Dal punto di vista del flusso di credenziali, qual è la differenza tra i servizi Web FIDO UAF e FIDO 2.0?

8

Lo standard FIDO consente ai dispositivi e agli schemi di autenticazione di essere certificati come UAF o U2F. Ciò consente una flessibilità unificata autenticazione e registrazione facoltativa del secondo fattore e registrazione.

Distribuzione:

Domanda

Quanto è diversa la API Web FIDO 2.0 di W3C da l'attuale iscrizione per Relying Parties come descritto qui e in questo sceneggiatura ?

    
posta random65537 31.05.2016 - 16:37
fonte

1 risposta

5

Ottima domanda :) Una breve nota per spiegare il lungo silenzio a riguardo: Nessuno è stato davvero in grado di rispondere a questa domanda fino a poco tempo fa perché c'erano molti dibattiti sui possibili collegamenti tra FIDO "1.0" e "2.0" (principalmente perché c'erano nessun dettaglio reale su FIDO 2.0 per un lungo periodo ...).

Per prima cosa, i dettagli della tua domanda sono obsoleti (è normale). All'interno delle discussioni tecniche di FIDO Alliance, FIDO 2.0 non è più utilizzato e il collegamento al gruppo di sottomissione w3c aggiornato viene eseguito con un nuovo nome: "Web Authentication" o "WebAuthN" e puoi seguire le notizie qui: link

Si può dimenticare ogni articolo sulle prime vecchie implementazioni Microsoft "FIDO 2", questo era puramente sperimentale (* cough * marketing BS * cough *) e fatto anche prima che fosse disponibile la prima bozza delle specifiche. Ora Microsoft fa davvero parte del lavoro "WebAuthN" in corso, quindi la documentazione MS è in fase di aggiornamento di volta in volta ... ma per ora non ci sono implementazioni reali esistenti, poiché le specifiche devono essere ancora finalizzate. Sarà fatto "presto" (entro la fine dell'anno).

Ora la vera - ancora parziale - risposta puoi arrivare a questa data (23 febbraio 2017) ...

La recentissima 4a bozza di lavoro pubblica di "WebAuthN" (ex-FIDO2) è disponibile qui: link e puoi vedere che è uguale all'ultima versione ufficiale ( link ). Sarai in grado di trovare informazioni sulla nuova registrazione delle credenziali e sulla verifica dell'asserzione dell'autenticazione ... e per la prima volta, troverai una nuova sezione "FIDO U2F Attestation Statement Format" che è il primo passo per trovare un link mancante tra FIDO U2F e WebAuthN (ex-FIDO2).

(Non penso che ci sia o ci sarà alcun tipo di compatibilità tra UAF e WebAuthN ma consideriamo WebAuthN come il nuovo UAF non disordinato)

Spero sia stato utile:)

    
risposta data 23.02.2017 - 18:07
fonte