Quali sono le differenze tra gli standard di autenticazione FIDO U2F e UAF?

Naviga le tue risposte
20

Google supporto recentemente annunciato per Universal 2nd Factor (U2F) l'autenticazione in Chrome e ha iniziato a consentire il meccanismo di autenticazione da utilizzare per l'autenticazione a 2 fattori tra i vari servizi Web. Dopo lettura su U2F sto iniziando ad apprezzare molto l'idea , ma ho anche notato che l'alleanza FIDO (Fast IDentity Online) (la stessa organizzazione che ha creato lo standard U2F) sembra avere un altro standard di autenticazione molto simile chiamato Universal Authentication Framework (UAF). A prima vista, questi due standard sembrano molto simili:

Con entrambi gli standard, sembra che il sito web richieda l'autenticazione, l'utente si autentica con un dispositivo locale e il sito Web accetta quindi questa autenticazione e firma l'utente.

Le uniche differenze che posso vedere sulla superficie sono che sembra che FIDO intenda per UAF sostituire completamente le password, mentre U2F è inteso solo a sostituire il secondo fattore del processo di autenticazione. Sono molto incerto sul motivo alla base di questo, dato che entrambi i meccanismi di autenticazione sembrano essere così simili dal punto di vista dell'utente.

In che modo questi standard differiscono da un punto di vista di implementazione e sicurezza?

    
posta Ajedi32 24.10.2014 - 23:07
fonte

1 risposta

18

Sembra che tu abbia già finito. Universal Authentication Framework (UAF) è inteso come una sostituzione per l'autenticazione semplice, e Universal Second Factor (U2F) è destinato a sostituire l'autenticazione basata sul secondo tempo basata sul tempo. Anche se sembra che l'utente finale sperimenterà la stessa esperienza su entrambi i dispositivi, questo non sarà sempre il caso.

Con UAF, l'utente autentica un dispositivo con il sito Web e quindi utilizza un dispositivo biometrico da quel dispositivo in avanti. L'utente deve solo autenticarsi localmente da quel dispositivo in poi. Il sito Web può scegliere se continuare o meno a memorizzare una password (sembra stupida, ma è una scelta che il sito può fare).

Con U2F il servizio opzionalmente può richiedere un secondo fattore in qualsiasi momento. In questo caso l'utente dovrebbe avere un fob, USB o un secondo dispositivo per accedere / registrarsi . Ciò aumenta le possibilità che tu acceda solo a questo account, poiché per poter effettuare l'accesso dovresti avere più di uno dei tuoi dispositivi. La più recente implementazione è più sicura di un codice a 6 cifre basato sulla vecchia scuola, dato che la chiave di crittografia in fase di memorizzazione è autorizzata solo con il sito Web in cui l'hai impostata. Rende il phishing con richieste simili più difficili da realizzare.

    
risposta data 25.10.2014 - 20:11
fonte

Leggi altre domande sui tag

Come mantenere sicuro un server di hosting web condiviso? Alternative al keygen deprecato dell'HTML per i certificati client?