Wie Sie vielleicht bereits wissen, ist der U2F-Standard (Universal 2nd Factor) ein Standard für die Authentifizierung mit dem 2. Faktor, mit dem Benutzer sich bei Webanwendungen mit authentifizieren können ein USB-Hardware-Token.
Beim Lesen dieses Standards stellte ich fest, dass die Fast IDentity Online (FIDO) Alliance, die den U2F-Standard erstellt hat, auch einen anderen Standard hat, den sie ungefähr zur gleichen Zeit erstellt haben: Universal Authentication Framework (UAF), das U2F sehr ähnlich zu sein scheint:
( Quelle )
Diese Standards scheinen sehr ähnlich zu sein, mit dem einzigen signifikanten Unterschied, welche Authentifizierung vorliegt Der Mechanismus wird in Schritt 2 verwendet. Weitere Informationen legen jedoch nahe, dass UAF in Schritt 2 mehrere verschiedene Authentifizierungsmechanismen zulässt:
Die passwortlose FIDO-Erfahrung ist suppo Erstellt durch das Universal Authentication Framework (UAF) -Protokoll. In dieser Erfahrung registriert der Benutzer sein Gerät beim Onlinedienst, indem er einen lokalen Authentifizierungsmechanismus auswählt, z. B. einen Finger wischen, in die Kamera schauen, in das Mikrofon sprechen, eine PIN eingeben usw. Mit dem UAF-Protokoll kann der Dienst auswählen, welcher Dem Benutzer werden Mechanismen vorgestellt.
Warum ist U2F in diesem Sinne überhaupt ein von UAF getrennter Standard? Was ist an U2F so anders, dass es ein völlig anderer Standard als nur ein anderer Authentifizierungsmechanismus für UAF ist?
Kommentare
- Siehe auch: security.stackexchange.com/q/71590/29865
- Zusätzlich zu dem oben genannten Link wurde der U2F-Standard zuvor fertiggestellt UAF- und U2F-Geräte waren verfügbar. Wenn sie also versuchten, U2F in UAF umzuwandeln, würden sie nicht auf die Straße kommen (wenn es noch vorhanden ist)
Antwort
Aus technischer Sicht ist Ihre Frage absolut sinnvoll.
U2F und UAF wurden von sehr unterschiedlichen Akteuren / Spielern vorangetrieben UAF wurde von Biometrieunternehmen unterstützt ( Husten geplagt Husten ) und hat sich aus vielen Gründen nie durchgesetzt. U2F ist eine einfachere No-Nonsense-Lösung, die heute weitgehend von großen Web-Unternehmen übernommen wird Dienstleister wie Facebook, Google-Dienste (einschließlich Google Mail, Youtube, Google Ad usw.), Github, Dropbox, FastMail, Dashlane, Salesforce usw.
Anfangs gab es keine wirklichen All-in-On-Perspektiven, aber jetzt kann es anders sein. Tatsächlich können wir im aktuellen Entwurf des nächsten FIDO-Standards mit dem Namen „WebAuthN“ (der früher auch als FIDO 2.0 bezeichnet wurde) als nicht unordentlichen UAF-Nachfolger sehen, dass FIDO U2F als „Attestation Statement Format“ als verwendet werden kann Sie können hier sehen: https://www.w3.org/TR/2017/WD-webauthn-20170216/
Ihre Frage ist also sinnvoll und hoffentlich in der In Zukunft folgen wir diesem Pfad.
Antwort
Kurz gesagt, UAF wird eine Rolle als Einzelfaktorauthentifizierung spielen Dies wird hauptsächlich durch biometrische Daten erreicht, um Passwörter zu ersetzen, um „was Sie wissen“ durch „wer Sie sind“ zu ersetzen, zusätzlich zu einigen Kryptotechniken wie PKI.
U2F spielt neben Benutzername / Passwort („was Sie wissen“) immer noch eine Rolle als zweiter Faktor („was Sie haben“).
Diese Eigenschaft unterscheidet UAF vollständig von U2F ;; Aus diesem Grund gibt es zwei Standards. Andererseits hat UAF mehr Operationen als U2F, was es komplexer macht.