Yeni IETF standartları, kimlik doğrulama belirteçlerini tekrar saldırılarına karşı korumayı amaçlamaktadır.
İnternet standartlarını geliştiren ve destekleyen kuruluş olan İnternet Mühendisliği Görev Gücü (IETF), Kimlik doğrulama belirteçlerinin "tekrar oynatmaya" karşı güvenliğini artırmak için tasarlanan üç yeni standart bu hafta onaylandı saldırıyor."
Kimlik doğrulama belirteçleri bugünlerde çevrimiçi olarak her yerde kullanılıyor. Bir kişi Google veya Facebook hesabına giriş yaptığında, bir kimlik doğrulama jetonu oluşturulur ve kullanıcının tarayıcısındaki bir çerez dosyasında saklanır.
Kullanıcı Google veya Facebook sitesine eriştiğinde, kullanıcıdan kimlik bilgilerini tekrar girmesini istemek yerine, kullanıcının tarayıcısı web sitesine kullanıcının kimlik doğrulama kodunu verir.
Ancak kimlik doğrulama belirteçleri yalnızca tarayıcı çerezleri ve web siteleriyle kullanılmadı. Ayrıca içeride de kullanılırlar. OAuth protokol, JSON Web Belirteci (JWT) standardı ve uygulayan çok sayıda kamu veya özel kütüphane
belirteç tabanlı kimlik doğrulama, genellikle API'ler ve kurumsal yazılım çözümleriyle birlikte kullanılır.Bilgisayar korsanları, kullanıcıların şifreleri yerine bu tokenleri çalabileceklerini ve şifre bilmeye gerek kalmadan hesaplara erişebileceklerini uzun zaman önce anladılar. Bu tür saldırılara "tekrarlama saldırıları" adı verilir.
Bu hafta Google, Microsoft ve Kings Mountain Systems mühendislerinin katkılarıyla IETF, belirteç tabanlı kimlik doğrulama sistemlerini korumaya yönelik üç yeni standardı resmi olarak onayladı:
- RFC8471 - Token Bağlama Protokolü Sürüm 1.0
- RFC8472 - Token Bağlama Protokolü Görüşmesi için Aktarım Katmanı Güvenliği (TLS) Uzantısı
- RFC8473 - HTTP Üzerinden Token Bağlama
Bu üç standart, yeni bir erişim/kimlik doğrulama belirtecinin oluşturulması ve üzerinde anlaşmaya varılması süreci için ekstra bir güvenlik katmanı eklemeyi amaçlamaktadır.
Genel fikir, kullanıcının cihazı ile belirteç arasında bir bağlantı oluşturmaktır; böylece saldırgan bir belirteci kaydetmeyi başarsa bile, belirtecin oluşturulduğu cihaz veya cihaz konfigürasyonunun aynısını kullanmadığı sürece tekrar saldırısı gerçekleştiremez Açık.
Teknik düzeyde, RFC 4871'e göre bu, müşterinin cihazının bir çift özel ve genel anahtar üretmesiyle yapılabilir. En uygun senaryo, her iki anahtarın da PC'nin TPM'si (Güvenilir Platform Modülü) gibi güvenli bir donanım modülü içinde oluşturulması ve özel anahtarı donanıma aslen bağlamasıdır.
Bu iki anahtar (kullanıcının bilgisayarında saklanan özel anahtar ve uzak sunucunun genel anahtarı) daha sonra imzalamak ve şifrelemek için kullanılır. gerçek kimlik doğrulama jetonunu oluşturmadan önce yürütülen anlaşma adımlarının bazı kısımları, donanıma bağlı bir jetonla sonuçlanır değer.
Teorik olarak bu kulağa harika geliyor.
Günümüzde web trafiğinin büyük çoğunluğu şifrelendiğinden, yeni Token Binding protokolü kullanıma sunuldu. TLS şifreli bir oturum açılmadan önce gerçekleşen TLS anlaşması süreci etrafında özel olarak tasarlanmıştır. kurulmuş.
Protokolün yazarları, token bağlama sürecini ekstra gidiş-dönüş eklemeyi önleyecek şekilde tasarladıklarını söylüyor TLS anlaşması sürecine geçiş, mevcut performansta gereksiz herhangi bir etki olmayacağı anlamına gelir sunucular.
Üç RFC'yi desteklemek için tarayıcılarda ve sunucularda güncellemeler yapılması gerekecektir. Tal Be'eryKZen Networks Kurucu Ortağı ve Güvenlik Araştırma Müdürü, bir röportajda ZDNet'e söyledi.
Araştırmacı ayrıca yeni Token Bağlama protokolünün yalnızca belirli bir seviyedeki tokenları bağlamayla sınırlı olmadığına da dikkat çekti. yalnızca donanım düzeyinde çalışır ve aynı zamanda yazılım düzeyinde de çalışabilir ve tokenleri güvenli bir şekilde bağlayabilir; bu da neredeyse uygulanabileceği anlamına gelir herhangi bir yer.
Be'ery, "İletişim kuran ve oturumu sürdürmesi gereken her şey tarafından kullanılabilir" dedi. "Buna IoT cihazları da dahildir."
Şu anda Token Binding protokolü TLS 1.2 etrafında tasarlanmıştır, ancak aynı zamanda TLS 1.2 ile çalışacak şekilde de değiştirilecektir. daha yeni TLS 1.3.
İLGİLİ KAPSAM:
- Yıl 2018 ve ağ ara yazılımı hala şifrelemeyi bozmadan TLS'yi kullanamıyor
- TLS 1.3 desteği ve RNG bileşeninin 'tamamen yeniden yazılması' ile OpenSSL 1.1.1 çıkışı
- Web barındırma sağlayıcılarının kötüye kullanım raporlarına yanıt vermesi ortalama üç gün sürer
- DHS, federal kurumlara siber güvenliği HTTPS ve e-posta kimlik doğrulamasıyla destekleme emri verdi (TechRepublic)
- Facebook'un hacklenmesinden sonra, ihlal sonrası pek çok işe yaramaz tavsiye var (CNET)