Nel contesto delle applicazioni a bassa e media sicurezza (cioè il 95% del web), perché l'U2F non è abbastanza buono da essere l'unico fattore?
Per quanto posso dire, U2F implementa in modo molto sicuro il fattore di autenticazione "qualcosa che hai". Ci sono molte app web in cui un fattore è abbastanza buono, ma abbiamo ancora tutti i problemi di usare le password (riutilizzarle, ricordarle, ecc.). Quindi, perché nessuno ha detto nulla sull'utilizzo dell'U2F da solo per l'autenticazione?
Ecco il problema con U2F come unico metodo di autenticazione: non esiste alcuna verifica che tu sia il legittimo proprietario del dispositivo U2F solo perché ce l'hai in tuo possesso. Se U2F fosse l'unica forma di autenticazione per tutto, sarebbe come avere una chiave master per la tua auto, casa, cassastrong, cassetta di sicurezza, porta / edificio per uffici e tutto il resto. Nella nostra situazione metaforica, se qualcuno ti rubasse quella chiave principale, avrebbe accesso a quasi tutto nella tua vita.
Ora puoi visualizzare il mio scenario metaforico " chiave principale " come se fosse una password, ma questo è il motivo per cui le persone sono incoraggiate a utilizzare diverse password diverse. L'utilizzo di password diverse è come avere più chiavi diverse. Piuttosto che avere una chiave che sblocca tutto, è meglio avere chiavi diverse. Se solo una chiave viene rubata da te, il ladro ha accesso solo a qualsiasi chiave rubata. (ad esempio, se un ladro ruba la chiave della tua auto, lui / lei può accedere solo alla tua auto.) Questa è ancora una situazione spiacevole, ma è molto meglio di quel ladro che ha accesso a tutto ciò che possiedi. Allo stesso modo, le persone sono incoraggiate a utilizzare password diverse, quindi se un "ladro" ha ottenuto una delle tue password, lui / lei avrebbe solo accesso a un numero limitato di account.
L'utilizzo di U2F è essenzialmente paragonabile all'utilizzo di una sola password per ogni sito Web e all'utilizzo di una sola chiave per ogni aspetto della tua vita. Non è né ragionevole né sicuro. Pertanto, U2F deve essere utilizzato solo come seconda forma di autenticazione in una struttura di autenticazione a due fasi.
Se qualcuno ruba il mio U2F, ottiene accesso illimitato al sito ogni che lo usa come un singolo fattore, finché non riesco a ricordare ogni sito che ho usato e lo revoco da tutti loro .
Il livello di sforzo per rubare un dispositivo U2F dal mio slot USB è di un ordine di grandezza inferiore a quello di rubare il database per il mio gestore di password più la password per sbloccarlo. E se questo è compromesso, almeno posso consultarlo per un elenco autorevole dei siti su cui ho bisogno di ruotare le mie password.
Il problema principale nell'utilizzo del token U2F come unico meccanismo di autenticazione è che il server non ha modo di identificare l'utente. Pertanto, il server non può inviare l'handle di chiavi corretto e non può decidere quale chiave pubblica utilizzare per la verifica della firma