După cum ați putea fi deja conștient, standardul Universal 2nd Factor (U2F) este un standard pentru autentificarea cu factor 2 care permite utilizatorilor să se autentifice în aplicații web utilizând un simbol hardware USB.
În timp ce citeam acest standard, am descoperit că Alianța Fast IDentity Online (FIDO), care a creat standardul U2F, are și un alt standard pe care l-au creat în același timp numit Universal Authentication Framework (UAF), care pare foarte asemănător cu U2F:
( Sursă )
Aceste standarde par foarte asemănătoare, singura diferență semnificativă fiind ce autentificare mecanismul este utilizat în pasul 2. Cu toate acestea, lecturi suplimentare sugerează că UAF permite multiple mecanisme de autentificare diferite în pasul 2 :
Experiența FIDO fără parolă este suppo rted de protocolul Universal Authentication Framework (UAF). În această experiență, utilizatorul își înregistrează dispozitivul la serviciul online selectând un mecanism de autentificare local, cum ar fi glisarea unui deget, privirea la cameră, vorbirea în microfon, introducerea unui cod PIN, etc. Protocolul UAF permite serviciului să selecteze care mecanismele sunt prezentate utilizatorului.
Având în vedere acest lucru, de ce este U2F chiar și un standard separat de UAF? Ce este atât de diferit la U2F, care justifică faptul că este un standard complet diferit decât un alt mecanism de autentificare pentru UAF?
Comentarii
- Vezi și: security.stackexchange.com/q/71590/29865
- În plus față de linkul menționat mai sus, standardul U2F a fost finalizat înainte Dispozitivele UAF și U2F erau disponibile. Deci, dacă ar încerca să proiecteze U2F în UAF, nu ar intra pe drum (dacă este chiar acolo, încă)
Răspuns
Din punct de vedere tehnic, întrebarea dvs. are sens.
U2F și UAF au fost împinse de actori / jucători foarte diferiți . UAF a fost susținută ( tuse afectată tuse ) de către companiile de biometrie și nu a decolat niciodată din multe motive. U2F este o soluție mai simplă, care este acum în mare măsură adoptată de web furnizori de servicii precum Facebook, servicii Google (inclusiv Gmail, Youtube, Google Ad etc.), Github, Dropbox, FastMail, Dashlane, Salesforce etc.
La început, nu existau perspective reale all-in-on, dar poate fi diferit acum. De fapt, în proiectul curent al următorului standard FIDO numit „WebAuthN” (care se numea și FIDO 2.0), putem vedea ca un succesor UAF neîncurcat, FIDO U2F poate fi folosit ca „Format de declarație de atestare” ca puteți vedea aici: https://www.w3.org/TR/2017/WD-webauthn-20170216/
Deci întrebarea dvs. are sens și, sperăm, în viitor urmăm această cale.
Răspuns
Pe scurt, UAF va avea un rol de autentificare cu un singur factor . Aceasta se realizează în principal prin biometrie pentru a înlocui parolele, pentru a înlocui „ceea ce știți” cu „cine sunteți”, pe lângă unele tehnici de criptare precum PKI.
U2F are încă un rol de al doilea factor („ceea ce aveți”) în plus față de numele de utilizator / parola („ceea ce știți”).
Această proprietate face UAF complet diferit de U2F ; de aceea există două standarde. Pe de altă parte, UAF are mai multe operațiuni decât U2F, ceea ce îl face mai complex.