Come forse già saprai, lo standard Universal 2nd Factor (U2F) è uno standard per lautenticazione a 2 ° fattore che consente agli utenti di autenticarsi alle applicazioni web utilizzando un token hardware USB.
Durante la lettura di questo standard, ho scoperto che la Fast IDentity Online (FIDO) Alliance, che ha creato lo standard U2F, ha anche un altro standard che hanno creato nello stesso periodo chiamato Universal Authentication Framework (UAF), che sembra molto simile a U2F:
( Sorgente )
Questi standard sembrano molto simili, con lunica differenza significativa quale autenticazione meccanismo viene utilizzato nel passaggio 2. Tuttavia, ulteriori letture suggeriscono che UAF consente più meccanismi di autenticazione diversi nel passaggio 2 :
Lesperienza FIDO senza password è suppo rted dal protocollo Universal Authentication Framework (UAF). In questa esperienza, lutente registra il proprio dispositivo al servizio online selezionando un meccanismo di autenticazione locale come lo scorrimento di un dito, guardando la telecamera, parlando nel microfono, inserendo un PIN, ecc. Il protocollo UAF consente al servizio di selezionare quale vengono presentati allutente.
Con questo in mente, perché U2F è anche uno standard separato da UAF in primo luogo? Cosa cè di così diverso in U2F da garantire che sia uno standard completamente diverso piuttosto che un altro meccanismo di autenticazione per UAF?
Commenti
- Vedi anche: security.stackexchange.com/q/71590/29865
- Oltre al collegamento sopra citato, lo standard U2F era finito prima I dispositivi UAF e U2F erano disponibili. Quindi, se cercassero di progettare U2F in UAF, non sarebbero entrati in viaggio (se è ancora lì)
Risposta
Da un punto di vista tecnico, la tua domanda ha assolutamente senso.
U2F e UAF sono stati spinti da attori / giocatori molto diversi . UAF è stato sostenuto ( tosse afflitto tosse ) da società di biometria e non è mai decollato per molte ragioni. U2F è una soluzione più semplice e pratica che è ora ampiamente adottata dai principali siti web fornitori di servizi come Facebook, servizi Google (inclusi Gmail, Youtube, Google Ad, ecc.), Github, Dropbox, FastMail, Dashlane, Salesforce, ecc.
Allinizio non cerano prospettive all-in-on reali, ma ora potrebbe essere diverso. Infatti, nellattuale bozza del prossimo standard FIDO chiamato “WebAuthN” (che si chiamava anche FIDO 2.0) possiamo vedere come un successore UAF non disordinato, FIDO U2F può essere usato come “Attestation Statement Format” come puoi vedere qui: https://www.w3.org/TR/2017/WD-webauthn-20170216/
Quindi la tua domanda ha senso e, si spera, nella futuro stiamo seguendo questa strada.
Risposta
In breve, UAF avrà un ruolo come autenticazione a fattore singolo . Ciò è ottenuto principalmente dalla biometria per sostituire le password, per sostituire “ciò che sai” con “chi sei”, oltre ad alcune tecniche crittografiche come PKI.
U2F ha ancora un ruolo come secondo fattore (“quello che hai”) oltre al nome utente / password (“quello che sai”).
Questa proprietà rende UAF completamente diverso da U2F ; ecco perché ci sono due standard. Daltra parte, UAF ha più operazioni di U2F, il che lo rende più complesso.