Perché FIDO U2F è uno standard completamente diverso da FIDO UAF invece che solo un sottoinsieme?

Question

Perché FIDO U2F è uno standard completamente diverso da FIDO UAF invece che solo un sottoinsieme?

#1 da (4 voti)
#2 da (3 voti)

6

Come forse già saprai, lo standard Universal 2nd Factor (U2F) è uno standard per l'autenticazione a 2 fattori che consente agli utenti di autenticare le applicazioni Web utilizzando un token hardware USB.

Durante la lettura di questo standard, ho scoperto che l'alleanza FIDO (Fast IDentity Online), che ha creato lo standard U2F, ha anche un altro standard che hanno creato nello stesso periodo chiamato Universal Authentication Framework (UAF), che sembra molto simile a U2F:

( Source )

Questi standard sembrano molto simili, con l'unica differenza significativa che è il meccanismo di autenticazione utilizzato nel passaggio 2. Tuttavia, ulteriori letture suggeriscono che UAF consente molteplici meccanismi di autenticazione diversi nel passaggio 2 :

The passwordless FIDO experience is supported by the Universal Authentication Framework (UAF) protocol. In this experience, the user registers their device to the online service by selecting a local authentication mechanism such as swiping a finger, looking at the camera, speaking into the mic, entering a PIN, etc. The UAF protocol allows the service to select which mechanisms are presented to the user.

Con questo in mente, perché U2F è anche uno standard separato da UAF in primo luogo? Cosa c'è di così diverso in U2F che lo garantisce essere uno standard completamente diverso piuttosto che un altro meccanismo di autenticazione per UAF?

authentication multi-factor u2f fido

posta Ajedi32 21.02.2017 - 17:05

fonte

2 risposte

Leggi altre domande sui tag authentication multi-factor u2f fido

Se il mio telefono per l'autenticazione a due fattori viene rubato, l'utente malintenzionato può accedere al mio account tramite una reimpostazione della password? La funzione eval () di PHP è vulnerabile all'iniezione di codice quando si esegue una stringa creata da un array?

score 4 · Answer 1

Da un punto di vista tecnico, la tua domanda è totalmente sensata.

U2F e UAF sono stati spinti da attori / attori molto diversi. UAF è stato sostenuto ( tosse afflitto tosse ) dalle aziende biometriche ... e non è mai decollato per molte ragioni. U2F è una soluzione semplice e priva di assurdità che è ora largamente adottata dai principali provider di servizi web come Facebook, servizi di Google (inclusi Gmail, Youtube, Google Ad, ecc.), Github, Dropbox, FastMail, Dashlane, Salesforce ...

All'inizio non esisteva una vera prospettiva all-in-on ... ma potrebbe essere diverso ora ... in effetti, nella bozza attuale del prossimo standard FIDO chiamato "WebAuthN" (che si chiamava FIDO 2.0) possiamo vedere come un successore UAF non disordinato, FIDO U2F può essere usato come un "Formato di attestazione" come potete vedere qui: link

Quindi la tua domanda rende sens e, si spera, in futuro stiamo seguendo questo percorso ...

score 3 · Answer 2

In breve, l'UAF avrà un ruolo di autenticazione a fattore singolo che viene principalmente raggiunta dalla biometria per sostituire le password, per sostituire "ciò che sai" con "chi sei", oltre ad alcune tecniche crittografiche come PKI.

U2F ha ancora un ruolo come secondo fattore ("quello che hai") oltre a nome utente / password ("ciò che sai").

Questa proprietà rende UAF completamente diverso da U2F; ecco perché ci sono due standard. D'altra parte, l'UAF ha più operazioni di U2F che lo rende più complesso.