Det er tid for tokenbinding

Ved

21. august 2018

Heisann!

Det har vært en svært spennende tid de siste månedene når det gjelder identitets- og sikkerhetsstandarder. Takket være innsatsen til et bredt sett av eksperter på tvers av bransjen, har vi gjort store fremskritt på veien mot å fullføre et bredt sett med nye og forbedrede standarder som skal forbedre både sikkerhets- og brukeropplevelsen til en generasjon av skytjenester og -enheter.

En av de viktigste av disse forbedringene er spesifikasjonene for tokenbinding, som nå er godt på vei til å godkjennes av Internet Engineering Task Force (IETF). (Hvis du vil finne ut mer om tokenbinding, kan du se denne flotte presentasjonen av Brian Campbell.)

Hos Microsoft mener vi at tokenbinding kan forbedre sikkerheten for både bedrifts- og forbrukerscenarioer ved å gjøre høy identitets- og godkjenningssikring bredt og enkelt tilgjengelig for utviklere over hele verden.

Gitt hvor positiv effekt vi tror at dette kan ha, fortsetter vi å være sterkt forpliktet til å samarbeide med fellesskapet for å opprette og begynne å bruke spesifikasjonene for tokenbinding.

Nå som spesifikasjonene snart er godkjent, vil jeg gi dere to utfordringer:

Begynn å eksperimentere med tokenbinding og planlegge distribusjoner.
Kontakt nettleser- og programvareleverandørene dine, og be dem om å levere implementeringer for tokenbinding snart hvis de ikke gjør det allerede.

Og jeg er glad for å melde at Microsoft bare er én av mange av stemmene i bransjen som mener at tokenbinding er en viktig og aktuell løsning.

For mer informasjon om hvorfor tokenbinding er viktig, gir jeg ordet videre til Pamela Dingle. Hun er en ledende stemme i bransjen som mange av dere allerede kjenner. Hun er nå Microsofts leder for identitetsstandarder på Azure AD-teamet.

Vennlig hilsen

Alex Simons (Twitter: @Alex_A_Simons)

Leder for programstyring

Microsoft Identity Division

—————————————————————————————————————————–

Takk Alex, og hei alle sammen!

Jeg deler Alex’ entusiasme! Vi har lagt ned mye tid og energi i spesifikasjonene som du vil se blir feiret som de nye RFC-standardene om kort tid. Tiden er inne for at arkitekter graver dypere i de spesifikke fordelene knyttet til identitet og sikkerhet som tokenbinding representerer.

Du vil kanskje spørre hva som er så flott med tokenbinding? Tokenbinding gjør at informasjonskapsler, OAuth-tilgangstokener og -oppdateringstokener, samt OpenID Connect-ID-tokener ikke kan brukes utenfor de klientspesifikke TLS-kontekstene som de ble utstedt i. Vanligvis er slike tokener «bæretokener», noe som betyr at de som eier tokenet kan bytte det ut mot ressurser, men tokenbinding forbedrer dette mønsteret ved å legge inn et lag med bekreftelsesmekanisme for å teste kryptografisk materiale som samles inn på tidspunktet for utstedelse av tokenet mot kryptografisk materiale som samles inn på tidspunktet for bruk av tokenet. Bare den riktige klienten med riktig TLS-kanal består testen. Denne prosessen, som fremtvinger enheten som presenterer tokenet, til å bekrefte seg selv, kalles «bevis på besittelse».

Det viser seg at informasjonskapsler og tokener kan brukes utenfor den opprinnelige TLS-konteksten på en rekke skadelige måter. Det kan være kaprede informasjonskapsler for en økt, lekkede tilgangstokener eller sofistikert MITM. Dette er grunnen til at utkastet for beste fremgangsmåte for IETF OAuth 2-sikkerhet anbefaler tokenbinding, og det er grunnen til at vi nylig har doblet belønningene på identitetsbelønningsprogrammet vårt. Ved å kreve bevis på besittelse gjør vi det vanskelig og dyrt for en angriper som prøver å bruke informasjonskapsler eller tokener på opportunistiske eller overlagte måter som ikke var tiltenkt.

Som andre mekanismer for bevis på besittelse gir tokenbinding oss muligheten til å bygge forsvaret i dybden. Vi kan jobbe hardt for aldri å miste et token, men vi kan også verifisere det for sikkerhets skyld. I motsetning til andre mekanismer for bevis på besittelse, for eksempel klientsertifikater, er tokenbinding selvstendig og åpent for innsyn fra brukeren, der infrastrukturen gjør de fleste av de tunge løftene. Vi håper at dette til slutt betyr at enhver person kan velge å operere på et høyt nivå av identitetssikring, men vi regner med å se sterk etterspørsel fra offentlig sektor og nisjebedrifter innen finans i begynnelsen, siden de har umiddelbare forskriftsmessige krav til bevis på besittelse. Som et eksempel vil alle som trenger NIST 800-63C AAL3-kategorisering, ha behov for denne typen teknologi.

Tokenbinding representerer en lang vei. Vi har holdt på i tre år, og selv om godkjenningen av spesifikasjonene er en spennende milepæl, har vi fortsatt mye å bygge videre på som et økosystem, og denne spesifikasjonen må jobbe på tvers av leverandører og plattformer for å lykkes. Vi gleder oss veldig til å begynne å dele mer detaljert om sikkerhetsfordelene og de beste fremgangsmåtene som har sitt utspring i arbeidet vårt med denne funksjonaliteten i løpet av de neste månedene. Vi håper du vil bli med oss i å fremme denne teknologien uansett hvor du trenger den.

Med vennlig hilsen

Pam

Relaterte innlegg

24. mai 2022

Bygg samarbeidsapper med Microsoft Teams
14. juli 2021

Vi lanserer en ny epoke med hybrid personlig databehandling: Windows 365 Sky-PC
14. juli 2021

Fra samarbeidsapper i Microsoft Teams til Windows 365 – her er alt nytt om Microsoft 365 på Inspire
25. mai 2021

Bygg neste generasjons samarbeidsapper til hybridarbeid

Relaterte innlegg

Bygg samarbeidsapper med Microsoft Teams

Vi lanserer en ny epoke med hybrid personlig databehandling: Windows 365 Sky-PC

Fra samarbeidsapper i Microsoft Teams til Windows 365 – her er alt nytt om Microsoft 365 på Inspire

Bygg neste generasjons samarbeidsapper til hybridarbeid