Zero
L’Internet Engineering Task Force (IETF) –l’organisation qui développe et promeut des normes de l’Internet– a adopté trois nouvelles normes, cette semaine, conçue pour améliorer la sécurité des jetons d’authentification contre “les attaques de relecture.”
Jetons d’authentification sont utilisés partout en ligne ces jours-ci. Quand une personne se connecte à son Google ou Facebook compte, un jeton d’authentification est généré et stocké dans un cookie fichier dans le navigateur de l’utilisateur.
Lorsque l’utilisateur accède à la Google ou Facebook site, au lieu de demander à l’utilisateur d’entrer ses informations d’identification à nouveau, le navigateur de l’utilisateur donne le site web de l’utilisateur du jeton d’authentification.
Mais jetons d’authentification n’ont pas été utilisés uniquement avec des cookies de navigateur et les sites web. Ils sont également utilisés dans le protocole d’authentification OAuth, le JSON Web Jeton (JWT) standard, et une foule d’privé ou public des bibliothèques de la mise en œuvre de la base de jeton d’authentification, souvent utilisé avec des Api et de l’entreprise des solutions logicielles.
Les pirates ont compris il y a longtemps qu’ils pourraient voler ces jetons au lieu de passe d’utilisateurs et des comptes d’accès sans avoir besoin de connaître un mot de passe. De telles attaques sont connus comme des “attaques de relecture.”
Cette semaine, avec des contributions de Google, de Microsoft, et les Rois de la Montagne ingénieurs Systèmes, l’IETF a officiellement adopté trois nouvelles normes destinées à protéger jeton d’authentification basée sur les systèmes:
RFC 8471 – Le Jeton de Liaison de Protocole de la Version 1.0 RFC 8472 – Transport Layer Security (TLS) Extension du Jeton de Liaison de Protocole NegotiationRFC 8473 – Jeton de Liaison sur HTTP
Ces trois normes sont destinées à ajouter une couche de sécurité supplémentaire pour le processus de la production et de la négociation d’un nouvel accès/jeton d’authentification.
L’idée générale est de créer une connexion entre l’appareil de l’utilisateur et le jeton, de sorte que même si un attaquant parvient à enregistrer un jeton, il ne sera pas en mesure d’exécuter une relecture de l’attaque, sauf s’il était en utilisant exactement le même appareil ou de la configuration de l’appareil le jeton a été créé.
Au niveau technique, conformément à la RFC 4871, ce qui peut être fait par le client du dispositif de génération d’une paire de clés publique et privée. Le scénario optimal serait le cas si les deux clés ont été générés à l’intérieur d’un matériel sécurisé module, comme par exemple un PC équipé d’un module TPM (Trusted Platform Module), intrinsèquement reliant la clé privée avec le matériel.
Ces deux clés (clé privée stockée sur le PC de l’utilisateur et une clé publique sur un serveur distant) sont ensuite utilisées pour signer et chiffrer les parties de la négociation étapes exécutées avant de générer une réelle jeton d’authentification, résultant dans un matériel dépendant de la valeur du jeton.
En théorie, cela sonne bien.
Puisque la grande majorité des le trafic web d’aujourd’hui est crypté, le nouveau Jeton protocole d’accord a été spécialement conçu autour de la poignée de main TLS processus qui se déroule devant un chiffrement TLS session est établie.
Les auteurs du protocole disent qu’ils ont conçu le jeton de processus de liaison pour éviter d’ajouter de l’aller-retour sur le processus de négociation TLS, ce qui signifie qu’il ne sera pas inutile, les performances d’accès à des serveurs existants.
Les mises à jour pour les navigateurs et les serveurs seront nécessaires afin de soutenir les trois Rfc, Tal Être’ery, Co-Fondateur et directeur de Recherche en Sécurité à KZen Réseaux, a déclaré à ZDNet, dans une interview.
Le chercheur a également souligné que le nouveau Jeton de Liaison de protocole n’est pas nécessairement limitée à la liaison de jetons au niveau du matériel seul, et peut également travailler et de sécuriser la liaison des jetons au niveau logiciel, le sens qu’il peut être mis en œuvre presque n’importe où.
“Il peut être utilisé par tout ce qui les communique et notamment les besoins pour maintenir une session,” Être’ery dit. “Qui inclut l’Ido appareils en tant que bien.”
Actuellement, le Jeton de Liaison de protocole a été conçu autour de TLS 1.2, mais il sera également modifié pour fonctionner avec la nouvelle TLS 1.3.
COUVERTURE LIÉE:
C’est en 2018, le réseau de middleware encore ne peut pas gérer TLS sans se casser le chiffrementOpenSSL 1.1.1 avec TLS 1.3 prise en charge et de “réécriture” de la RNG de composantsde fournisseurs d’hébergement Web prendre trois jours, en moyenne, à répondre à l’abus de rapportsDHS commandes organismes fédéraux pour renforcer la cybersécurité avec HTTPS, authentification des e-mails (TechRepublic)Après le Facebook de hack, il y a beaucoup de post inutiles-violation des conseils (CNET)
Rubriques Connexes:
De sécurité de la TÉLÉVISION
La Gestion Des Données
CXO
Les Centres De Données
0