On tunnusten sidonnan aika
Tervehdys!
Viime kuukaudet ovat olleet hyvin mielenkiintoisia käyttäjätieto- ja tietoturvastandardien maailmassa. Mittavan ja koko alan kattavan asiantuntijoukon työn ansiosta olemme edistyneet huimasti viimeistellessämme uusia ja paranneltuja standardeja, jotka parantavat pilvipalvelujen ja laitteiden turvallisuutta ja käyttäjäkokemusta.
Yksi tärkeimmistä parannuksista on Token Binding -määritykset, jotka ovat hyvää vauhtia matkalla kohti Internet Engineering Task Forcen (IETF) lopullista ratifiointia. (Jos haluat tietää lisää tunnusten sidonnasta, katso tämä Brian Campbellin valaiseva esitys.)
Microsoftilla uskomme, että tunnusten sidonta voi merkittävästi lisätä sekä yritysten että kuluttajien skenaarioiden turvallisuutta tekemällä käyttäjätietojen ja todentamisen varmistuksesta helppokäyttöistä kehittäjille ympäri maailman.
Uskomme, että vaikutus tulee olemaan myönteinen, ja siksi olemmekin edelleen erittäin sitoutuneita työskentelemään yhteisön kanssa, luomaan tunnusten sidonnan määritykset ja ottamaan ne käyttöön.
Nyt kun määritykset on melkein ratifioitu, haluaisin kannustaa tekemään kaksi asiaa:
- Alkakaa kokeilla tunnusten sidontaa ja suunnitella käyttöönottoa.
- Ottakaa yhteyttä selain- ja ohjelmistotoimittajiin ja pyytäkää heitä lähettämään pian käyttöön otettuja tunnusten sidontoja, elleivät he ole jo tehneet niin.
Minulla on myös ilo ilmoittaa, että Microsoft on vain yksi monista alan toimijoista, joiden mielestä tunnusten sitomisen aika on nyt.
Tunnusten sitomisen merkityksestä kertoo seuraavaksi Pamela Dingle, joka on monien tuntema alan toimija ja Microsoftin Azure AD -tiimin käyttäjätietojen standardeista vastaava johtaja.
Ystävällisin terveisin
Alex Simons (Twitter: @Alex_A_Simons)
Johtaja – ohjelman hallinta
Microsoftin käyttäjätietojen osasto
—————————————————————————————————————————–
Kiitos, Alex, ja hei kaikille!
Olen aivan yhtä innoissani kuin Alex! Määritykset ovat vaatineet vuosia aikaa ja työtä, ja aivan pian pääsemme juhlistamaan niiden asemaa uusina RFC-standardeina. On tullut aika päästää suunnittelijat hyötymään niistä käyttäjätieto- ja suojaushyödyistä, joita tunnusten sidonta tarjoaa.
Mikä sitten tekee tunnusten sidonnasta niin hienoa? Tunnusten sidonta tekee evästeistä, OAuth-tunnuksista ja tunnusten päivittämisestä sekä OpenID ConnectID -tunnuksista käyttökelvottomia niiden asiakaskohtaisten TLS-salauskontekstien ulkopuolella, joissa ne on myönnetty. Tavallisesti tällaiset tunnukset ovat haltijatunnuksia, mikä tarkoittaa, että tunnuksen haltija voi saada käyttöönsä resurssit tunnusta vastaan. Tunnusten sitominen parantaa tätä mallia tuomalla mukaan varmistusmekanismin, joka testaa tunnuksen myöntämisen yhteydessä kerättyä kryptografista materiaalia tunnuksen käytön aikaan kerättyyn kryptografiseen materiaaliin. Vain oikea asiakas, joka käyttää oikeaa TLS-kanavaa, läpäisee testin. Tätä prosessia, jossa tunnuksen käyttäjän on todistettava henkilöllisyyteensä kutsutaan omistustodistukseksi.
Evästeitä ja tunnuksia voidaan käyttää alkuperäisen TLS-kontekstin ulkopuolella erilaisiin hämäriin tarkoituksiin. Tällaisia voisivat olla esimerkiksi istuntotunnusten kaappaus, käyttöoikeustietueiden vuotaminen tai hienostunut mies välissä -hyökkäys. Tämän vuoksi IETF OAuth 2 Security Best Current Practice -luonnos suosittelee tunnusten sidontaa ja siksi kaksinkertaistimme hiljattain käyttäjätieto- palkkio-ohjelmamme palkkiot. Vaatimalla omistustodistuksen teemme evästeiden ja tunnusten opportunistisesta ja tahallisesta väärinkäytöstä vaikeaa ja hyökkääjälle kallista yrittää.
Kuten mikä tahansa omistustodistusmekanismi tunnusten sidonta mahdollistaa perusteellisten puolustusratkaisujen luomisen. Tunnusten menettämistä voi torjua kovalla työllä, mutta turvaa voi parantaa myös käyttämällä varmistuksia. Toisin kuin muut omistustodistusmekanismit, kuten asiakasvarmenteet, tunnusten sidonta on käyttäjälle läpinäkyvää, ja infrastruktuuri tekee suurimman työn. Toivomme tämän lopulta tarkoittavan, että kuka tahansa voi päättää käyttää käyttäjätietojen varmistusta, mutta aluksi odotamme hallinto- ja taloustoimialojen olevan kiinnostuneita, sillä niillä on säädösten edellyttämät vaatimukset omistustodistusten toimeenpanemisesta. Esimerkiksi kuka tahansa NIST 800-63 AAL3 -kategorisointia vaativa tarvitsee tällaista teknologiaa.
Tunnusten sidonta on pitkä prosessi. Teemme tätä neljättä vuotta, ja vaikka määrityksien ratifiointi on innostava merkkipaalu, meillä on vielä paljon tekemistä ekosysteeminen rakentamisessa. Menestyäkseen tämän spesifikaation pitää myös toimia eri palveluntarjoajilla ja eri käyttöympäristöissä. Olemme innoissamme, että pääsemme tulevina kuukausina jakamaan yksityiskohtaisia tietoja niistä tietoturvahyödyistä ja parhaista käytännöistä, joita tämän toiminnon käyttäminen on synnyttänyt, ja toivomme, että saamme teidät mukaan tämän teknologian puolestapuhujiksi, mihin tarkoitukseen sitä sitten tarvitsettekin.
Kiitos,
— Pam
