Come tutti i documenti FIDO Alliance affermano, i protocolli U2F FIDO non dovrebbero mai essere in grado di abusare per identificare se un utente ha più account con un servizio, o per servizi di collusione e scoprire l'identità di un utente specifico.
Quindi, quando faccio una richiesta API WebAuthentication, il numero seriale del mio dispositivo viene inviato nel certificato di attestazione?
Questo succede con Yubico Security Key, Yubico 4, Key-ID (Feitian Technologies sotto il cofano) e non ne sono sicuro al 100%, ma sembra che anche l'HyperFIDO potrebbe farlo.
Questo sembra qualcosa che possa collegare direttamente un utente a un servizio specifico. Per non parlare del fatto che se ci fosse una violazione futura in cui si scopre che questi produttori hanno un database che collega i periodici per padroneggiare i segreti, questo sarebbe un incubo.
Rispondi per attenuare le mie paure (o addirittura confermale, se questa è la realtà).
(modifica: ecco un codice che mostra dove può Non tutti i dispositivi mostreranno qui un numero seriale, ma se si stampano i dati binari del certificato di attestazione come ASCII è chiaramente visibile.Però presto un po 'di codice in modo che si possa vedere da soli.