Kimlik & Erişim Yönetimi, Güvenlik Operasyonları
'Cihaza Bağlı Oturum Kimlik Bilgileri' Kimlik Doğrulama Çerezlerini Belirli Bilgisayarlara Bağlar
Sayın Mihir (MihirBagwe), David Perera (@daveperera) •
3 Nisan 2024
Google, güvenlik özelliğinin bir web standardı haline gelmesi umuduyla masaüstü bilgisayarlardan kimlik doğrulama çerezlerini çalarak çok faktörlü güvenliği aşan bilgisayar korsanlarını engellemek için bir yöntemin prototipini yapıyor.
Ayrıca bakınız: Yani Kimlik Yeni Çevredir. Savunmak Neden Bu Kadar Zor?
Teknoloji devi Salı günkü bir blog yazısında, “Cihaza Bağlı Oturum Kimlik Bilgileri” adını verdiği yeni bir özelliği test ettiğini söyledi; bu özellik, bir siber suçlunun bilgisayarından başlatılan hesap ele geçirme saldırıları için kullanıldığında işe yaramayacak olan, bir masaüstü cihaza kriptografik olarak bağlanan çerezlerdir.
Google, kimlik doğrulama belirteçlerini bilgisayarlara kriptografik olarak bağlama önerisinin, Belirteç Bağlama gibi önceki girişimlerin başarısız olduğu durumlarda başarılı olacağını söylüyor.
Google'ın işaret ettiği büyük farklardan biri, şifreleme anahtarlarını saklamak için bilgisayar korsanlarına karşı dirençli bir yer olarak hizmet veren Güvenilir Platform Modüllerine sahip bilgisayarların sayısının artmasıdır.
Chrome'un Kötüye Kullanım Karşıtı ekibinin bir üyesi olan Google'dan Kristian Monsen, “Kimlik doğrulama oturumlarını cihaza bağlayarak, DBSC, çerez hırsızlığı endüstrisini altüst etmeyi amaçlıyor, çünkü bu çerezleri dışarı çıkarmanın artık hiçbir değeri kalmayacak” diye yazdı.
Daha uzun bir açıklamaya sahip bir GitHub deposunda Google, mekanizmayı her yeni tarama oturumunun başlangıcında çağrılan sunucular için bir API olarak tasarladığını söylüyor. Bir siteye giriş anında, bir sunucu, tarayıcıya genel anahtar talebiyle yanıt verir ve tarayıcı, TPM tarafından oluşturulan ve saklanan bir anahtar çifti oluşturarak yanıt verir ve genel anahtarı web sunucusuna geri gönderir.
Kısa ömürlü kimlik doğrulama çerezleri, kimlik doğrulama için hala aynı oturumun genel anahtarını kullanırken, tarayıcının yeni bir çerez için tarayıcıya periyodik olarak ping atmasını tetikler. Her oturumun kendi anahtarı olacaktır ve gizlilik nedeniyle “farklı oturumların aynı cihazdan geldiğini tespit etmek mümkün olmamalıdır.” Çerez yenileme trafiği, normal web trafiğinin bant dışında gerçekleşecek ve web sitesindeki DBSC tanımlı özel bir uç nokta aracılığıyla gerçekleşecektir.
Google, Kimlik sağlayıcı Okta ve Edge tarayıcı üreticisi Microsoft'un ilgi gösterdiğini söylüyor.
Ping Identity baş ürün mimarı Patrick Harding, “Google'ın önerdiği şey iyi bir şey” dedi.
Bu, tokenların çalınmasını ve diğer bilgisayarlarda yeniden kullanılmasını önlemek için tokenleri cihazlara bağlamayı amaçlayan hesap ele geçirme saldırılarını engellemeye yönelik geçmiş çabalara dayanıyor. Harding, Information Security Media Group'a verdiği demeçte, dikkate değer bir örnek olan Token Binding'in, Aktarım Katmanı Güvenliğine dayanması nedeniyle ilgi çekmeyi başaramadı; web sayfaları içerik dağıtım ağları tarafından teslim edildiğinde ve web uygulaması güvenlik duvarlarından geçmesi gerektiğinde benimsenmesini zorlaştırdı.
Harding, kimlik doğrulamayı TPM'ler aracılığıyla yönlendirmenin, hackerların dikkatini kusurlarını bulmaya çekmenin iyi bir yolu olduğunu kabul etti. Ancak “TPM'ye geçmek şu anda yaptığımızdan çok daha iyi, yani bu çerezleri cihazın belleğinde saklıyoruz.”
Google'ın bunu bir web standardı olarak benimsemesinin yolu muhtemelen diğer büyük web tarayıcısı üreticilerini (Apple, Microsoft ve Mozilla) bunu desteklemeye ikna etmekten geçiyor.
“Bütün tarayıcıların bunu benimsemesini sağladığınızda, bu aslında bir standart haline gelir” dedi.