E timpul pentru legarea tokenurilor
Salutare, oameni buni,
În ultimele câteva luni am trăit momente CU ADEVĂRAT fascinante în lumea standardelor de identitate și de securitate. Datorită eforturilor depuse de un număr mare de experți în domeniu, am realizat progrese incredibile în finalizarea unui set amplu de standarde noi și îmbunătățite care vor optimiza atât securitatea, cât și experiențele de utilizatori ale unei generații întregi de dispozitive și servicii cloud.
Una dintre cele mai importante îmbunătățiri o reprezintă familia de specificații Token Binding aflată acum în faza de ratificare finală la Internet Engineering Task Force (IETF). (Dacă doriți să aflați mai multe despre Token Binding, urmăriți această prezentare excepțională, realizată de Brian Campbell.)
La Microsoft, considerăm că Token Binding poate îmbunătăți semnificativ securitatea în scenarii la nivel de întreprindere și de client, întrucât asigurarea identității și autentificării la nivel înalt devine accesibilă cu ușurință și pe scară largă pentru dezvoltatori din întreaga lume.
Ținând cont de impactul pozitiv pe care credem că îl poate avea acest lucru, ne-am luat un angajament ferm să lucrăm alături de comunitate pentru a crea și a adopta familia de specificații Token Binding.
Acum, când specificațiile sunt aproape ratificate, aș dori să fac două apeluri la acțiune:
- Începeți să experimentați legarea tokenurilor și să planificați implementările.
- Contactați furnizorii browserului și software-ului dvs., solicitându-le să vă livreze implementările pentru Token Binding cât mai repede posibil, dacă nu au făcut deja acest lucru.
Sunt încântat să anunț că Microsoft este una dintre numeroasele voci din industrie care susțin că Token Binding este o soluție importantă și de actualitate.
Pentru mai multe informații referitoare la importanța legării tokenurilor, am să îi dau cuvântul Pamelei Dingle, o voce importantă în industrie pe care mulți dintre dvs. o cunosc deja, actualmente Director de Standarde de identitate la Microsoft, în echipa Azure AD.
Cu stimă,
Alex Simons (Twitter: @Alex_A_Simons)
Director Management programe
Divizia Microsoft Identity
—————————————————————————————————————————–
Mulțumesc, Alex, și salutare tuturor,
Împărtășesc și eu entuziasmul lui Alex! Eforturile depuse ani la rând s-au concretizat în specificațiile care vor fi celebrate ca noi standarde RFC în cel mai scurt timp. Este momentul ca arhitecții să aprofundeze avantajele specifice privind identitatea și securitatea pe care le oferă Token Binding.
Dar poate că vă întrebați de ce este atât de deosebită legarea tokenurilor. Token binding produce module cookie, tokenuri de acces și tokenuri de reîmprospătare OAuth, precum și tokenuri OpenID Connect ID inutilizabile în afara contextului TLS specific clientului în care au fost emise. În mod normal, aceste tokenuri sunt „la purtător”, ceea ce înseamnă că oricine deține tokenul îl poate da la schimb pe resurse, însă Token binding îmbunătățește acest model, prin așezare pe niveluri într-un mecanism de confirmare pentru a testa materiale criptografice colectate la data emiterii tokenului în raport cu materialele criptografice colectate la data utilizării acestuia. Doar clientul potrivit, care utilizează canalul TLS potrivit, va trece testul. Acest proces de forțare a entității care prezintă tokenul pentru a oferi dovezi despre ea însăși se numește „dovada deținerii”.
Astfel, modulele cookie și tokenurile pot fi utilizate în afara contextului TLS inițial în multe moduri rău intenționate. Poate fi vorba despre module cookie de sesiune deturnată sau tokenuri de acces pierdutesau MiTM sofisticate. Iată de ce schița Cele mai bune practici privind securitatea OAuth 2 IETF recomandă Token binding și iată de ce am dublat recent recompensele în programul de bonificații privind identitatea. Solicitând dovada deținerii, transformăm utilizarea oportunistă sau premeditată, în moduri contrare scopului prevăzut, a modulelor cookie sau tokenurilor în ceva prea dificil și costisitor pentru a fi încercat de un atacator.
Asemenea oricărei dovezi privind mecanismul de deținere, Token binding ne oferă capacitatea de a ne construi apărarea până în cele mai mici detalii. Putem lucra din greu pentru a nu pierde niciodată un token, dar putem verifica, de asemenea, doar pentru siguranță. Spre deosebire de alte dovezi privind mecanismele de deținere, cum ar fi certificatele de client, Token binding este independentă și transparentă pentru utilizator, cea mai mare parte din munca grea fiind suportată de infrastructură. Sperăm că, în cele din urmă, aceasta va însemna că orice persoană va putea alege să funcționeze la un înalt nivel de asigurare a identității, însă ne așteptăm la început la o cerere masivă din partea guvernului și a segmentelor verticale financiare, întrucât acestea au cerințe imediate de reglementare pentru a face dovada deținerii. De exemplu, orice persoană care solicită clasificarea AAL3 NIST 800-63C are nevoie de acest tip de tehnologie.
Token binding reprezintă un proces de lungă durată. De trei ani lucrăm la acesta și, deși ratificarea specificațiilor reprezintă o piatră de hotar extraordinară, mai avem mult de construit la nivel de ecosistem, iar pentru a avea succes, aceste specificații trebuie să funcționeze la nivel de distribuitori și de platforme. Abia așteptăm ca în lunile următoare să începem partajarea în detaliu a beneficiilor de securitate și a celor mai bune practici care decurg din adoptarea acestei funcționalități. Nutrim speranța că veți fi alături de noi susținând această tehnologie oriunde este nevoie.
Numai bine,
Pam
