Revoca e rigenerazione in FIDO U2F / FIDO UAF

3

Uno dei vantaggi dell'utilizzo di app Strong Authentication basate su software (ad esempio i token software RSA SecurID) è che se il dispositivo che esegue l'app di generazione Token viene compromesso o perso, l'ID può essere revocato da un sistema centralizzato e alla fine -user ha fornito un nuovo ID.

Come viene affrontato in FIDO UAF / FIDO U2F? L'utente deve andare individualmente e revocare la registrazione FIDO da ciascun servizio che sta utilizzando per autenticare l'utilizzo di quel dispositivo FIDO?

    
posta Saqib Ali 18.01.2015 - 03:04
fonte

1 risposta

5

Sì, devi revocare ogni servizio. Uno degli elementi di design di U2F è che un sito X non può in alcun modo testare o rivelare se il sito Y è registrato sul dispositivo U2F. Inoltre, è anche progettato in modo che se qualcuno ha 2 account sul sito X, il sito X non può rilevare che quei 2 account sono memorizzati sullo stesso dispositivo U2F. Questo per garantire la privacy degli utenti in modo che più siti non possano tracciare lo stesso utente su siti diversi.

Avere uno schema di revoca rivelerebbe questo fatto al sito.

Non esiste un modo standardizzato di revoca e rigenerazione, ma ogni sito deve implementare il proprio schema in base ai requisiti di sicurezza. Uno schema può essere che usando solo il tuo nome utente / password, puoi revocare il tuo dispositivo U2F. Per legare quindi un nuovo dispositivo U2F al tuo account, uno schema potrebbe essere una lettera fisica con un codice monouso, Un altro schema potrebbe essere SMS in combinazione con un messaggio di posta elettronica. È inoltre possibile emettere un certificato di revoca. O anche 2 dispositivi U2F potrebbero essere collegati allo stesso account al momento dell'iscrizione, dove l'uso del secondo dispositivo U2F disabiliterebbe il primo, e quindi devi ordinare un terzo (che quindi deve essere attivato con il servizio in questione e questo terzo diventa la chiave di backup per la seconda ora attivata).

    
risposta data 18.01.2015 - 05:21
fonte

Leggi altre domande sui tag