Je čas na väzbu tokenov
Dobrý deň, priatelia,
Posledných niekoľko mesiacov bolo vo svete štandardov identity a zabezpečenia NAOZAJ zaujímavým obdobím. Vďaka úsiliu širokej škály odborníkov z celého odvetvia sme urobili nesmierny pokrok vo finalizácii širokého spektra nových a zlepšených štandardov, ktoré zdokonalia zabezpečenie aj používateľské prostredie celej generácie cloudových služieb a zariadení.
Medzi najdôležitejšie z týchto zlepšení patrí skupina špecifikácií väzby tokenov, ktorá je v súčasnosti na dobrej ceste smerom ku konečnej ratifikácii skupinou Internet Engineering Task Force (IETF). (Ak sa chcete dozvedieť viac o väzbe tokenov, pozrite si túto skvelú prezentáciu Briana Campbella.)
V spoločnosti Microsoft veríme, že väzba tokenov môže výrazne zvýšiť zabezpečenie v podnikových aj spotrebiteľských scenároch všeobecným a jednoduchým sprístupnením vysokej úrovne istoty identity a zabezpečenia pre vývojárov na celom svete.
Vzhľadom na naše presvedčenie o tom, aký to môže mať pozitívny vplyv, sme sa v spolupráci s komunitou usilovali a naďalej usilujeme o vytvorenie a prijatie skupiny špecifikácií väzby tokenov.
S blížiacou sa ratifikáciou týchto špecifikácií by som rád vydal dve výzvy na akciu:
- Začnite experimentovať s väzbou tokenov a plánovať svoje nasadenia.
- Kontaktujte svojich dodávateľov prehliadača a softvéru a požiadajte ich o čo najskoršie dodanie implementácií väzby tokenov, pokiaľ to ešte neurobili.
Zároveň môžem s potešením konštatovať, že Microsoft je len jedným z mnohých hlasov v odvetví, ktoré tvrdia, že nastal čas väzby tokenov ako dôležitého riešenia.
Viac o dôležitosti väzby tokenov vám povie popredná predstaviteľka odvetvia Pamela Dingle, ktorá je mnohým z vás už známa a v súčastnosti pôsobí v Microsofte ako riaditeľka pre štandardy identity v tíme služby Azure AD.
S pozdravom
Alex Simons (Twitter: @Alex_A_Simons)
Riaditeľ pre spravovanie programov
Divízia identity spoločnosti Microsoft
—————————————————————————————————————————–
Vďaka Alex a dobrý deň všetkým,
Som rovnako nadšená ako Alex. Špecifikáciám, ktoré sa už zakrátko budú oslavovať ako nové štandardy RFC, bolo venované niekoľkoročné úsilie. Nastal správny čas, aby sa architekti dôkladne pozreli na konkrétne výhody pre identitu a zabezpečenie, ktoré väzba tokenov prináša.
Možno si kladiete otázku, čo je na väzbe tokenov také skvelé. Väzba tokenov znemožňuje použitie súborov cookie, prístupových a obnovovacích tokenov OAuth a identifikačných tokenov OpenID Connect mimo klientskeho kontextu TLS, v ktorom boli vydané. Tieto tokeny sú zvyčajne tzv. nosné tokeny, čo znamená, že ktokoľvek, kto token vlastní, ho môže vymeniť za zdroje. Väzba tokenov však túto štruktúru zdokonaľuje tým, že do nej pridáva vrstvu mechanizmu potvrdenia, ktorá uskutočňuje porovnávací test kryptografického materiálu zhromaždeného v čase vydania tokenu s kryptografickým materiálom zhromaždeným v čase jeho použitia. Testom prejde len správny klient používajúci správny kanál TLS. Tento proces, ktorý núti entitu preukázať sa predložením tokenu, sa označuje ako kontrola vlastníctva.
Ukazuje sa, že súbory cookie a tokeny je možné používať mimo pôvodného kontextu TLS rozmanitými druhmi škodlivých spôsobov. Môže ísť o súbory cookie napadnutej relácie, uniknuté prístupové tokeny alebo sofistikované útoky typu MiTM. To je dôvod, prečo koncept IETF OAuth 2 Security Best Current Practice (Aktuálne osvedčené postupy skupiny IETF pre zabezpečenie OAuth 2) odporúča väzbu tokenov a prečo sme nedávno zdvojnásobili odmeny v našom programe odmien pre identity. Vďaka kontrole vlastníctva sa pre útočníka stáva náročné a nákladné pokúsiť sa o oportunistické alebo úkladné použitie súborov cookie a tokenov spôsobmi, na ktoré nie sú určené.
Väzba tokenov nám rovnako ako každý mechanizmus kontroly vlastníctva umožňuje budovať hĺbkovú obranu. Môžeme sa usilovať zamedziť strate tokenu, no zároveň môžeme pre istotu použiť aj overenie. Na rozdiel od iných mechanizmov kontroly vlastníctva, ako sú napríklad klientske certifikáty, je väzba tokenov samostatná a transparentná pre používateľa, keďže väčšinu ťažkej práce odvádza infraštruktúra. Veríme, že vďaka tomu bude môcť uplatňovať vysokú úroveň zabezpečenia identity napokon každý, na začiatku však očakávame vysoký dopyt zo strany štátnych a finančných vertikál, keďže majú bezprostredné regulačné požiadavky na uskutočňovanie kontroly vlastníctva. Tento druh technológie potrebuje napríklad každý, kto vyžaduje kategorizáciu AAL3 podľa normy NIST 800-63C.
Väzba tokenov predstavuje dlhú cestu. Kráčame k nej už tri roky a hoci je ratifikácia špecifikácií vzrušujúcim míľnikom, ako ekosystém máme pred sebou ešte stále veľa práce a aby bola táto špecifikácia úspešná, musí fungovať v rámci rôznych dodávateľov a platforiem. Veľmi sa tešíme na nadchádzajúce mesiace, v ktorých začneme poskytovať hĺbkové informácie o výhodách zabezpečenia a osvedčených postupoch, ktoré získame vďaka osvojeniu tejto funkcie, a zároveň dúfame, že sa k nám pridáte v presadzovaní tejto technológie všade, kde ju potrebujete.
Vďaka,
— Pam