Привязка токенов: время пришло
Здравствуйте!
За последние несколько месяцев произошли ОЧЕНЬ важные изменения в мире стандартов идентификации и безопасности. Благодаря усилиям широкого круга экспертов отрасли мы существенно приблизились к завершению работы над целым комплексом новых и усовершенствованных стандартов, которые позволят улучшить параметры безопасности и пользовательские интерфейсы всего поколения облачных служб и устройств.
Одним из наиболее заметных явлений в этом ряду стало семейство спецификаций привязки токенов (Token Binding), которые вышли на стадию заключительной ратификации в группе Internet Engineering Task Force (IETF). Если вы хотите подробнее узнать о привязке токенов, посмотрите эту великолепную презентацию Брайана Кемпбелла (Brian Campbell).
Специалисты Майкрософт считают, что протокол привязки токенов может значительно повысить безопасность как в корпоративных, так и в потребительских сценариях, когда идентификация и аутентификация с высоким уровнем гарантий безопасности станут широко доступны разработчикам во всем мире.
Мы убеждены в позитивной роли этой технологии, поэтому продолжаем тесно сотрудничать с сообществом для создания и внедрения семейства спецификаций привязки токенов.
Теперь, когда они близки к ратификации, я бы хотел выдвинуть два призыва к действию:
- Начинайте экспериментировать с привязкой токенов и планируйте у себя развертывание этой технологии.
- Если ваши поставщики браузеров и программного обеспечения еще не внедрили привязку токенов в свои решения, дайте им знать, что вы ждете от них этого.
Я рад сообщить, что Майкрософт — один из тех многих участников отрасли, которые считают, что время такого важного решения, как привязка токенов, уже пришло.
Чтобы вы могли по-настоящему оценить значение привязки токенов, я передаю слово Памеле Дингл (Pamela Dingle), ведущему отраслевому эксперту, которую многие из вас уже знают. Теперь она занимает пост Директора по стандартам идентификации Майкрософт в группе Azure AD.
С наилучшими пожеланиями,
Алекс Саймонс (Alex Simons), Twitter: @Alex_A_Simons
Директор по управлению программами
Подразделение идентификации Майкрософт
—————————————————————————————————————————–
Спасибо, Алекс, и приветствую всех!
Я разделяю энтузиазм Алекса! Многие годы и усилия были вложены в разработку этих спецификаций, которые уже совсем скоро превратятся в полноценные стандарты RFC. Теперь пришло время архитекторам оценить конкретные преимущества технологии привязки токенов для идентификации и безопасности.
Давайте разберемся, что же в ней такого особенного. Благодаря привязке токенов файлы cookie, токены доступа OAuth и токены обновления, а также токены OpenID Connect ID становятся непригодны для использования вне того клиентского контекста TLS, в котором они были созданы. Обычно такие токены являются токенами «на предъявителя», то есть любой, кто обладает таким токеном, может обменять его на ресурсы. Технология привязки токена усовершенствует эту модель: используемый в ней механизм подтверждения сопоставляет между собой криптографический материал, собранный в момент выдачи токена, и криптографический материал, собранный в момент его использования. Эту проверку проходит только тот клиент, который использует правильный канал TLS. Такая процедура принудительного подтверждения идентификации субъекта, предъявляющего токен, называется «доказательством владения».
Оказывается, что файлы cookie и токены могут использоваться вне исходного контекста TLS в самых разных видах мошенничества. Это может быть и перехват файлов cookie сеанса, и утечка маркеров доступа, и изощренные атаки посредника. Вот почему в проекте спецификаций IETF OAuth 2 Security Best Current Practice рекомендуется использовать привязку токенов, и вот почему мы только недавно удвоили вознаграждение в нашей программе поощрения. Благодаря необходимости «доказывать владение» случайное или преднамеренное использование файлов cookie или токенов в неправомерных целях превращается в сложное и дорогостоящее мероприятие.
Как и любой механизм доказательства владения, привязка токенов позволяет нам организовать глубокую защиту. Мы можем усердно работать над тем, чтобы никогда не терять токен, но мы также можем его проверить, чтобы быть в безопасности. В отличие от других механизмов подтверждения владения, таких как клиентские сертификаты, привязка токенов автономна и прозрачна для пользователя, а большая часть тяжелой работы перекладывается на инфраструктуру. Мы надеемся, что в конечном итоге идентификация с таким высоким уровнем гарантий безопасности станет доступна каждому пользователю, но на начальном этапе мы ожидаем активный интерес со стороны государственных и финансовых структур, поскольку доказательство владения включено в уже действующие нормативные требования. Лишь один пример: технология такого рода нужна всем, кому требуется категоризация AAL3 согласно NIST 800-63C.
Это лишь начало долгого пути. Мы занимаемся этой технологией уже три года. Несмотря на то что ратификация станет очень важным этапом, нам предстоит сделать еще многое с точки зрения развития экосистемы, поскольку успех этой спецификации зависит от ее доступности у разных поставщиков и на разных платформах. В ближайшие месяцы мы с удовольствием начнем подробно рассказывать вам о преимуществах и передовых методиках обеспечения безопасности, которые стали доступны в результате реализации привязки токенов. Надеемся, что вы присоединитесь к нам в продвижении этой технологии всюду, где она может пригодиться.
Всего доброго,
Памела
