga „susidūrimo viduryje“ (MiTM) ataka. Būtent todėl IETF „OAuth“ 2 saugos geriausios esamos praktikos projektas rekomenduoja atpažinimo ženklų siejimą ir todėl mes neseniai padvigubinome savo tapatybių skatinamųjų premijų programos atlyginimą. Reikalaudami turėjimo įrodymo, oportunistinį arba iš anksto apgalvotą slapukų ar atpažinimo ženklų naudojimą nenumatytais būdais paverčiame į kažką, ką įsilaužėliui bandyti atlikti tampa pernelyg sudėtinga ir brangu.

Kaip ir bet koks turėjimo įrodymo mechanizmas, atpažinimo ženklų siejimas leidžia sukurti gerai apgalvotą saugos sistemą. Galime labai stengtis niekada neprarasti atpažinimo ženklo, bet taip pat saugumo sumetimais galime patikrinti. Skirtingai nei kiti turėjimo įrodymo mechanizmai, pvz., klientų sertifikatai, atpažinimo ženklų siejimas yra autonomiškas ir aiškiai suprantamas vartotojui, nes didžiąją dalį darbo atlieka infrastruktūra. Tikimės, kad tai reiškia, jog galiausiai kiekvienas galės pasirinkti naudoti aukšto lygio tapatybės užtikrinimo sistemą, tačiau iš pradžių tikimės didelės paklausos iš valstybinių institucijų ir finansų struktūrų, nes jos turi neatidėliotinų reguliuojamųjų reikalavimų, nurodančių naudoti turėjimo įrodymo mechanizmus. Pavyzdžiui, bet kam, prašančiam suteikti NIST 800-63 AAL3 kategoriją, reikia tokio tipo technologijos.

Atpažinimo ženklų siejimo technologija yra ilgas kelias. Su ja dirbama trejus metus, ir nors specifikacijų ratifikavimas yra labai svarbus įvykis, kaip ekosistema dar turime daug nuveikti, o siekiant šios specifikacijos pasisekimo, ji turi veikti įvairių tiekėjų sistemose ir įvairiose platformose. Nekantraujame ateinančiais mėnesiais dalytis saugos privalumais ir geriausiomis praktikomis, kylančiomis iš šios technologijos, bei tikimės, kad prisijungsite prie mūsų ir pasisakysite už šios technologijos naudojimą pagal savo poreikius.

Ačiū už dėmesį

— Pam