É hora de associar os tokens

Olá, pessoal!

Os últimos meses foram MUITO interessantes em termos de identidade e padrões de segurança. Devido aos esforços de um conjunto amplo de especialistas em todo o setor, tivemos um progresso incrível em finalizar padrões aprimorados que poderão melhorar a segurança e a experiência do usuário de uma geração de serviços de nuvem e dispositivos.

Uma das melhorias mais importantes é a família de especificações de associação de tokens mais prontas para a ratificação final na Internet Engineering Task Force (IETF). Se quiser saber sobre associação de tokens, assista a esta ótima apresentação de Brian Campbell.

Na Microsoft, acreditamos que a associação de tokens pode melhorar muito a segurança para empresas e clientes porque simplifica o acesso de alta identidade e autenticação para desenvolvedores em todo o mundo.

Considerando como acreditamos que esse impacto pode ser positivo, estamos e continuamos profundamente comprometidos em trabalhar com a comunidade para criar e adotar a família de especificações de associação de tokens.

Agora que as especificações estão próximas da ratificação, gostaria de sugerir duas chamadas à ação:

  1. Comece experimentando com associação de tokens e planejando suas implantações.
  2. Entre em contato com o navegador e os fornecedores de software, pedindo que eles enviem as implementações de associação de tokens assim que estiverem prontas.

Tenho o prazer de informar que a Microsoft é uma das muitas vozes do setor que diz que a associação de tokens é uma solução importante que veio pra ficar.

Para conhecer mais sobre a importância da associação de tokens, passo a palavra para Pamela Dingle, uma voz importante do setor que muitos de vocês já conhece, agora é a Diretora de padrões de identidade da Microsoft na equipe do Azure AD.

Atenciosamente,

Alex Simons (Twitter: @Alex_A_Simons)

Diretor de Gestão de Programas

Microsoft Identity Division

—————————————————————————————————————————–

Obrigada, Alex, e olá a todos!

Estou mesmo entusiasmada. Foram dedicados anos de esforço para definir as especificações que vocês já já conhecerão como os novos padrões de RFC. Chegou o momento para arquitetos conhecerem mais as vantagens de usar as identidades e segurança específicas que a associação de tokens representa.

Afinal, o que há de tão especial em associação de tokens? A associação de tokens torna os cookies, os tokens de acesso de OAuth, os tokens de atualização e os tokens de ID do Connect do OpenID inutilizáveis fora do contexto de TLS específico do cliente nos quais eles foram emitidos. Normalmente, esses tokens apenas “carregam” tokens, ou seja, qualquer um que possuir o token poderá trocar o token por recursos. Mas a associação de tokens aprimora esse padrão ao disponibilizar um mecanismo de confirmação para testar o material criptografado coletado no momento da emissão do token em relação ao material criptografado coletado no momento do uso do token. Apenas o cliente correto, que estiver usando o canal TLS correto, passará no teste. Este processo de forçar a entidade a apresentar o token para comprovação é chamado de “prova de posse”.

Aparentemente esses cookies e tokens podem ser usados fora do contexto TLS original de vários tipos de maneiras mal-intencionadas. Podem ser cookies de sessão sequestrada ou tokens de acesso vazado ou ataque MiTM sofisticado. Por isso, o projeto da Prática recomendada atual de OAuth 2 da IETF recomenda a associação de tokens, e por isso recebemos recentemente o prêmio pelo nosso programa de identidade. Ao exigir a prova de posse, dificultamos o uso oportunista ou premeditado de cookies ou tokens, além de tornar essa operação cara para um invasor.

Como qualquer mecanismo de prova de posse, a associação de tokens concede a nós a capacidade de criar uma defesa mais profunda. Podemos trabalhar muito para nunca perder um token, mas também podemos verificar se ele é seguro. Ao contrário de outros mecanismos de prova de posse, como certificados de clientes, a associação de tokens é independente e transparente para o usuário, com a maior parte do trabalho pesado feito pela infraestrutura. Esperamos que isso eventualmente signifique que alguém pode escolher operar em um nível alto de garantia de identidade, mas esperamos ver uma forte demanda dos setores verticais financeiros e do governo no início, porque eles têm requisitos regulatórios imediatos para fazer prova de posse. Como exemplo, qualquer um que exija a categorização AAL3 de NIST 800-63C exige este tipo de tecnologia.

A associação de tokens já foi bem longe nisso. Estamos trabalhando há três anos e, embora a ratificação das especificações seja um marco interessante, como ecossistema, ainda temos muito para construir, e essa especificação precisa funcionar em vários fornecedores e plataformas para ter sucesso. Estamos muito empolgados para, nos próximos meses, começarmos a compartilhar os benefícios de segurança detalhados e as práticas recomendadas de nossa adoção dessa funcionalidade, e esperamos que você se junte a nós na defesa dessa tecnologia onde ela for necessária.

Atenciosamente,

— Pam


Observe que o conteúdo presente nas postagens do blog descreve características e funcionalidades que podem variar de acordo com o mercado. Para ver todos os detalhes sobre ofertas de produtos específicos para o seu mercado, acesse Microsoft 365, Office 365, Windows 10 ou Enterprise Mobility + Security.
O conteúdo dos links dessas postagens pode não estar disponível em seu idioma local.