Privacy delle chiavi U2F

5

Se utilizzo la stessa chiave U2F per due account su alcuni servizi, il servizio potrebbe rilevarlo e corrispondere agli account?

Equivalentemente, se avessi usato la stessa chiave U2F per due diversi servizi, i servizi potrebbero essere in collusione per far corrispondere gli account tra loro?

    
posta Colonel Panic 25.10.2015 - 11:41
fonte

1 risposta

2

Supponendo che il dispositivo supporti la generazione e l'utilizzo di più chiavi, l'identificazione delle informazioni non è condivisa tra i servizi mediante l'utilizzo di U2F.

Probabilmente troverai il seguente commento da Yubico per essere interessante:

Each user can also choose to have multiple identities, including anonymous (no personal information associated with the identity). A U2F device generates a new pair of keys for every service, the public key is only stored on the specific service it connects to. With this approach no secrets are shared among service providers, and even low-cost U2F devices can support any number of services.

Le domande frequenti di Google riguardanti i dispositivi U2F forniscono una risposta simile:

Is my privacy protected when I use my Security Key with multiple websites?

Since a Security Key can work with multiple websites, the FIDO U2F protocol was designed from the ground-up to ensure user privacy. A Security Key device cannot be queried for a unique identifier that could be used to track a user across multiple sites. Instead, a Security Key registers a unique credential with each website that it’s used with. These credentials are designed such that the websites cannot "compare notes" and identify the same user across websites by their Security Key.

    
risposta data 26.10.2015 - 04:29
fonte

Leggi altre domande sui tag