حان وقت ربط الرمز المميز

مرحباً،

لقد قضينا أوقاتاً ممتعة جداً في الأشهر الأخيرة المنصرمة في عالم معايير الأمان والهوية. ونتيجة لجهود مجموعة واسعة من الخبراء داخل المجال، لقد حققنا تقدماً مذهلاً في إتمام مجموعة واسعة من المعايير الحديثة والمُحسنة التي ستعمل على تحسين كل من تجربتي الأمان والمستخدم لجيل من خدمات السحابة والأجهزة.

أحد أهم هذه التحسينات هي مجموعة المواصفات المميزة لربط الرمز المميز، وهي الآن في طريقها صوب التصديق النهائي في منظمة Internet Engineering Task Force (IETF). (إذا كنت ترغب في التعرّف على المزيد حول ربط الرمز المميز، فشاهد هذا العرض التقديمي الرائع المقدم من براين كامبيل.)

في Microsoft، نحن نعتقد أن ربط الرمز المميز يمكن أن يؤثر بشدة على أمان كل من سيناريوهات المؤسسة والمستهلك عن طريق تأكيد المصادقة والهوية بمستوى مرتفع وبصورة واسعة وإمكانية الوصول ببساطة إلى المطورين حول العالم.

نظراً لمدى إيجابية هذا التأثير، فقد كنا وما زلنا مستمرين في الالتزام بصورة عميقة بالتعاون مع المجتمع لابتكار مجموعة مواصفات ربط الرمز المميز واعتمادها.

والآن، حيث تقترب هذه المواصفات من التصديق النهائي، أرغب في إصدار اثنين من إجراءات التنفيذ:

1. بدء تجربة ربط الرمز المميز وتخطيط عمليات النشر.
2. التواصل مع مستعرض الويب وموردي البرامج والطلب منهم شحن تطبيقات ربط الرمز المميز قريباً إذا لم تكن موجودة بالفعل.

وأنا سعيد بإبلاغكم أن شركة Microsoft واحدة ضمن الكثير من الشركات في المجال التي تبنت أهمية حل ربط الرمز المميز وأنه قد حان وقت استخدامه.

للتعرّف على المزيد حول سبب أهمية ربط الرمز المميز، سأحيل الأمر إلى باميلا دينجل – أحد الأصوات الرائدة في المجال والتي يعرفها الكثير منكم بالفعل- وتشغل الآن منصب مدير معايير الهوية لدى Microsoft ضمن فريق Azure AD.

مع أطيب التحيات،

أليكس سيمونز (Twitter: @Alex_A_Simons)

مدير إدارة البرامج

قسم الهوية في Microsoft

—————————————————————————————————————————–

شكراً لك يا أليكس ومرحباً بالجميع،

أنا أشارك أليكس في حماسه! لقد تم بذل سنوات من الجهد والوقت في المواصفات التي ستشهدوها كمعايير جديدة لطلب التعليقات (RFC) في وقتٍ قصير جداً. الوقت مناسب للمهندسين لاكتشاف ميزات الأمان والهوية المحددة التي يمثلها ربط الرمز المميز.

قد تتساءل، ما الرائع في ربط الرمز المميز؟ إن ربط الرمز المميز يجعل ملفات تعريف الارتباط وOAuth يصلان إلى الرموز المميزة وتحديث الرموز المميزة بالإضافة إلى جعل رموز معرّف OpenID Connect المميزة غير صالحة للاستخدام خارج سياق بروتوكول أمان طبقة النقل (TLS) الذي يحدده العميل والذي تم إصدارها فيه. وبصورة طبيعية، مثل هذه الرموز المميزة تعتبر رموز مميزة “للمالك” مما يعني أن من يمتلك الرمز المميز يمكنه تبادل الرمز المميز مقابل الموارد ولكن يعمل ربط الرمز المميز على تحسين هذا النمط عن طريق وضع طبقات في آلية التأكيد لاختبار مواد التشفير التي تم جمعها وقت إصدار الرمز المميز مقابل مواد التشفير التي تم جمعها وقت استخدام الرمز المميز. لن يتجاوز الاختبار إلا العميل الصحيح الذي يستخدم قناة TLS الصحيحة. وتُعرف عملية إجبار الكيان على تقديم الرمز المميز لإثبات نفسه باسم “إثبات الملكية”.

اتضح أنه يمكن استخدام ملفات تعريف الارتباط والرموز المميزة خارج سياق بروتوكول أمان طبقة النقل TLS الأصلي بجميع أشكال الطرق الضارة. حيث يمكن أن تكون ملفات تعريف الارتباط جلسة تسلل أو رموز مميزة للوصول بتسريب أو MiTM معقّد. ولهذا السبب توصي مسودة أفضل ممارسة حالية لأمان IETF OAuth 2 بربط الرمز المميز ولهذا السبب ضاعفنا مؤخراً المكافآت في برنامج جائزة الهوية. من خلال المطالبة بإثبات الملكية، فإننا نحول الاستخدام الانتهازي أو المتأمل مسبقاً لملفات تعريف الارتباط أو الرموز المميزة بطرق غير هادفة إلى شيء صعب ومكلف لمحاولة مهاجم.

كأي آلية لإثبات الملكية، يمنحنا ربط الرمز المميز القدرة على إنشاء دفاع عميق. يمكننا العمل بجِد لعدم فقدان رمز مميز إطلاقاً ولكننا أيضاً نتحقق من صحته لنكون آمنين. وعلى عكس آليات إثبات الملكية الأخرى مثل شهادات العميل، فإن ربط الرمز المميز مستقل وواضح للمستخدم مع إنجاز أغلب المهام الصعبة بواسطة البنية الأساسية. نحن نأمل أن يعني هذا أخيراً أنه يمكن للجميع اختيار التشغيل بمستوى عالٍ من ضمان الهوية ولكننا نتوقع أن نجد مطلباً قوياً من الحكومة والأعمدة المالية في البداية، حيث يكون لها متطلبات تنظيمية فورية لإثبات الملكية. كمثال، أي شخص يتطلب تصنيف NIST 800-63C AAL3 يحتاج إلى هذا النوع من التكنولوجيا.

يمثل ربط الرمز المميز طريقاً طويلاً. لقد عملنا لثلاث سنوات -وبالرغم من أن التصديق النهائي على المواصفات يعد إنجازاً هائلاً- كنظام بنائي لا يزال لدينا الكثير لإنشائه وتحتاج هذه المواصفات إلى العمل خلال الموردين والأنظمة الأساسية لتكون ناجحة. نحن متحمسون للغاية خلال الأشهر المقبلة للبدء في مشاركة مزايا الأمان وأفضل الممارسات التي نتجت عن احتضاننا لهذه الوظيفة بعمق، ونأمل أن تنضموا إلينا في الدعوة إلى هذه التكنولوجيا أينما احتجتم إليها.

تحياتي،

– بام