Nadszedł czas na technologię powiązania tokenu
Witajcie,
Ostatnie kilka miesięcy to gorący okres w dziedzinie standardów tożsamości i zabezpieczeń. Dzięki wysiłkom wielu ekspertów z branży udało się osiągnąć niewiarygodny postęp w pracach nad ukończeniem wielu różnych nowych i ulepszonych standardów, które podniosą poziom zabezpieczeń i usprawnią środowiska użytkownika usług i urządzeń opartych na chmurze.
Jednym z najważniejszych z tych ulepszeń jest rodzina specyfikacji dotyczących powiązania tokenu, która wkrótce ma zostać ostatecznie zatwierdzona przez organizację Internet Engineering Task Force (IETF). (Aby dowiedzieć się więcej na temat powiązania tokenu, obejrzyj tę ciekawą prezentację autorstwa Briana Campbella).
W firmie Microsoft uważamy, że technologia powiązania tokenu może znacznie zwiększyć bezpieczeństwo zarówno w scenariuszach z udziałem przedsiębiorstw, jak i klientów indywidualnych, szeroko udostępniając proste metody silnego uwierzytelniania i weryfikowania tożsamości deweloperom na całym świecie.
Ze względu na duży potencjał tej technologii mocno angażowaliśmy się i nadal zamierzamy się angażować we współpracę ze społecznością nad tworzeniem i wdrażaniem rodziny specyfikacji powiązania tokenu.
Teraz, gdy wkrótce specyfikacje te zostaną zatwierdzone, chciałbym wezwać do działania:
- Zacznij eksperymentować z technologią powiązania tokenu i planować swoje wdrożenia.
- Skontaktuj się z dostawcami używanej przeglądarki i oprogramowania i poproś o szybkie dostarczenie implementacji powiązania tokenu, jeśli jeszcze nie zostały dostarczone.
Cieszę się, że oprócz firmy Microsoft wielu innych graczy z branży traktuje technologię powiązania tokenu jako niezwykle ważne rozwiązanie, którego czas właśnie nadszedł.
Aby przekazać więcej informacji, dlaczego technologia powiązania tokenu jest tak istotna, przekazuję głos Pameli Dingle – wiodącej i powszechnie znanej ekspertce branżowej – która pełni obecnie funkcję kierownika ds. standardów tożsamości w zespole usługi Azure AD firmy Microsoft.
Pozdrawiam,
Alex Simons (Twitter: @Alex_A_Simons)
Dyrektor działu zarządzania programami
Microsoft Identity Division
—————————————————————————————————————————–
Dziękuję Alex i witam wszystkich,
Podzielam entuzjazm Alexa! Lata wysiłków doprowadziły do opracowania specyfikacji, które wkrótce uzyskają status standardów RFC. Nadszedł czas dla architektów oprogramowania, aby zapoznać się z konkretnymi zaletami technologii powiązania tokenu w zakresie tożsamości i zabezpieczeń.
Jakie korzyści są zapewniane przez tę technologię? Dzięki niej pliki cookie, tokeny dostępu OAuth i tokeny odświeżania, a także tokeny identyfikacji Open ID Connect stają się bezużyteczne poza specyficznym dla klienta kontekstem protokołu TLS, w którym zostały wystawione. Dotychczas takie tokeny działały w modelu „na okaziciela”, co oznacza, że każda osoba posiadająca token mogła go wymienić na zasoby. Technologia powiązania tokenu ulepsza jednak ten model, tworząc warstwę w mechanizmie potwierdzania w celu przetestowania materiału kryptograficznego zebranego w chwili wystawienia tokenu pod kątem zgodności z materiałem kryptograficznym zebranym w momencie użycia tokenu. Tylko odpowiedni klient używający odpowiedniego kanału TLS zda ten test. Ten proces wymuszania przedstawienia tokenu przez podmiot w celu potwierdzenia swojej autentyczności jest nazywany „weryfikacją posiadania”.
Okazuje się, że pliki cookie i tokeny mogą być używane poza oryginalnym kontekstem protokołu TLS na wszystkie złośliwe sposoby. Można użyć plików cookie z przechwyconej sesji lub tokenów dostępu, które wyciekły, bądź przeprowadzić wyrafinowany atak typu MiTM. Dlatego w dokumencie roboczym IETF OAuth 2 Security Best Current Practice zalecane jest stosowanie technologii powiązania tokenu i dlatego też ostatnio podwoiliśmy pulę w naszym programie nagród za wykrywanie luk dotyczących tożsamości. Wymagając weryfikacji posiadania, sprawiamy, że próby złośliwego korzystania z plików cookie lub tokenów w sposób niezgodny z ich przeznaczeniem stają się trudne i kosztowne dla hakerów.
Jak w przypadku każdego mechanizmu weryfikacji posiadania technologia powiązania tokenu zapewnia nam możliwość opracowania zaawansowanej ochrony. Możemy się ostro napracować, aby nigdy nie dopuścić do utraty tokenu. Możemy jednak też weryfikować token w celu zapewnienia bezpieczeństwa. W przeciwieństwie do innych mechanizmów weryfikacji posiadania, takich jak certyfikaty klientów, technologia powiązania tokenu nie musi być instalowana przez użytkownika i jest dla niego niewidoczna. W przeważającej mierze jest obsługiwana przez infrastrukturę. Mamy nadzieję, że dzięki niej wszyscy będą mogli korzystać z silnych metod uwierzytelniania tożsamości. Oczekujemy jednak, że na początku największe zapotrzebowanie na tę technologię będzie płynąć od instytucji rządowych i finansowych, ponieważ istnieją już przepisy wymagające przeprowadzania weryfikacji posiadania. Przykładowo każdy podmiot, dla którego jest wymagana kategoryzacja AAL3 NIST 800-63C, musi korzystać z tego typu technologii.
Przed technologią powiązania tokenu jeszcze długa droga. Jesteśmy w nią zaangażowani od 3 lat. Zatwierdzenie specyfikacji to ekscytujący moment. W ramach ekosystemu musimy jeszcze wiele rzeczy opracować, a ta specyfikacja wymaga współpracy między dostawcami i platformami, aby odniosła sukces. W najbliższych miesiącach z radością zaczniemy udostępniać bardziej szczegółowe informacje o korzyściach w zakresie zabezpieczeń i najlepszych rozwiązaniach, które udało nam się wypracować. Mamy nadzieję, że dołączysz do naszych działań na rzecz promowania tej technologi i okaże się ona dla Ciebie przydatna.
Pozdrowienia,
— Pam
