token de acceso

Credenciales de seguridad para acceder a recursos o servicios desde un servidor

En los sistemas informáticos, un token de acceso contiene las credenciales de seguridad para una sesión de inicio de sesión e identifica al usuario , los grupos de usuarios, los privilegios del usuario y, en algunos casos, una aplicación particular. ^[1] En algunos casos, es posible que se le solicite ingresar un token de acceso (por ejemplo, 40 caracteres aleatorios) en lugar de la contraseña habitual (por lo tanto, debe mantenerse secreta como una contraseña).

Descripción general

Un token de acceso es un objeto que encapsula la identidad de seguridad de un proceso o subproceso . ^[2] Un token se utiliza para tomar decisiones de seguridad y almacenar información a prueba de manipulaciones sobre alguna entidad del sistema. Si bien un token generalmente se usa para representar solo información de seguridad, es capaz de contener datos adicionales de formato libre que se pueden adjuntar mientras se crea el token. Los tokens se pueden duplicar sin privilegios especiales, por ejemplo, para crear un nuevo token con niveles más bajos de derechos de acceso para restringir el acceso de una aplicación iniciada. Windows utiliza un token de acceso cuando un proceso o subproceso intenta interactuar con objetos que tienen descriptores de seguridad ( objetos asegurables ). ^[2] En Windows, un token de acceso está representado por el objeto del sistema de tipo Token.

El servicio de inicio de sesión genera un token de acceso cuando un usuario inicia sesión en el sistema y las credenciales proporcionadas por el usuario se autentican en la base de datos de autenticación. La base de datos de autenticación contiene información de credenciales necesaria para construir el token inicial para la sesión de inicio de sesión, incluida su identificación de usuario, identificación del grupo principal, todos los demás grupos de los que forma parte y otra información. El token se adjunta al proceso inicial creado en la sesión del usuario y lo heredan los procesos posteriores creados por el proceso inicial. ^[2] Cada vez que un proceso de este tipo abre un identificador para cualquier recurso que tenga el control de acceso habilitado, Windows concilia los datos en el descriptor de seguridad del objeto de destino con el contenido del token de acceso efectivo actual. ^[3] El resultado de esta evaluación de verificación de acceso es una indicación de si se permite algún acceso y, de ser así, qué operaciones (lectura, escritura/modificación, etc.) puede realizar la aplicación que realiza la llamada.

Tipos de ficha

Hay dos tipos de tokens disponibles:

token primario

Los tokens primarios solo se pueden asociar a procesos y representan el tema de seguridad de un proceso. La creación de tokens primarios y su asociación a procesos son operaciones privilegiadas, que requieren dos privilegios diferentes en nombre de la separación de privilegios : en el escenario típico, el servicio de autenticación crea el token y un servicio de inicio de sesión lo asocia al shell del sistema operativo del usuario . Inicialmente, los procesos heredan una copia del token principal del proceso principal.

Ficha de suplantación

La suplantación es un concepto de seguridad implementado en Windows NT que permite que una aplicación de servidor "sea" temporalmente el cliente en términos de acceso a objetos seguros. La suplantación tiene cuatro niveles posibles: anónimo , que le da al servidor el acceso de un usuario anónimo/no identificado, identificación , que permite que el servidor inspeccione la identidad del cliente pero no usa esa identidad para acceder a objetos, suplantación , que permite que el servidor actúe en nombre del cliente, y delegación , igual que la suplantación pero extendida a sistemas remotos a los que se conecta el servidor (mediante la conservación de credenciales). El cliente puede elegir el nivel máximo de suplantación (si lo hubiera) disponible para el servidor como parámetro de conexión. La delegación y la suplantación son operaciones privilegiadas (la suplantación inicialmente no lo era, pero un descuido histórico en la implementación de las API de cliente al no restringir el nivel predeterminado a "identificación", permitiendo que un servidor sin privilegios se hiciera pasar por un cliente privilegiado no dispuesto, lo requería). Los tokens de suplantación solo se pueden asociar a subprocesos y representan el tema de seguridad de un proceso de cliente . Los tokens de suplantación generalmente se crean y asocian implícitamente al hilo actual mediante mecanismos de IPC como DCE RPC , DDE y canalizaciones con nombre .

Contenido de una ficha

Un token se compone de varios campos, que incluyen: ^[4]

• un identificador.
• el identificador de la sesión de inicio de sesión asociada. La sesión la mantiene el servicio de autenticación y la completan los paquetes de autenticación con una colección de toda la información ( credenciales ) que el usuario proporcionó al iniciar sesión. Las credenciales se utilizan para acceder a sistemas remotos sin necesidad de que el usuario se vuelva a autenticar. ( inicio de sesión único ), siempre que todos los sistemas involucrados compartan una autoridad de autenticación (por ejemplo, un servidor de tickets Kerberos )
• el identificador de usuario. Este campo es el más importante y es estrictamente de solo lectura.
• los identificadores de los grupos de los que forma parte el usuario (o, más precisamente, el sujeto). Los identificadores de grupo no se pueden eliminar, pero se pueden deshabilitar o hacer que sean "solo denegados". Como máximo, uno de los grupos se designa como ID de sesión , un grupo volátil que representa la sesión de inicio de sesión y permite el acceso a objetos volátiles asociados a la sesión, como la pantalla.
• los identificadores de grupo restrictivo (opcional). Este conjunto adicional de grupos no otorga acceso adicional, pero lo restringe aún más: el acceso a un objeto solo está permitido si también está permitido a uno de estos grupos. Los grupos restringidos no se pueden eliminar ni desactivar. Los grupos de restricción son una incorporación reciente y se utilizan en la implementación de entornos sandbox .
• los privilegios, es decir, capacidades especiales que tiene el usuario. La mayoría de los privilegios están deshabilitados de forma predeterminada para evitar daños causados ​​por programas que no se preocupan por la seguridad. A partir de Windows XP Service Pack 2 y Windows Server 2003, los privilegios se pueden eliminar permanentemente de un token mediante una llamada a AdjustTokenPrivileges()con el SE_PRIVILEGE_REMOVEDatributo.
• el propietario predeterminado, el grupo principal y la ACL del token creado por el sujeto asociado al token.

Ver también

• Clave API
• Identidad basada en reclamos
• ID de sesión
• Token web JSON

Referencias

1. "Token de acceso: definición, arquitectura, uso y más". Okta . Consultado el 8 de junio de 2022 .
2. "Fichas de acceso". MSDN . Consultado el 8 de octubre de 2007 .
3. "Comprobación de acceso". MSDN . Consultado el 13 de febrero de 2014 .
4. "Cómo funcionan los tokens de acceso". MSDN . Consultado el 13 de febrero de 2014 .