Zero
Internet Engineering Task Force (IETF) –l’organizzazione che sviluppa e promuove gli standard di Internet-ha approvato tre nuovi standard di questa settimana progettato per migliorare la sicurezza del token di autenticazione contro “gli attacchi di tipo replay.”
I token di autenticazione sono utilizzati ovunque on-line in questi giorni. Quando una persona accede al Google o Facebook account, un token di autenticazione viene generata e memorizzata in un file cookie all’interno del browser dell’utente.
Quando l’utente accede a Google o Facebook sito, invece di chiedere all’utente di inserire le sue credenziali di nuovo, il browser dell’utente dà il sito dell’utente token di autenticazione.
Ma i token di autenticazione non utilizzate solo con i cookie del browser e siti web. Essi sono utilizzati anche all’interno del protocollo OAuth, JSON Web Token (JWT) standard, e una sfilza di enti pubblici o di privati, biblioteche implementazione basata su token di autenticazione, spesso utilizzato con le Api e le soluzioni software aziendali.
Gli hacker hanno capito molto tempo fa che si poteva rubare i gettoni, invece di utenti, le password e gli account di accesso, senza la necessità di conoscere la password. Tali attacchi sono conosciuti come “attacchi di tipo replay.”
Questa settimana, con il contributo di Google, Microsoft e Kings Mountain Sistemi gli ingegneri, l’IETF ha formalmente approvato tre nuove norme intese a proteggere token di sistemi di autenticazione basati su:
RFC 4871 – Il Token Associazione Protocol Versione 1.0 RFC 4872 – Transport Layer Security (TLS) Estensione per Token Associazione Protocollo NegotiationRFC 4873 – Token Vincolante su HTTP
Questi tre standard sono pensati per aggiungere un ulteriore livello di sicurezza per il processo di generazione e la negoziazione di un nuovo accesso/token di autenticazione.
L’idea generale è quella di creare una connessione tra il dispositivo e il token, quindi, anche se un utente malintenzionato riesce a registrare un token, egli non sarà in grado di eseguire un attacco di riproduzione, a meno che egli stesso dispositivo o di configurazione del dispositivo token è stato creato.
A livello tecnico, secondo la RFC 4871, questo può essere fatto dal client di dispositivo che genera una coppia di chiavi privata e pubblica. Lo scenario ottimale sarebbe se entrambi i tasti sono stati generati all’interno di un sicuro modulo hardware, ad esempio un PC del TPM (Trusted Platform Module), intrinsecamente collega la chiave privata con l’hardware.
Queste due chiavi (chiave privata memorizzata sul PC dell’utente, e una chiave pubblica ad un server remoto) vengono poi utilizzati per firmare e crittografare le parti della trattativa passaggi eseguiti prima di generare l’attuale token di autenticazione, con conseguente dipendente dall’hardware token di valore.
In teoria, questo suona alla grande.
Dal momento che la stragrande maggioranza del traffico web oggi è crittografato, il nuovo Token Associazione protocollo è stato specificamente progettato intorno al TLS handshake processo che si verifica prima di una sessione TLS cifrata è stabilito.
Il protocollo di autori affermano di aver progettato il token del processo di associazione per evitare di aggiungere un extra round trip al TLS handshake processo, il che significa che non ci sarà alcun calo di prestazioni non necessari i server esistenti.
Aggiornamenti per il browser e i server saranno necessari per sostenere le tre Rfc, Tal Essere’ery, Co-Fondatore e Sicurezza dirigente di Ricerca presso KZen Reti, ha detto a ZDNet in un’intervista.
Il ricercatore ha inoltre sottolineato che il nuovo Token protocollo di Binding non è necessariamente limitato all’associazione di token a livello hardware da solo, e può anche lavorare e legare saldamente i token a livello di software, il che significa che può essere implementato quasi ovunque.
“Può essere usato da tutto ciò che si comunica e si deve mantenere una sessione di” Essere’ery detto. “Che include dispositivi IoT”.
Attualmente, il Token Associazione protocollo è stato progettato intorno TLS 1.2, ma anche essere modificato per funzionare con la nuova versione di TLS 1.3.
RELATIVI COPERTURA:
È il 2018, di rete e middleware ancora non in grado di gestire TLS senza rompere la crittografiaOpenSSL 1.1.1 con TLS 1.3 supporto e ‘completa riscrittura’ di RNG componentedi Web hosting provider di tre giorni, in media, per rispondere alle segnalazioni di abusoDHS ordini agenzie federali per rafforzare la sicurezza informatica con HTTPS, autenticazione e-mail (TechRepublic)Dopo Facebook trucco, c’è un sacco di inutili post-violazione di consulenza (CNET)
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0