V3.6.1 Federated Re-authentication

Requirement:

Verify that Relying Parties (RPs) specify the maximum authentication time to Credential Service Providers (CSPs) and that CSPs re-authenticate the user if they haven't used a session within that period.

Explanation:

Federated Re-authentication: Federated authentication позволяет пользователям получать доступ к нескольким приложениям или сервисам в различных доменах или организациях без необходимости создавать отдельные учетные данные для каждого из них. Вместо этого аутентификация пользователя выполняется доверенным сторонним поставщиком идентификационных данных (CSP). После аутентификации пользователя Relying Parties (RP) используют эту доверенную аутентификацию для предоставления доступа к своим сервисам.

Relying Parties (RPs): Это приложения или сервисы, которые используют аутентификацию, выполняемуюCredential Service Providers (CSPs). RP доверяют идентификационной информации, предоставляемой CSP.

Credential Service Providers (CSPs): Это доверенные сторонние поставщики идентификационных данных, отвечающие за аутентификацию пользователей и предоставление идентификационной информации RP.

Maximum Authentication Time: Это максимальный период времени, в течение которого сессия аутентификации считается действительной. Важно установить соответствующее временное ограничение для сеансов аутентификации, чтобы снизить риск несанкционированного доступа в случае компрометации сессии пользователя.

Re-authentication: Это процесс повторной проверки подлинности пользователя после определенного периода бездействия или по истечении максимального времени аутентификации: Она позволяет убедиться в том, что пользователь все еще существует и имеет право продолжать пользоваться услугами или приложениями.

Требование определяет, что Relying Parties (RPs) должны устанавливать и сообщать Credential Service Providers (CSPs) максимальную продолжительность, в течение которой сессия аутентификации остается действительной. Это означает, что RP должны установить разумное и безопасное максимальное время аутентификации, исходя из конкретного случая использования и допустимого риска. Например, это может быть несколько минут, часов или дней, в зависимости от чувствительности данных приложения и потенциальных последствий несанкционированного доступа.

После того как максимальное время аутентификации определено и доведено до сведения CSP, CSP отвечают за его соблюдение. Они должны отслеживать продолжительность сессии пользователя и, если пользователь был неактивен или не использовал свою сессию в течение указанного периода, CSP должны заставить его пройти повторную аутентификацию. Повторная аутентификация обеспечивает повторное подтверждение подлинности пользователя, обеспечивая дополнительный уровень безопасности и снижая риски, связанные с длительными и потенциально скомпрометированными сессиями.

Принудительная повторная аутентификация по истечении заданного периода времени позволяет обнаружить и предотвратить несанкционированный доступ, который может возникнуть в результате оставления пользователем аутентифицированной сессии без присмотра на общем или публичном устройстве или в результате атак перехвата сессии.

Целью данного требования является повышение безопасности federated authentication систем за счет контроля продолжительности сессий аутентификации и обеспечения повторной аутентификации пользователей при необходимости. Это позволяет защититься от различных угроз безопасности и сохранить конфиденциальность и целостность конфиденциальных пользовательских данных.

Remediation:

Чтобы соответствовать требованию необходимо проверить текущие процессы аутентификации и управления сессиями и внести необходимые коррективы: 

Define a Maximum Authentication Time: Определите максимальный период времени, в течение которого сессия аутентификации должна оставаться действительной, исходя из требований безопасности и оценки рисков приложения.

Communicate with Credential Service Providers (CSPs): Убедитесь, что CSP знают об установленном максимальном времени аутентификации. Для этого может потребоваться настройка параметров или API для передачи этой информации CSP.

Implement Session Monitoring: Разработать механизм мониторинга пользовательских сессий и отслеживания активности и неактивности сессий. Такой мониторинг может осуществляться на стороне сервера или с помощью токенов, предоставляемых CSP.

Re-authentication Trigger: Как только сессия пользователя приближается к заданному максимальному времени аутентификации или превышает его из-за неактивности, запускается процесс повторной аутентификации. При этом пользователь может быть перенаправлен на CSP для повторной аутентификации.

Re-authentication Mechanism: Процесс повторной аутентификации должен быть таким же надежным, как и процесс первоначальной аутентификации. От пользователей может потребоваться повторный ввод учетных данных (например, имени пользователя и пароля) или использование других методов многофакторной аутентификации, в зависимости от требуемого уровня безопасности.

Clear Session on Logout: Реализуйте механизм выхода из системы, который очищает сессию пользователя и связанные с ней токены аутентификации из систем Relying Parties (RP) и CSP, когда пользователь активно выходит из системы. Это позволяет гарантировать, что активная сессия не останется доступной после явного выхода пользователя из системы.

Secure Session Management: Соблюдайте правила безопасного управления сессиями, например, генерируйте надежные идентификаторы сессий, используйте флаги HttpOnly и Secure в cookies сессий и правильно управляйте тайм-аутами сессий.

Regular Security Reviews and Audits: Регулярно проводите обзоры и аудиты системы безопасности для выявления и устранения потенциальных уязвимостей и недостатков в federated authentication системе.

Educate Users: Объясните пользователям важность выхода из учетных записей после выполнения заданий и риски, связанные с оставлением сессий аутентификации без внимания.

Additional: