Jak być może już wiesz, standard Universal 2nd Factor (U2F) to standard uwierzytelniania dwuskładnikowego, który umożliwia użytkownikom uwierzytelnianie w aplikacjach internetowych przy użyciu token sprzętowy USB.
Czytając ten standard, odkryłem, że organizacja Fast IDentity Online (FIDO) Alliance, która stworzyła standard U2F, ma również inny standard, który stworzyli mniej więcej w tym samym czasie, zwany Universal Struktura uwierzytelniania (UAF), która wydaje się bardzo podobna do U2F:
( Źródło )
Te standardy wydają się bardzo podobne, a jedyną istotną różnicą jest to, jakie uwierzytelnianie mechanizm jest używany w kroku 2. Jednak dalsze czytanie sugeruje, że UAF pozwala na wiele różnych mechanizmów uwierzytelniania w kroku 2 :
Obsługa FIDO bez hasła jest suppo rted przez protokół Universal Authentication Framework (UAF). W tym doświadczeniu użytkownik rejestruje swoje urządzenie w usłudze online, wybierając lokalny mechanizm uwierzytelniania, taki jak przeciągnięcie palcem, patrzenie w kamerę, mówienie do mikrofonu, wprowadzanie kodu PIN itp. Protokół UAF pozwala usłudze wybrać, które mechanizmy są prezentowane użytkownikowi.
Mając to na uwadze, dlaczego U2F jest w ogóle oddzielnym standardem od UAF? Co takiego różni się w U2F, co gwarantuje, że jest to zupełnie inny standard, a nie tylko inny mechanizm uwierzytelniania dla UAF?
Komentarze
- Zobacz też: security.stackexchange.com/q/71590/29865
- Oprócz wyżej wymienionego łącza standard U2F został ukończony wcześniej Urządzenia UAF i U2F były dostępne. Więc gdyby próbowali zaprojektować U2F w UAF, nie wjechaliby na drogę (jeśli jeszcze tam są)
Odpowiedź
Z technicznego punktu widzenia twoje pytanie ma sens.
U2F i UAF były popychane przez bardzo różnych aktorów / graczy . UAF był wspierany ( kaszel nękany kaszlem ) przez firmy biometryczne i nigdy nie wystartował z wielu powodów. U2F to prostsze, rozsądne rozwiązanie, które jest obecnie w dużej mierze przyjęte przez główne sieci dostawcy usług takich jak Facebook, usługi Google (w tym Gmail, Youtube, Google Ad, itp.), Github, Dropbox, FastMail, Dashlane, Salesforce itp.
Na początku nie było prawdziwych kompleksowych perspektyw, ale teraz może być inaczej. W rzeczywistości, w aktualnym projekcie kolejnego standardu FIDO o nazwie „WebAuthN” (który kiedyś również nazywał się FIDO 2.0), możemy postrzegać jako nieporządny następcę UAF, FIDO U2F może być używany jako „Format oświadczenia o zaświadczeniu” jako możesz zobaczyć tutaj: https://www.w3.org/TR/2017/WD-webauthn-20170216/
Twoje pytanie ma sens i miejmy nadzieję, że w w przyszłości podążamy tą ścieżką.
Odpowiedź
Krótko mówiąc, UAF będzie pełnić rolę jednoskładnikowego uwierzytelniania . Osiąga się to głównie za pomocą biometrii w celu zastąpienia haseł, aby zastąpić „to, co wiesz”, „kim jesteś”, oprócz niektórych technik kryptograficznych, takich jak PKI.
U2F nadal pełni rolę drugiego czynnika („co masz”) oprócz nazwy użytkownika / hasła („co wiesz”).
Ta właściwość całkowicie różni UAF od U2F ; dlatego istnieją dwa standardy. Z drugiej strony UAF ma więcej operacji niż U2F, co czyni go bardziej złożonym.