Comme vous le savez peut-être déjà, la norme Universal 2nd Factor (U2F) est une norme dauthentification de second facteur qui permet aux utilisateurs de sauthentifier auprès dapplications Web à laide de un jeton matériel USB.
En lisant sur cette norme, jai découvert que la Fast IDentity Online (FIDO) Alliance, qui a créé la norme U2F, a également une autre norme quils ont créée à peu près à la même époque appelée Universal Authentication Framework (UAF), qui semble très similaire à U2F:
( Source )
Ces normes semblent très similaires, la seule différence significative étant lauthentification mécanisme est utilisé à létape 2. Cependant, une lecture plus approfondie suggère que UAF permet plusieurs mécanismes dauthentification différents à létape 2 :
Lexpérience FIDO sans mot de passe est suppo rted par le protocole UAF (Universal Authentication Framework). Dans cette expérience, lutilisateur enregistre son appareil sur le service en ligne en sélectionnant un mécanisme dauthentification local tel que glisser un doigt, regarder la caméra, parler dans le micro, entrer un code PIN, etc. Le protocole UAF permet au service de sélectionner lequel les mécanismes sont présentés à lutilisateur.
Dans cet esprit, pourquoi U2F est-il même un standard distinct de lUAF en premier lieu? Quy a-t-il de si différent à propos de U2F qui justifie quil sagisse dun standard entièrement différent plutôt que dun simple mécanisme dauthentification pour UAF?
Commentaires
- Voir aussi: security.stackexchange.com/q/71590/29865
- En plus du lien mentionné ci-dessus, la norme U2F était terminée avant Des appareils UAF et U2F étaient disponibles. Donc, sils essayaient de concevoir U2F dans UAF, ils nentreraient pas sur la route (même si cest encore là)
Réponse
Dun point de vue technique, votre question prend tout son sens.
U2F et UAF ont été poussés par des acteurs / joueurs très différents . UAF a été soutenu ( toux en proie à toux ) par des sociétés de biométrie et na jamais décollé pour de nombreuses raisons. U2F est une solution plus simple et pragmatique qui est maintenant largement adoptée par les principaux sites Web des fournisseurs de services comme Facebook, les services Google (y compris Gmail, Youtube, Google Ad, etc.), Github, Dropbox, FastMail, Dashlane, Salesforce, etc.
Au début, il ny avait pas de véritables perspectives tout-en-un, mais cela peut être différent maintenant. En fait, dans le projet actuel de la prochaine norme FIDO appelée « WebAuthN » (qui sappelait également FIDO 2.0), nous pouvons voir comme un successeur UAF non salissant, FIDO U2F peut être utilisé comme un « format de déclaration dattestation » vous pouvez voir ici: https://www.w3.org/TR/2017/WD-webauthn-20170216/
Donc, votre question a du sens et, espérons-le, dans le à lavenir, nous suivrons ce chemin.
Réponse
En bref, UAF aura un rôle de authentification à facteur unique . Ceci est principalement réalisé par la biométrie afin de remplacer les mots de passe, de remplacer «ce que vous savez» par «qui vous êtes», en plus de certaines techniques de cryptographie comme PKI.
U2F a toujours un rôle de second facteur (« ce que vous avez ») en plus du nom dutilisateur / mot de passe (« ce que vous savez »).
Cette propriété rend UAF complètement différent de U2F ; cest pourquoi il y a deux standards. Dun autre côté, UAF a plus dopérations que U2F, ce qui le rend plus complexe.