Tijd voor tokenbinding
Beste mensen,
De afgelopen paar maanden zijn een spannende tijd geweest in de wereld van identiteits- en beveiligingsnormen. Dankzij de inspanningen van een brede groep experts in de branche hebben we ongelooflijke vooruitgang geboekt bij het voltooien van een brede reeks nieuwe en verbeterde standaarden die zowel de beveiliging als gebruikerservaring van een generatie cloudservices en -apparaten zullen verbeteren.
Een van de belangrijkste verbeteringen is de tokenbinding-specificatiefamilie, die nu goed op weg is om te worden geratificeerd door de Internet Engineering Task Force (IETF) . (Bekijk deze fantastische presentatie door Brian Campbell als je meer wilt weten over tokenbinding.)
Bij Microsoft zijn we van mening dat tokenbinding de veiligheid van zowel bedrijfs- als consumentenscenario’s aanzienlijk kan verbeteren door een hoge identiteits- en authenticatiezekerheid breed en eenvoudig toegankelijk te maken voor ontwikkelaars overal ter wereld.
Gezien hoe positief we denken dat dit effect kan zijn, blijven we ons sterk inzetten voor samenwerking met de community bij het maken en gebruiken van de tokenbinding-specificatiefamilie.
Nu de specificaties op het punt staan te worden geratificeerd, wil ik graag twee oproepen tot actie doen:
- Begin te experimenteren met tokenbinding en het plannen van je implementaties.
- Neem contact op met je browser en softwareleveranciers en vraag ze om binnenkort tokenbindingsimplementaties te leveren, als ze dat nog niet doen.
En ik ben blij dat ik kan melden dat Microsoft maar een van de vele stemmen in de bedrijfstak is die zeggen dat tokenbinding een belangrijke oplossing is waarvan de tijd is aangebroken.
Voor meer informatie over waarom tokenbinding belangrijk is, geef ik het woord aan Pamela Dingle – een toonaangevende stem in de branche, die veel van jullie al kennen – die nu Microsoft’s directeur van identiteitsstandaarden is in het Azure AD-team.
Met vriendelijke groet,
Alex Simons (Twitter: @Alex_A_Simons)
Directeur Programmabeheer
Microsoft Identity Division
—————————————————————————————————————————–
Bedankt Alex, en hallo allemaal!
Ik ben al even enthousiast als Alex. Er zijn jaren tijd en moeite besteed aan de specificaties die jullie zeer binnenkort zullen zien als nieuwe RFC-normen. Het is tijd dat architecten zich gaan verdiepen in de specifieke identiteits- en beveiligingsvoordelen die tokenbinding biedt.
Wat maakt tokenbinding zo goed, vragen jullie je misschien af? Tokenbinding maakt cookies, OAuth-toegangstokens en -verversingstokens, en OpenID Connect ID-tokens onbruikbaar buiten de clientspecifieke TLS-context waarin ze zijn uitgegeven. Normaal zijn dergelijke tokens ‘aan toonder’, wat betekent dat iedereen die het token bezit, het token kan inwisselen voor resources, maar tokenbinding verbetert dit patroon door een laag toe te voegen met een bevestigingsmechanisme waarbij cryptografisch materiaal dat bij de uitgifte van het token is verzameld, wordt getest tegen cryptografisch materiaal dat wordt verzameld op het moment van gebruik. Alleen de juiste client die het juiste TLS-kanaal gebruikt, komt door de test. Dit proces waarbij de entiteit die het token presenteert, wordt gedwongen om zichzelf te bewijzen, wordt ‘bewijs van bezit’ genoemd.
Het blijkt dat cookies en tokens buiten de oorspronkelijke TLS-context op allerlei soorten kwaadwillige manieren kunnen worden gebruikt. Het kan gaan om gekaapte sessiecookies of gelekte toegangstokens, of geavanceerde MiTM. Dit is de reden waarom de conceptaanbeveling voor OAuth 2-beveiliging aanraadt tokenbinding te gebruiken, en waarom we onlangs de beloning van ons identiteitsbonusprogramma hebben verdubbeld. Door een bewijs van bezit te eisen, veranderen we het opportunistisch of met voorbedachten rade gebruiken van cookies of tokens op manieren waarvoor ze niet bedoeld zijn, in een moeilijke en dure aangelegenheid voor een aanvaller.
Zoals elk mechanisme voor bewijs van bezit, geeft tokenbinding ons de mogelijkheid om diepe verdedigingslinies te bouwen. We kunnen er hard aan werken om nooit een token te verliezen, maar we kunnen ze voor de veiligheid ook verifiëren. Anders dan bij andere mechanismen voor bewijs van bezit, zoals clientcertificaten, is tokenbinding opzichzelfstaand en transparant voor de gebruiker, waarbij het grootste deel van het zware werk door de infrastructuur wordt gedaan. We hopen dat dit uiteindelijk betekent dat iedereen ervoor kan kiezen op een hoog niveau van identiteitsbewaking te opereren, maar we verwachten in het begin vooral een sterke vraag van de overheid en verticale financiële organisaties, omdat deze moeten voldoen aan directe wettelijke vereisten voor bewijs van bezit. Om een voorbeeld te noemen: iedereen die NIST 800-63C AAL3-categorisatie vereist, heeft deze technologie nodig.
Tokenbinding betekent een lange weg. We zijn nu drie jaar bezig, en hoewel de ratificatie van de specificaties een spannende mijlpaal is, hebben we als ecosysteem nog steeds veel te bouwen, en deze specificatie moet geschikt zijn voor alle leveranciers en platforms om succes te hebben. We kijken er naar uit om binnen de komende maanden de beveiligingsvoordelen en best practices te delen die zijn voortgekomen uit onze omarming van deze functionaliteit, en we hopen dat jullie met ons mee zullen strijden voor deze technologie, waar je deze ook nodig hebt.
Hartelijke groet,
— Pam
