Som du kanske redan är medveten om är Universal 2nd Factor (U2F) -standarden en standard för andrafaktorautentisering som tillåter användare att autentisera för webbapplikationer med en USB-maskinvarutoken.
Medan jag läste igenom denna standard upptäckte jag att Fast IDentity Online (FIDO) Alliance, som skapade U2F-standarden, också har en annan standard de skapade ungefär samma tid som kallades Universal Authentication Framework (UAF), som verkar väldigt lik U2F:
( Källa )
Dessa standarder verkar mycket lika, med den enda signifikanta skillnaden är vilken autentisering mekanismen används i steg 2. Ytterligare läsning föreslår dock att UAF möjliggör flera olika autentiseringsmekanismer i steg 2 :
Den lösenfria FIDO-upplevelsen är antagande fastställs av UAF-protokollet (Universal Authentication Framework). I den här upplevelsen registrerar användaren sin enhet till onlinetjänsten genom att välja en lokal autentiseringsmekanism som att dra ett finger, titta på kameran, prata i mikrofonen, ange en PIN-kod etc. UAF-protokollet gör att tjänsten kan välja vilken mekanismer presenteras för användaren.
Med tanke på detta, varför är U2F ens en separat standard från UAF i första hand? Vad är så annorlunda med U2F som garanterar att det är en helt annan standard snarare än bara en annan autentiseringsmekanism för UAF?
Kommentarer
- Se även: security.stackexchange.com/q/71590/29865
- Förutom den ovan nämnda länken slutfördes U2F-standarden innan UAF- och U2F-enheter fanns tillgängliga. Så om de försökte utforma U2F till UAF, skulle de inte komma in på vägen (om den är ens där ännu)
Svar
Ur teknisk synvinkel är din fråga helt vettig.
U2F och UAF har drivits av mycket olika aktörer / spelare . UAF fick stöd ( hosta plågad hosta ) av biometriska företag och tog aldrig fart av många anledningar. U2F är en enklare lösning utan nonsens som nu till stor del antas av större webb tjänsteleverantörer som Facebook, Googles tjänster (inklusive Gmail, Youtube, Google Ad, etc.), Github, Dropbox, FastMail, Dashlane, Salesforce, etc.
Först fanns det inga riktiga allt-in-on-perspektiv, men det kan vara annorlunda nu. I det nuvarande utkastet till nästa FIDO-standard som heter ”WebAuthN” (som tidigare kallades FIDO 2.0 också) kan vi se som en icke-rörig UAF-efterträdare, FIDO U2F kan användas som ett ”Attestation Statement Format” som du kan se här: https://www.w3.org/TR/2017/WD-webauthn-20170216/
Så din fråga är vettig och förhoppningsvis i framtid följer vi den här vägen.
Svar
Kort sagt, UAF kommer att ha en roll som en enfaktorautentisering . Detta uppnås huvudsakligen genom biometri för att ersätta lösenord, för att ersätta ”vad du vet” med ”vem du är”, förutom några kryptotekniker som PKI.
U2F har fortfarande en roll som en andra faktor (”vad du har”) utöver användarnamn / lösenord (”vad du vet”).
Den här egenskapen gör UAF helt annorlunda än U2F ; det är därför det finns två standarder. Å andra sidan har UAF fler operationer än U2F vilket gör det mer komplext.