IETF godkänner nya internet-standarder för att säkra authentication tokens

0
15

Noll

Internet Engineering Task Force (IETF) – den organisation som utvecklar och främjar Internet-standarder– har godkänt tre nya mått den här veckan syftar till att förbättra säkerheten för autentisering polletter mot replay-attacker.”

Autentisering token används överallt på nätet dessa dagar. När en person loggar in på sitt Google-eller Facebook-konto, en autentiseringstoken skapas och sparas i en cookie-fil i användarens webbläsare.

När användaren har åtkomst till Google eller Facebook sida, i stället för att be användaren att ange hans/hennes meriter igen, användarens webbläsare ger webbplatsen användarens token autentisering.

Men authentication tokens har inte bara använts med cookies i webbläsaren och webbplatser. De är också används inuti OAuth-protokollet, JSON Web Token (JWT) standard, och en massa av offentliga eller privata bibliotek genomföra token-baserad autentisering, som ofta används med Api: er och lösningar.

Hackare har listat ut för länge sedan att de kunde stjäla dessa polletter i stället för att användarnas lösenord och tillgång till konton utan att veta ett lösenord. Sådana attacker är känd som “replay-attacker.”

Denna vecka, med bidrag från Google, Microsoft, och Kings Mountain systemingenjörer, IETF formellt har godkänt tre nya standarder som syftar till att skydda token-baserad autentisering system:

RFC-4871 – Token Bindande Protokoll Version 1.0 RFC-4872 – Transport Layer Security (TLS) Förlängning för Token Bindande Protokoll NegotiationRFC 4873 – Token Bindande via HTTP

Dessa tre standarder är tänkta att lägga till ett extra lager av säkerhet för processen att skapa och förhandla om en ny tillgång/autentiseringstoken.

Den allmänna tanken är att skapa en anslutning mellan användarens enhet och den token, så även om en angripare lyckas att spela in ett tecken, att han inte kommer att kunna köra en repris attackera om han använde exakt samma enheten eller enhetens konfiguration token skapades.

På den tekniska nivån, enligt RFC 4871, detta kan göras genom att kundens enhet genererar ett par i en privat och en offentlig nyckel. Det optimala scenariot skulle vara om båda knapparna var som genereras inuti en säker hårdvara modul, som till exempel en PC TPM (Trusted Platform Module), som är intimt länka den privata nyckeln med hårdvaran.

Dessa två nycklar (den privata nyckeln lagras på användarens DATOR och en publik nyckel till en fjärransluten server) används sedan för att signera och kryptera delar av förhandlingarna om åtgärder som utförs före den genererar faktiska autentiseringstoken, vilket resulterar i en hårdvara som är beroende av symboliskt värde.

I teorin låter det bra.

Eftersom de allra flesta av webbtrafik idag är krypterad, den nya Token Bindande protokoll som har utformats specifikt runt TLS handshake process som sker innan en TLS-krypterad session är etablerad.

Protokollet författare säger att de har utformat den token bindande process för att undvika att lägga till extra turer till TLS handshake process, vilket innebär att det inte kommer finnas några onödiga prestanda hit till befintliga servrar.

Uppdateringar webbläsare och servrar som kommer att vara nödvändig för att stödja de tre Rfc-dokument, Tal Vara’ery, Grundare och Säkerhet forskningschef på KZen Nätverk, berättade ZDNet i en intervju.

Forskaren påpekade också att den nya Token Bindande protokoll är inte nödvändigtvis begränsat till bindande polletter i hårdvara-nivå, och kan också arbeta och säkert binda inträden på programvaran nivå, vilket betyder att den kan genomföras nästan var som helst.

“Det kan användas av någonting som kommunicerar och behov för att upprätthålla en session,” Vara’ery sagt. “Som innehåller IoT-enheter.”

För närvarande, den Token Bindande protokoll som har utformats runt TLS 1.2, men det kommer också att ändras för att fungera med nyare TLS 1.3.

RELATERADE TÄCKNING:

Det är 2018, och nätverk middleware kan fortfarande inte hantera TLS utan att bryta krypteringOpenSSL 1.1.1 ut med TLS 1.3 stöd och “fullständig omskrivning” av RNG komponentwebbhotell ta tre dagar, i genomsnitt, för att svara på missbruk rapporterDHS order federala myndigheter för att stärka it-säkerheten med HTTPS, e-postautentisering (TechRepublic)Efter Facebook ‘ hack, det finns en massa meningslösa inlägg brott råd (CNET)

Relaterade Ämnen:

Säkerhet-TV

Hantering Av Data

CXO

Datacenter

0