Napočil je čas za zavezujočo uporabo žetonov

21. avgusta, 2018

Pozdravljeni vsi skupaj,

zadnjih nekaj mesecev je bilo ZELO zanimivih v svetu standardov identitete in varnosti. S pomočjo številnih strokovnjakov v panogi smo izredno napredovali pri dokončnem oblikovanju novih in izboljšanih standardov, s katerimi bo mogoče izboljšati tako varnost kot tudi uporabniško izkušnjo celotne generacije naprav in storitev v oblaku.

Ena od najpomembnejših izboljšav je družina specifikacij zavezujoče uporabe žetonov, ki bo vsak čas dobila končno ratifikacijo organizacije Internet Engineering Task Force (IETF). (Če želite izvedeti več o zavezujoči uporabi žetonov, si oglejte čudovito predstavitev avtorja Brian Campbell.)

Pri Microsoftu menimo, da je mogoče z zavezujočo uporabo žetonov znatno izboljšati tako podjetja kot tudi uporabnike, saj je s tem preverjanje identitete in pristnosti široko in preprosto dostopno razvijalcem po vsem svetu.

Ker menimo, da ima lahko to zelo pozitiven vpliv, še naprej naprej poglobljeno sodelujemo s skupnostjo pri ustvarjanju in uvajanju družine specifikacij za zavezujočo uporabo žetonov.

Ker so te specifikacije zelo blizu ratifikacije, imam dva poziva k ukrepanju:

Začnite eksperimentirati z zavezujočo uporabo žetonov in načrtovati svoje uvedbe.
Obrnite se na svoje dobavitelje brskalnika in programske opreme ter jih prosite, da čimprej pošljejo uvedbe za zavezujočo uporabo žetonov, če tega še niso naredili.

Z veseljem sporočam, da je Microsoft le eden od številnih glasnikov v panogi, ki meni, da je zavezujoča uporaba žetonov pomembna rešitev, za katero je napočil čas.

Za več informacij o tem, zakaj je zavezujoča uporaba žetonov pomembna, predajam besedo Pameli Dingle, eni od vodilnih glasov v panogi, ki je zdaj Microsoftov vodja standardov identitete v skupini za Azure AD.

Lep pozdrav,

Alex Simons (Twitter: @Alex_A_Simons)

Vodja oddelka za upravljanje programa

Microsoftov oddelek za upravljanje identitet

—————————————————————————————————————————–

Hvala Alex in lepo pozdravljeni,

tudi jaz sem enako navdušena! Veliko let truda je bilo vloženih v specifikacije, ki bodo v kratkem postale novi standardi RFC. Napočil je čas, da arhitekti odkrijejo specifične prednosti za identiteto in varnost, ki jih nudi zavezujoča uporaba žetonov.

Kaj je tako sijajnega pri zavezujoči uporabi žetonov? Z zavezujočo uporabo žetonov so piškotki, piškotki osveževanja in dostopa OAuth ter žetoni OpenID Connect ID neuporabni zunaj konteksta TLS, znotraj katerega so bili izdani. Ti žetoni so »nosilni« žetoni, kar pomeni, da lahko vsak, ki ima žeton, tega zamenja za sredstva. Z zavezujočo uporabo žetonov pa se ta vzorec izboljša, saj je mehanizem za potrjevanje, uporabljen za preizkus šifriranega materiala, pridobljen ob izdaji žetona, primerjan s šifriranim materialom, zbranim ob trenutku uporabe žetona. Preizkus bo opravil le ustrezen odjemalec, ki uporablja ustrezen kanal TLS . Postopek, ki od entitete, ki podaja žeton, zahteva, da se dokaže, se imenuje »dokaz o lastništvu«.

Kot kaže je mogoče piškotke in žetone na zlonameren način uporabljati zunaj prvotnega konteksta TLS. Lahko gre za piškotke ugrabljene seje ali žetone nezavarovanega dostopa ali pa za zapletene napade MiTM. Zato je v osnutku najboljše prakse IETF OAuth 2 Security Best Current Practice priporočena zavezujoča uporaba žetonov in zakaj smo nedavno prejeli dvakrat več nagrad za svoj program uporabe identitete. Ker zahtevamo dokaz o lastništvu, postane priložnostna ali vnaprej premišljena uporaba piškotkov ali žetonov na zlonameren način precej bolj zahtevna in draga.

Podobno kot pri katerem koli mehanizmu za dokazilo o lastništvu, lahko z zavezujočo uporabo žetonov ustvarimo poglobljeno zaščito. Lahko se zelo trudimo in pazimo, da ne izgubimo žetona, za vsak primer pa lahko to tudi preverimo. Za razliko od drugih mehanizmov za dokazilo o lastništvu, kot so potrdila odjemalcev, je zavezujoča uporaba žetonov samostojna in pregledna storitev za uporabnika, najbolj zahteven del pa prevzame infrastruktura. Upamo, da bo to sčasoma pomenilo, da bo lahko kdor koli deloval na visoki ravni zagotavljanja identitete, vendar pričakujemo, da se bo na začetku pojavilo močno povpraševanje s strani vladnih in finančnih ustanov, saj za njih veljajo takojšnje pravne zahteve za izvajanje dokazila o lastništvu. Na primer to vrsto tehnologije potrebuje vsakdo, ki zahteva kategorizacijo NIST 800-63C AAL3.

Zavezujoča uporaba žetonov je dolga pot. Po njej hodimo tri leta. Čeprav je ratifikacija specifikacij izreden mejnik, moramo kot ekosistem še veliko narediti. Specifikacija bo uspešna le, če bo delovala pri različnih dobaviteljih in na različnih platformah. Veselimo se že prihajajočih mesecev, ko bomo z javnostjo delili prednosti varnosti in najboljše prakse, ki smo jih zaznali med uporabo te funkcije. Upamo, da se nam boste pridružili in nam pomagali razširiti tehnologijo povsod, kjer bo potreba po njej.

Na svidenje,

— Pam

Sorodne objave

24. maja, 2022

Graditev aplikacij za sodelovanje z aplikacijo Microsoft Teams
14. julija, 2021

Predstavljamo novo obdobje hibridnega osebnega računalništva: Računalnik v oblaku Windows 365
14. julija, 2021

Od aplikacij za sodelovanje v aplikaciji Microsoft Teams do sistema Windows 365 – predstavitev novosti v okolju Microsoft 365 na dogodku Inspire
25. maja, 2021

Ustvarjanje aplikacij za sodelovanje naslednje generacije za hibridno delo

Sorodne objave

Graditev aplikacij za sodelovanje z aplikacijo Microsoft Teams

Predstavljamo novo obdobje hibridnega osebnega računalništva: Računalnik v oblaku Windows 365

Od aplikacij za sodelovanje v aplikaciji Microsoft Teams do sistema Windows 365 – predstavitev novosti v okolju Microsoft 365 na dogodku Inspire

Ustvarjanje aplikacij za sodelovanje naslednje generacije za hibridno delo