Nul
De Internet Engineering Task Force (IETF) –de organisatie die zich ontwikkelt en bevordert de Internet standaarden– heeft goedgekeurd drie nieuwe normen van deze week is ontworpen voor het verbeteren van de veiligheid van authenticatie tokens tegen “replay-aanvallen.”
Authenticatie tokens worden gebruikt overal online deze dagen. Wanneer een persoon zich in zijn Google-of Facebook-account, wordt er een authenticatie token wordt gegenereerd en opgeslagen in een cookie in de browser van de gebruiker.
Wanneer de gebruiker toegang krijgt tot de Google-of Facebook-site, in plaats van te vragen de gebruiker om zijn/haar aanmeldingsgegevens opnieuw, de browser van de gebruiker, biedt de website de gebruiker authenticatie token.
Maar authenticatie tokens niet alleen is gebruikt van cookies in de browser en websites. Ze worden ook gebruikt in het OAuth-protocol, de JSON Web Token (JWT) standaard, en een hoop van de openbare of privé-bibliotheken van de uitvoering van token-gebaseerde authenticatie, vaak gebruikt in combinatie met Api ‘ s en enterprise software oplossingen.
Hackers hebben bedacht lang geleden dat ze kunnen stelen van deze lopers in plaats van wachtwoorden van gebruikers en de toegang accounts zonder dat het nodig is om te weten een wachtwoord. Dergelijke aanvallen worden wel bekend als “replay-aanvallen.”
Deze week, met bijdragen van Google, Microsoft en Kings Mountain Systems engineers, de IETF heeft formeel goedgekeurd drie nieuwe normen bedoeld om te beschermen token-gebaseerde authenticatie systemen:
RFC 4871 – Token Bindend Protocol, Versie 1.0 RFC-4872 – Transport Layer Security (TLS) Extensie voor Token Bindend Protocol NegotiationRFC 4873 – Token via HTTP Bindend
Deze drie normen zijn bedoeld om toe te voegen een extra laag van beveiliging voor het proces van het genereren en te onderhandelen over een nieuwe toegang/authenticatie token.
Het algemene idee is om een verbinding te maken tussen het apparaat van de gebruiker en de token, dus zelfs als een aanvaller erin slaagt om het opnemen van een token, zal hij het niet kunnen uitvoeren van een replay aanval tenzij hij gebruik van precies hetzelfde apparaat of het apparaat configuratie-token is gemaakt.
Op het technische niveau, volgens RFC 4871, dit kan gedaan worden door de klant apparaat het genereren van een paar van een private en publieke sleutel. Het optimale scenario zou zijn als beide sleutels zijn gegenereerd in een veilige hardware module, zoals een PC TPM (Trusted Platform Module), intrinsiek voor het koppelen van de private sleutel van de hardware.
Deze twee toetsen (de private sleutel die is opgeslagen op de PC van de gebruiker en een openbare sleutel voor een remote server) worden vervolgens gebruikt voor het ondertekenen en coderen van onderdelen van de onderhandelingen stappen uitgevoerd voor het genereren van de feitelijke authenticatie van token, wat resulteert in een afhankelijk van de hardware-token waarde.
In theorie klinkt dit geweldig.
Aangezien de overgrote meerderheid van de web verkeer vandaag de dag is gecodeerd, de nieuwe Token Bindend protocol is speciaal ontworpen rond het TLS handshake proces dat plaatsvindt voordat een TLS-gecodeerde verbinding.
Het protocol van de auteurs zeggen dat ze hebben ontworpen het token binden om te voorkomen dat het toevoegen van extra ronde uitstapjes naar het TLS handshake-proces, wat betekent dat er geen onnodige performance hit op bestaande servers.
Updates voor browsers en servers zal het nodig zijn om ondersteuning voor de drie Rfc ‘ s, Tal Worden’ery, Mede-Oprichter en Security Research Manager bij KZen Netwerken, vertelde ZDNet in een interview.
De onderzoeker wijst er ook op dat de nieuwe Token Bindend protocol is niet noodzakelijkerwijs beperkt tot bindende pionnen op het hardware niveau, ook kan werken en stevig binden pionnen op software niveau, wat betekent dat het kan worden geïmplementeerd bijna overal.
“Het kan gebruikt worden door iets dat communiceert en moet worden onderhouden om een sessie te” Worden’ery zei. “Die IoT apparaten.”
Momenteel is de Token Bindend protocol is ontworpen rond TLS 1.2, maar het zal ook worden gewijzigd om te werken met de nieuwere TLS 1.3.
VERWANTE DEKKING:
Het is 2018, en het netwerk, middleware kan nog steeds niet omgaan met TLS zonder te breken encryptieOpenSSL 1.1.1 met TLS 1.3 ondersteuning en ‘compleet herschrijven’ van RNG componentWeb hosting providers drie dagen duurt, gemiddeld, om te reageren op misbruikDHS bestellingen federale agentschappen voor het versterken van cybersecurity met HTTPS, e-authenticatie (TechRepublic)Na Facebook hack, er is een hoop nutteloze post-schending advies (CNET)
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0