繫結權杖的時代
大家好,
過去幾個月,身分識別與安全性標準領域的發展非常令人振奮。我們在業界各路專家的努力下取得了驚人的進展,最終確定多種新標準與改良標準,將同時改善雲端服務及裝置世代的安全性和使用者體驗。
這些改進中最重要的一環即為權杖繫結類的規格,目前正待網際網路工程任務推動小組 (IETF) 的最終核准 (如果您想要深入了解權杖繫結,請觀賞 Brian Campbell 這份精彩簡報)。
在 Microsoft,我們相信藉由讓全球每一位開發人員都能廣泛、輕鬆地使用高度身分識別與驗證保證,權杖繫結便能同時大幅改善企業與客戶環境的安全性。
鑒於非常肯定這項系統的正面影響,我們已持續與社群合作,致力打造並採用一系列的權杖繫結規格。
在這些規格即將獲得認可的現在,我想要呼籲各位採取兩項行動:
- 請開始嘗試權杖繫結技術,並規劃部署過程。
- 如果您的瀏覽器與軟體廠商尚未推動權杖繫結實作,請連絡他們,並提出實作要求。
同時,我也很榮幸地向您報告,業界有多股聲音認為權杖繫結為一項即將帶來重大影響的重要解決方案,而 Microsoft 也是其中之一。
接下來,我將交由業界頂尖的 Pamela Dingle 來說明權杖繫結之所以舉足輕重的詳細原因,她現在也於 Microsoft 擔任 Azure AD 團隊的身分識別標準總監。
謝謝您,
Alex Simons (Twitter:@Alex_A_Simons)
計劃管理總監
Microsoft 身分識別部門
—————————————————————————————————————————–
謝謝 Alex,大家好,
我和 Alex 一樣,對我們的進展感到非常興奮!我們已投入數年時間與心力開發這些規格,在接下來很短的時間內,您就會看到這些規格將被視為新的 RFC 標準。現在正是時候讓架構規劃師深入研究權杖繫結,了解它能帶來的特定身分識別與安全性優勢。
您可能會問,權杖繫結的優點到底在哪?權杖繫結技術能針對 Cookies、OAuth 存取權杖和重新整理權杖,以及 OpenID Connect 的識別碼權杖,讓它們無法作用於核發的用戶指定 TLS 內容之外。這些權杖通常都屬於「持有人權杖」,意思是權杖的持有者可以用它們來交換資源,但權杖繫結能進一步改善這種模式,方法是疊加一層確認機制,針對權杖核發與使用時收集到的密碼編譯材料進行測試比對。唯有使用正確 TLS 頻道的正確用戶才能通過測試。這項強制出示權杖之實體自證資格的過程稱為「證明所有權」。
事實證明,我們能以各種惡意手段在原始 TLS 內容外使用 Cookies 和權杖,例如劫持得來的工作階段 Cookies 或洩漏的存取權杖,或是使用複雜的 MiTM。這就是為什麼 IETF OAuth 2 Security Best Current Practice 草案會建議採用權杖繫結,同時也是我們選擇將身分識別獎勵計劃獎項加倍的原因。如果攻擊者想要以非原始意圖以外的方式隨機或預謀使用 Cookies 或權杖,我們便能透過要求證明所有權,將這些情況轉換成攻擊者難以執行或是無法負擔執行代價的環境。
就像任何證明所有權機制,權杖繫結能給予我們打造深度防禦措施的能力。我們可以努力防止權杖外洩,與此同時,我們也可以進行驗證,以防萬一。跟用戶端憑證這類證明所有權過程不同的是,權杖繫結能夠獨立運作且無須使用者介入,因為絕大多數工作都會由基礎結構完成。我們希望這意味著最終每個人都能選擇是否進行高階身分識別保證,不過預計初期的強勁需求將來自於政府和金融部門,鑒於法規會要求他們即刻採用證明所有權機制。舉例來說,任何要求 NIST 800-63C AAL3 分類的人都會需要這種技術。
權杖繫結代表的是一條漫長的旅程。這是我們投入開發的第三年,雖然規格即將受到核准是項令人興奮的里程碑,不過以生態系統而言仍有許多需要建置的工作,且這項規格需要努力跨越供應商和平台的隔閡才算真正成功。我們很高興能在未來幾個月裡,開始與您詳細分享採用這項功能後所獲得的安全優勢和最佳做法,同時也希望您能加入我們,一起提倡這項技術。
感謝您,
— Pam