互联网工程任务组(IETF)是开发和推广互联网标准的组织,其在上周批准了三项新标准,旨在提高身份验证令牌的安全性,防止“重放攻击”。
目前,身份验证令牌被用于所有网络访问中。当一个人登录他的Google或Facebook帐户时,会生成一个身份验证令牌并存储在用户浏览器内的cookie文件中。当用户访问Google或Facebook站点时,用户的浏览器不会要求用户再次输入凭证,而是向网站提供用户的身份验证令牌。
但身份验证令牌不仅用于浏览器cookie和网站。它们还用于OAuth协议,JSON Web令牌(JWT)标准以及一系列实现基于令牌的身份验证的公共库或私有库,通常与API和企业软件解决方案一起使用。
黑客很久以前就已经发现他们无需窃取用户的密码,只要窃取这些令牌就可以访问用户帐户而无需知道密码,这种攻击被称为“重放攻击”。
上周,IETF正式批准了三项旨在保护基于令牌的身份验证系统的新标准:
RFC 8471- 令牌绑定协议版本1.0
RFC 8472– 用于协商令牌绑定协议的TLS扩展
RFC 8473- 通过HTTP进行令牌绑定
这三个标准旨在为新的访问/身份验证令牌的生成和协商过程添加额外的安全层。其主要构思是在用户设备和令牌之间建立连接,即使攻击者设法记录下令牌,他也无法执行重放攻击,除非他使用与创建令牌时相同的设备或设备配置。
由于现代绝大多数网络流量都是加密的,因此新的令牌绑定协议是专门针对在建立TLS加密会话之前发生的TLS握手过程而设计的。该协议的作者表示,他们设计了令牌绑定过程,以避免为TLS握手过程增加额外的往返次数,这意味着现有服务器不会受到任何不必要的性能损失。
研究人员还指出,新的令牌绑定协议不一定仅限于硬件级别的绑定令牌,也可以在软件级别工作并安全地绑定令牌,这意味着它几乎可以在任何地方实现。
目前,令牌绑定协议是围绕TLS 1.2设计的,但它也将被修改为与更新的TLS 1.3一起使用。
网友评论