Vrijeme je za povezivanje tokena

Pored

21. kolovoza 2018.

Pozdrav svima,

posljednjih nekoliko mjeseci bio je VRLO uzbudljivo u svijetu identiteta i sigurnosnih standarda. Zahvaljujući trudu brojnih stručnjaka iz cijele branše, znatno smo napredovali u dovršetku cijelog niza novih i poboljšanih standarda koji će unaprijediti sigurnost i korisnička iskustva cijele generacije servisa i uređaja iz oblaka.

Jedno od najvažnijih takvih poboljšanja jest skupina specifikacija za povezivanje tokena koja je sada u procesu krajnje ratifikacije pri organizaciji Internet Engineering Task Force (IETF). (Ako želite saznati više o povezivanju tokena, pogledajte ovu sjajnu prezentaciju Briana Campbella.)

Microsoft smatra da povezivanje tokena može znatno unaprijediti sigurnost poslovnih i korisničkih scenarija tako što čini osiguranje identiteta i autentikacije široko dostupnim i lako pristupačnim programerima širom svijeta.

Imajući u vidu kako pozitivan može biti taj utjecaj, duboko smo posvećeni – i planiramo to nastaviti – radu sa zajednicom na stvaranju i prihvaćanju linije specifikacija za povezivanje tokena.

Sada kad su specifikacije pred ratifikacijom, pozvao bih na djelovanje u dva smjera:

Počnite eksperimentirati s povezivanjem tokena i planirati implementacije.
Obratite se svojim davateljima preglednika i softvera općenito i zatražite da čim prije implementiraju povezivanje tokena ako to već nisu napravili.

Sa zadovoljstvom primjećujem da je Microsoft samo jedan od brojnih glasova u branši koji smatra da je povezivanje tokena važno rješenje čije je vrijeme došlo.

Da biste saznali više o tome zašto je povezivanje tokena važno, predajem palicu Pameli Dingle – vodećoj stručnjakinji u branši koju mnogi od vas već znaju, a koja je sada na poziciji Director of Identity Standards u Microsoftu, u timu za Azure AD.

Srdačan pozdrav,

Alex Simons (Twitter: @Alex_A_Simons)

Director of Program Management

Microsoft Identity Division

—————————————————————————————————————————–

Hvala Alex i pozdrav svima.

Dijelim Alexovo oduševljenje. U specifikacije koje će se uskoro spominjati kao novi RFC standardi uložene su godine vremena i truda. Pravo je vrijeme da se arhitekti detaljno upoznaju sa specifičnim prednostima povezanim s identitetima i sigurnošću koje donosi povezivanje tokena.

Možda se pitate što je tako dobro u povezivanju tokena? Povezivanje tokena stvara kolačiće, OAuth tokene za pristup i tokene za osvježavanje te OpenID Connect ID tokene koji nisu upotrebljivi izvan TLS konteksta specifičnog za klijenta u kojem su izdani. Obično su takvi tokeni tzv. “bearer” tokeni (donositeljski tokeni), što znači da bilo tko u posjedu tog tokena može token zamijeniti za resurse, no povezivanje tokena donosi unaprjeđenje tog uzorka usložnjavajući mehanizam potvrde kako bi se testirao kriptografski materijal prikupljen u trenutku izdavanja tokena u usporedbi s kriptografskim materijalima prikupljenim u trenutku korištenja tokena. Samo će odgovarajući klijent koji koristi odgovarajući TLS kanal proći test. Taj postupak kojim se entitet koji donosi token prisiljava da se dokaže zove se „dokaz vlasništva“.

Čini se da se kolačići i tokeni mogu koristiti izvan izvornog TLS konteksta na razne zlonamjerne načine. Može se raditi o otetim sesijskim kolačićima ili tokenima za pristup koji su procurili ili pak profinjenom MiTM-u. Upravo se zato u IETF-ovom nacrtu najboljih aktualnih sigurnosnih praksi na platformi OAuth 2 preporučuje povezivanje tokena i zato smo nedavno udvostručili nagrade u našem Identity Bounty Programu. Tražeći dokaz vlasništva onemogućujemo oportunističko ili zlonamjerno korištenje kolačića ili tokena u svrhe kojima nisu namijenjeni i pretvaramo ih u nešto što će napadačima biti teško ili skupo pokušati.

Kao svaki drugi mehanizam dokazivanja vlasništva, povezivanje tokena omogućuje nam dubinsku zaštitu. Možemo se jako truditi da nikad ne izgubimo token, ali i provjeriti za svaki slučaj. Za razliku od drugih mehanizama dokazivanja vlasništva kao što su klijentski certifikati, povezivanje tokena je samo sebi dovoljno i transparentno korisnicima, pri čemu većinu zahtjevnog posla odrađuje infrastruktura. Nadamo se da će to na posljetku značiti da se svatko može odlučiti za rad uz visoku razinu potvrđivanja identiteta, no na početku očekujemo veliku potražnju od državnih i financijskih ustanova jer one imaju regulatornu obavezu provoditi dokazivanje vlasništva. Primjerice, svatko tko zahtjeva kategorizaciju NIST 800-63C AAL3 treba tu vrstu tehnologije.

Povezivanje tokena čeka dug put. Radimo na tome tri godine i premda je ratifikacija specifikacija pred nama, kao ekosustav moramo izgraditi još puno toga, a ova specifikacija mora funkcionirati za razne dobavljače i platforme da bi uspjela. Nestrpljivi smo u narednim mjesecima početi detaljno govoriti o sigurnosnim prednostima i najboljim primjerima iz prakse koje smo postigli prihvaćanjem te funkcionalnosti te se nadamo da ćete nam se pridružiti u zagovaranju ove tehnologije, ma gdje je koristili.

Pozdrav,

— Pam

Povezane objave

24. svibnja 2022.

Razvoj aplikacija za suradnju pomoću aplikacije Microsoft Teams
14. srpnja 2021.

Predstavljamo novu eru hibridnog osobnog računalstva: Windows 365 – PC u oblaku
14. srpnja 2021.

Evo što je novo u okruženju Microsoft 365 na konferenciji Inspire, od aplikacija za suradnju na servisu Microsoft Teams do sustava Windows 365
25. svibnja 2021.

Nova generacija aplikacija za suradnju za potrebe hibridnog rada

Povezane objave

Razvoj aplikacija za suradnju pomoću aplikacije Microsoft Teams

Predstavljamo novu eru hibridnog osobnog računalstva: Windows 365 – PC u oblaku

Evo što je novo u okruženju Microsoft 365 na konferenciji Inspire, od aplikacija za suradnju na servisu Microsoft Teams do sustava Windows 365

Nova generacija aplikacija za suradnju za potrebe hibridnog rada