É hora de associar os tokens - Microsoft 365 Blog

21 de agosto de 2018

Olá, pessoal!

Os últimos meses foram MUITO interessantes em termos de identidade e padrões de segurança. Devido aos esforços de um conjunto amplo de especialistas em todo o setor, tivemos um progresso incrível em finalizar padrões aprimorados que poderão melhorar a segurança e a experiência do usuário de uma geração de serviços de nuvem e dispositivos.

Uma das melhorias mais importantes é a família de especificações de associação de tokens mais prontas para a ratificação final na Internet Engineering Task Force (IETF). Se quiser saber sobre associação de tokens, assista a esta ótima apresentação de Brian Campbell.

Na Microsoft, acreditamos que a associação de tokens pode melhorar muito a segurança para empresas e clientes porque simplifica o acesso de alta identidade e autenticação para desenvolvedores em todo o mundo.

Considerando como acreditamos que esse impacto pode ser positivo, estamos e continuamos profundamente comprometidos em trabalhar com a comunidade para criar e adotar a família de especificações de associação de tokens.

Agora que as especificações estão próximas da ratificação, gostaria de sugerir duas chamadas à ação:

Comece experimentando com associação de tokens e planejando suas implantações.
Entre em contato com o navegador e os fornecedores de software, pedindo que eles enviem as implementações de associação de tokens assim que estiverem prontas.

Tenho o prazer de informar que a Microsoft é uma das muitas vozes do setor que diz que a associação de tokens é uma solução importante que veio pra ficar.

Para conhecer mais sobre a importância da associação de tokens, passo a palavra para Pamela Dingle, uma voz importante do setor que muitos de vocês já conhece, agora é a Diretora de padrões de identidade da Microsoft na equipe do Azure AD.

Atenciosamente,

Alex Simons (Twitter: @Alex_A_Simons)

Diretor de Gestão de Programas

Microsoft Identity Division

—————————————————————————————————————————–

Obrigada, Alex, e olá a todos!

Estou mesmo entusiasmada. Foram dedicados anos de esforço para definir as especificações que vocês já já conhecerão como os novos padrões de RFC. Chegou o momento para arquitetos conhecerem mais as vantagens de usar as identidades e segurança específicas que a associação de tokens representa.

Afinal, o que há de tão especial em associação de tokens? A associação de tokens torna os cookies, os tokens de acesso de OAuth, os tokens de atualização e os tokens de ID do Connect do OpenID inutilizáveis fora do contexto de TLS específico do cliente nos quais eles foram emitidos. Normalmente, esses tokens apenas “carregam” tokens, ou seja, qualquer um que possuir o token poderá trocar o token por recursos. Mas a associação de tokens aprimora esse padrão ao disponibilizar um mecanismo de confirmação para testar o material criptografado coletado no momento da emissão do token em relação ao material criptografado coletado no momento do uso do token. Apenas o cliente correto, que estiver usando o canal TLS correto, passará no teste. Este processo de forçar a entidade a apresentar o token para comprovação é chamado de “prova de posse”.

Aparentemente esses cookies e tokens podem ser usados fora do contexto TLS original de vários tipos de maneiras mal-intencionadas. Podem ser cookies de sessão sequestrada ou tokens de acesso vazado ou ataque MiTM sofisticado. Por isso, o projeto da Prática recomendada atual de OAuth 2 da IETF recomenda a associação de tokens, e por isso recebemos recentemente o prêmio pelo nosso programa de identidade. Ao exigir a prova de posse, dificultamos o uso oportunista ou premeditado de cookies ou tokens, além de tornar essa operação cara para um invasor.

Como qualquer mecanismo de prova de posse, a associação de tokens concede a nós a capacidade de criar uma defesa mais profunda. Podemos trabalhar muito para nunca perder um token, mas também podemos verificar se ele é seguro. Ao contrário de outros mecanismos de prova de posse, como certificados de clientes, a associação de tokens é independente e transparente para o usuário, com a maior parte do trabalho pesado feito pela infraestrutura. Esperamos que isso eventualmente signifique que alguém pode escolher operar em um nível alto de garantia de identidade, mas esperamos ver uma forte demanda dos setores verticais financeiros e do governo no início, porque eles têm requisitos regulatórios imediatos para fazer prova de posse. Como exemplo, qualquer um que exija a categorização AAL3 de NIST 800-63C exige este tipo de tecnologia.

A associação de tokens já foi bem longe nisso. Estamos trabalhando há três anos e, embora a ratificação das especificações seja um marco interessante, como ecossistema, ainda temos muito para construir, e essa especificação precisa funcionar em vários fornecedores e plataformas para ter sucesso. Estamos muito empolgados para, nos próximos meses, começarmos a compartilhar os benefícios de segurança detalhados e as práticas recomendadas de nossa adoção dessa funcionalidade, e esperamos que você se junte a nós na defesa dessa tecnologia onde ela for necessária.

Atenciosamente,

— Pam

Postagens relacionadas

24 de maio de 2022

Compilar aplicativos colaborativos com o Microsoft Teams
14 de julho de 2021

Apresentamos uma nova era de computação pessoal híbrida: o PC na nuvem do Windows 365
14 de julho de 2021

Dos aplicativos colaborativos no Microsoft Teams até o Windows 365, aqui estão as novidades do Microsoft 365 no Inspire
25 de maio de 2021

Compilar a próxima geração de aplicativos colaborativos para o trabalho híbrido

Postagens relacionadas

Compilar aplicativos colaborativos com o Microsoft Teams

Apresentamos uma nova era de computação pessoal híbrida: o PC na nuvem do Windows 365

Dos aplicativos colaborativos no Microsoft Teams até o Windows 365, aqui estão as novidades do Microsoft 365 no Inspire

Compilar a próxima geração de aplicativos colaborativos para o trabalho híbrido