Saatnya menerapkan pengikatan token (token binding)

Oleh

21 Agustus 2018

Apa Kabar Semua,

Beberapa bulan terakhir, kita telah membahas hal yang SANGAT menarik, yaitu standar identitas dan keamanan. Berkat usaha para ahli di seluruh industri, kami berhasil membuat perkembangan besar dalam menetapkan serangkaian standar baru dan yang disempurnakan, yang akan meningkatkan pengalaman dan keamanan pengguna di era perangkat dan layanan cloud ini.

Salah satu penyempurnaan yang paling penting adalah spesifikasi rangkaian Pengikatan Token (Token Binding) yang saat ini sedang dalam proses pengesahan di Internet Engineering Task Force (IETF). (Jika ingin mempelajari selengkapnya tentang pengikatan token, tonton presentasi hebat dari Brian Campbell ini.)

Di Microsoft, kami percaya bahwa Pengikatan Token dapat meningkatkan keamanan skenario perusahaan maupun konsumen secara signifikan dengan menjadikan jaminan identitas dan autentikasi tingkat tinggi mudah diakses secara luas oleh pengembang di seluruh dunia.

Dengan mempertimbangkan berbagai dampak positifnya, kami telah dan akan terus berkomitmen sepenuhnya untuk bekerja sama dengan komunitas guna membuat dan menerapkan spesifikasi rangkaian pengikatan token.

Sekarang, setelah spesifikasi ini mendekati pengesahan, saya ingin membahas dua tindakan yang perlu dilakukan:

Mulailah bereksperimen dengan pengikatan token dan merencanakan penyebaran Anda.
Hubungi vendor browser dan perangkat lunak Anda, minta mereka untuk segera mengirimkan penerapan pengikatan token jika belum melakukannya.

Saya juga ingin melaporkan bahwa Microsoft merupakan salah satu dari banyak wakil industri yang menyatakan bahwa pengikatan token adalah solusi penting yang harus mulai diterapkan.

Untuk informasi selengkapnya tentang pentingnya pengikatan token, saya serahkan pada Pamela Dingle, wakil industri terkemuka yang telah Anda kenal, yang saat ini menjabat sebagai Direktur Standar Industri Microsoft di tim Azure AD.

Salam Hangat,

Alex Simons (Twitter: @Alex_A_Simons)

Direktur Manajemen Program

Divisi Identitas Microsoft

—————————————————————————————————————————–

Terima kasih Alex. Hai semuanya,

Saya sependapat dengan Alex! Waktu dan usaha selama bertahun-tahun telah kami lakukan untuk spesifikasi yang akan diperkenalkan sebagai standar RFC baru sebentar lagi. Waktu yang tepat bagi para arsitek untuk mempelajari keuntungan identitas dan keamanan khusus yang diberikan oleh Pengikatan Token.

Mungkin Anda penasaran, apa hebatnya pengikatan token? Pengikatan token menjadikan cookie, token akses OAuth, dan token refresh, serta Token OpenID Connect ID tidak dapat digunakan di luar konteks TLS khusus klien tempatnya diterbitkan. Biasanya, token tersebut merupakan token “pembawa”, yang berarti siapa pun yang memiliki token tersebut dapat menukarnya dengan sumber daya. Pengikatan token menyempurnakan pola ini, dengan menambahkan lapisan mekanisme konfirmasi untuk menguji materi kriptografi yang dikumpulkan pada penerbitan token terhadap materi kriptografi yang dikumpulkan ketika token digunakan. Hanya klien pengguna saluran TLS yang tepat yang akan lolos pengujian tersebut. Proses yang memaksa entitas penyaji token untuk melakukan pembuktian ini disebut “bukti kepemilikan”.

Cookie dan token ternyata dapat digunakan di luar konteks TLS asli dalam berbagai cara berbahaya. Mungkin melalui cookie sesi yang dibajak, atau token akses yang dibocorkan, atau MiTM yang canggih. Inilah sebabnya draf OAuth 2 Security Best Current Practice IETF menyarankan pengikatan token, juga alasan kami menambah hadiah dalam program hadiah identitas kami baru-baru ini hingga dua kali lipat. Dengan mewajibkan bukti kepemilikan, kami mengubah penggunaan cookie atau token yang bersifat menyalahgunakan atau sudah direncanakan dengan cara yang tidak sesuai menjadi hal yang menyulitkan dan mahal bagi para pelaku kejahatan.

Seperti mekanisme bukti kepemilikan lainnya, pengikatan token memberikan kemampuan untuk membangun pertahanan secara mendalam. Kita dapat selalu berusaha agar token tidak hilang, tetapi kita juga dapat memastikan untuk menjadi lebih aman. Tidak seperti mekanisme bukti kepemilikan lainnya, misalnya sertifikat klien, pengikatan token dapat berfungsi sendiri dan bersifat transparan bagi penggunanya; dan hampir semua tugas beratnya akan dilakukan oleh infrastruktur. Semoga nantinya semua orang dapat memilih untuk menerapkan jaminan identitas tingkat tinggi, tetapi sepertinya permintaan dari organisasi pemerintah dan keuangan akan menjadi yang paling banyak di awal karena ada persyaratan peraturan mendesak yang harus mereka penuhi terkait bukti kepemilikan. Contohnya, setiap orang yang membutuhkan kategorisasi NIST 800-63C AAL3 memerlukan teknologi ini.

Pengikatan token memerlukan proses yang panjang. Kami sudah melakukannya selama tiga tahun, dan meskipun proses pengesahan spesifikasinya merupakan sebuah pencapaian besar, masih ada banyak hal yang harus kami tingkatkan sebagai sebuah ekosistem. Agar berhasil, spesifikasi ini juga harus berfungsi di seluruh vendor dan platform. Hingga beberapa bulan ke depan, kami benar-benar tidak sabar untuk mulai berbagi manfaat dan praktik terbaik keamanan mendalam yang dihasilkan dari upaya kami menerapkan fungsi ini, dan kami harap Anda dapat bergabung untuk mendukung teknologi ini di mana pun Anda membutuhkannya.

Sampai jumpa,

— Pam

Postingan terkait

24 Mei 2022

Membangun aplikasi kolaboratif dengan Microsoft Teams
14 Juli 2021

Memperkenalkan era baru komputasi pribadi hibrid: Windows 365 PC Cloud
14 Juli 2021

Mulai dari aplikasi kolaboratif di Microsoft Teams hingga Windows 365, berikut adalah yang baru di Microsoft 365 di Inspire
25 Mei 2021

Bangun generasi aplikasi kolaboratif berikutnya untuk bekerja hibrid

Postingan terkait

Membangun aplikasi kolaboratif dengan Microsoft Teams

Memperkenalkan era baru komputasi pribadi hibrid: Windows 365 PC Cloud

Mulai dari aplikasi kolaboratif di Microsoft Teams hingga Windows 365, berikut adalah yang baru di Microsoft 365 di Inspire

Bangun generasi aplikasi kolaboratif berikutnya untuk bekerja hibrid