U2F 和 UAF FIDO 认证标准有什么区别?

信息安全 验证 多因素 一次性密码
2021-09-08 07:06:48

谷歌最近宣布在 Chrome 中支持通用第二因素 (U2F) 身份验证,并开始允许该身份验证机制在其各种 Web 服务中用于两因素身份验证。阅读了 U2F之后,我开始真正喜欢这个想法,但我也注意到 Fast IDentity Online (FIDO) 联盟(创建 U2F 标准的同一组织)似乎有另一个非常相似的身份验证标准,称为 Universal身份验证框架 (UAF)。乍一看,这两个标准似乎非常相似:

UAF 和 U2F,图示

对于这两种标准,网站似乎请求身份验证,用户使用本地设备进行身份验证,然后网站接受此身份验证并将用户登录。

我能从表面上看到的唯一区别是,FIDO 似乎打算让 UAF 完全替换密码,而 U2F 只是为了替换身份验证过程的第二个因素。不过,我非常不确定这背后的原因,因为从用户的角度来看,这两种身份验证机制似乎非常相似。

这些标准与实施和安全性的观点有何不同?

1个回答

看来你已经把它弄得差不多了。通用身份验证框架 (UAF) 旨在替代简单身份验证,通用第二因素 (U2F) 旨在替代当今基于时间的第二因素身份验证。虽然看起来最终用户会在两种设备上体验相同的体验,但情况并非总是如此。

使用 UAF,用户通过网站对设备进行身份验证,然后使用该设备的生物特征。然后,用户只需要从该设备进行本地身份验证。网站可以选择是否继续存储密码(看起来很愚蠢,但这是网站可以做出的选择)。

使用 U2F,该服务可以选择在他们选择的任何时间请求第二个因素。在这种情况下,用户必须有一个 fob、USB 或第二个设备才能登录/注册这增加了只有您访问此帐户的机会,因为您必须拥有多个设备才能登录。最新的实施比基于旧学校时间的 6 位代码更安全,因为存储的加密密钥仅在您设置的网站上授权。它使看起来像请求的网络钓鱼更难完成。

其它你可能感兴趣的问题
上一篇有没有办法在不完全禁用 AES 的情况下减轻 BEAST? 下一篇攻击者拥有我的 IP 地址;那又怎样?