Gå till huvudinnehåll
Microsoft 365
Prenumerera

Hej!

De senaste månaderna har varit MYCKET spännande när det gäller identitet och säkerhetsstandarder. Tack vare ansträngningarna av en mängd experter i branschen har vi gjort otroliga framsteg i att slutföra en bred uppsättning nya och förbättrade standarder som förbättrar både säkerheten och användarupplevelsen för en generation med molntjänster och enheter.

En av de viktigaste av dessa förbättringar är specifikationerna för tokenbindningar som nu är på väg mot att slutligen ratificeras av Internet Engineering Task Force (IETF). (Om du vill lära dig mer om tokenbindning kan du titta på den här jättebra presentationen av Brian Campbell.)

Vi på Microsoft tror att tokenbindning kan förbättra säkerheten för både företag och konsumenter mycket genom att göra hög identitets- och autentiseringskontroll mer och enklare tillgänglig för utvecklare runt om i världen.

Med tanke på hur positiv vi tror att den här effekten kan bli har vi samarbetat och fortsätter att samarbeta med communityn för att skapa och införa specifikationerna för tokenbindningar.

Nu när specifikationerna är nära att ratificeras vill jag uppmana till att göra två saker:

  1. Börja experimentera med tokenbindning och planera distributioner.
  2. Kontakta webbläsar- och programleverantörer, be dem leverera tokenbindningsimplementeringar snart, om de inte redan har gjort det.

Och jag kan meddela att Microsoft bara är en av många röster i branschen som säger att tokenbindning är en viktig lösning som det verkligen är dags för.

Mer information om varför tokenbindning är viktigt får ni av Pamela Dingle – en ledande röst i branschen som många av er redan känner till – som nu är chef för identitetsstandarder på Microsoft i Azure AD-teamet.

Vänliga hälsningar,

Alex Simons (Twitter: @Alex_A_Simons)

Chef för programhantering

Microsoft Identity Division

—————————————————————————————————————————–

Tack Alex och hej allihop,

jag är lika entusiastisk som Alex! Under flera år har mycket tid och arbete lagts ned på de specifikationer som du kommer att bli nya RFC-standarder väldigt snart. Nu är det dags för arkitekter att ta tag i de specifika identitets- och säkerhetsfördelar som tokenbindning innebär.

Du kanske undrar vad det är som är så bra med tokenbindning. Tokenbinding gör så att cookies, OAuth-åtkomsttoken och uppdateringstoken blir oanvändbara utanför den klientspecifika TLS-kontext där de har utfärdats. Normalt är sådan token ägartoken, vilket betyder att vem som än har token kan byta token mot resurser, men tokenbindning förbättrar detta mönster, genom att lägga in en nivå med en bekräftelsemekanism för att testa det kryptografiska materialet som samlats in när token utfärdades mot det kryptografiska material som samlats vid tokenanvändningen. Det är bara rätt klient, som använder rätt TLS-kanal, som godkänts i testet. Den här processen tvingar entiteten som presenterar token att bevisa sig själv kallas för ”proof of possession” (PoP), bevis på innehav.

Det visar sig att cookies och token kan användas utanför den ursprungliga TLS-kontexten på alla slags skadliga sätt. Det kan vara kapade sessionscookies eller läckta åtkomsttoken, eller avancerade MiTM-attacker. Därför rekommenderas tokenbindning i IETF:s utkast till OAuth 2 Security Best Current Practice (Bästa metoder för OAuth 2-säkerhet) och varför vi nyligen fördubblade belöningen i vårt Identity Bounty Program. Genom att kräva bevis på innehav gör vi det svårt och dyrt för en angripare att försöka använda cookies eller token på opportunistiska eller uppsåtliga sätt.

Som alla PoP-mekanismer för att bevisa innehav ger tokenbindning oss möjlighet att skapa ett djupgående försvar. Vi kan jobba hårt och aldrig förlora en token men vi kan också kontrollera för säkerhets skull. Till skillnad från andra PoP-mekanismer, till exempel klientcertifikat, är tokenbindning självständig och transparent för användaren, där det tyngsta arbetet görs av infrastrukturen. Vi hoppas att det här till slut betyder att vem som helst kan välja att använda en hög nivå av identitetskontroll men vi förväntar oss att se en stark efterfrågan från den vertikala myndighets- och finansmarknaden, eftersom de har direkta bestämmelsekrav att bevisa innehav. Ett exempel på det här är att alla som kräver NIST 800-63C AAL3-kategorisering behöver den här typen av teknik.

Vägen har varit lång för tokenbindning. Det har gått tre år och ratificeringen av specifikationerna är en spännande milstolpe men som ekosystem är det fortfarande mycket kvar att bygga och för att den här specifikationen ska lyckas måste den fungera för både leverantörer och plattformar. Under de kommande månaderna kommer vi att börja dela med oss utförlig information om de säkerhetsfördelar och bästa metoder som har kommit fram när vi har använt funktionerna, och vi hoppas att alla kommer att förespråka den här tekniken överallt där den behövs.

Tack,

– Pam