Jak již možná víte, standard Universal 2nd Factor (U2F) je standardem pro ověřování 2. faktorem, který uživatelům umožňuje ověřovat webové aplikace pomocí hardwarový token USB.
Při čtení tohoto standardu jsem zjistil, že aliance Fast IDentity Online (FIDO), která vytvořila standard U2F, má také další standard, který vytvořili přibližně ve stejnou dobu, a nazývá se Universal Authentication Framework (UAF), který se zdá velmi podobný U2F:
( Zdroj )
Tyto standardy se zdají velmi podobné, jediný podstatný rozdíl je v tom, jaké ověřování mechanismus se používá v kroku 2. Další čtení však naznačuje, že UAF umožňuje v kroku 2 více různých mechanismů ověřování :
Bezdrátový FIDO zážitek je suppo protokolem Universal Authentication Framework (UAF). V tomto prostředí uživatel zaregistruje své zařízení do služby online výběrem místního ověřovacího mechanismu, jako je přejetí prstem, pohled na kameru, mluvení do mikrofonu, zadání PIN atd. Protokol UAF umožňuje službě vybrat, které mechanismy jsou uživateli prezentovány.
Proč je tedy U2F vůbec na prvním místě samostatný standard od UAF? V čem je U2F tak odlišný, že zaručuje, že jde o zcela odlišný standard, než jen o další ověřovací mechanismus pro UAF?
Komentáře
- Viz také: security.stackexchange.com/q/71590/29865
- Kromě výše uvedeného odkazu byl standard U2F dokončen před Zařízení UAF a U2F byla k dispozici. Takže pokud by se pokusili navrhnout U2F do UAF, nedostali by se na silnici (pokud tam ještě jsou)
Odpověď
Z technického hlediska má vaše otázka naprosto smysl.
U2F a UAF byly tlačeny velmi odlišnými aktéry / hráči . Společnost UAF byla podpořena ( kašlem sužována kašlem ) biometrickými společnostmi a nikdy nevznikla z mnoha důvodů. U2F je jednodušší řešení bez nesmyslů, které je nyní z velké části přijato hlavními webovými poskytovatelé služeb, jako je Facebook, služby Google (včetně Gmailu, Youtube, Google Ad atd.), Github, Dropbox, FastMail, Dashlane, Salesforce atd.
Zpočátku neexistovaly žádné skutečné perspektivy typu vše v jednom, ale nyní se to může lišit. Ve skutečnosti v aktuálním návrhu dalšího standardu FIDO s názvem „WebAuthN“ (který se také dříve nazýval FIDO 2.0) můžeme vidět jako neuspořádaného nástupce UAF, FIDO U2F lze použít jako „formát prohlášení o atestaci“ jako můžete vidět zde: https://www.w3.org/TR/2017/WD-webauthn-20170216/
Takže vaše otázka má smysl a doufejme, že v do budoucna se vydáme touto cestou.
Odpověď
Stručně řečeno, UAF bude mít roli jednofaktorového ověřování . Toho se dosahuje hlavně pomocí biometrie za účelem nahrazení hesel, kromě nahrazení „toho, co víte“, „kým jste“, kromě některých krypto technik, jako je PKI.
U2F má kromě uživatelského jména / hesla („co víš“) i nadále roli druhého faktoru („co máte“).
Díky této vlastnosti se UAF zcela liší od U2F ; proto existují dva standardy. Na druhé straně má UAF více operací než U2F, což je činí složitějšími.