您可能已经知道,通用第二因素 (U2F) 标准是第二因素身份验证的标准,它允许用户使用 USB 硬件令牌对 Web 应用程序进行身份验证。
在阅读该标准时,我发现创建 U2F 标准的 Fast IDentity Online (FIDO) 联盟也有另一个他们在同一时间创建的标准,称为通用身份验证框架 (UAF),它似乎与 U2F 非常相似:
(来源)
这些标准看起来非常相似,唯一的显着区别是步骤 2 中使用的身份验证机制。但是,进一步阅读表明UAF 允许在步骤 2 中使用多种不同的身份验证机制:
通用身份验证框架 (UAF) 协议支持无密码 FIDO 体验。在这种体验中,用户通过选择本地身份验证机制(例如滑动手指、注视摄像头、对着麦克风说话、输入 PIN 码等)将他们的设备注册到在线服务。UAF 协议允许服务选择哪个机制呈现给用户。
考虑到这一点,为什么 U2F 甚至是一个独立于 UAF 的标准?U2F 有何不同之处在于它是一个完全不同的标准,而不仅仅是 UAF 的另一种身份验证机制?
从技术角度来看,您的问题完全有道理。
U2F 和 UAF 是由非常不同的演员/球员推动的。UAF 得到了生物识别公司的支持(咳嗽困扰咳嗽),但由于多种原因从未起飞。U2F 是一种更简单的严肃解决方案,现在已被 Facebook、Google 服务(包括 Gmail、Youtube、Google Ad 等)、Github、Dropbox、FastMail、Dashlane、Salesforce 等主要网络服务提供商广泛采用。
起初,没有真正的全面视角,但现在可能有所不同。事实上,在下一个名为“WebAuthN”的 FIDO 标准的当前草案中(过去也被称为 FIDO 2.0),我们可以将 FIDO U2F 视为非混乱的 UAF 继任者,可以将 FIDO U2F 用作“证明声明格式”作为你可以在这里看到:https : //www.w3.org/TR/2017/WD-webauthn-20170216/
所以你的问题是有道理的,希望将来我们会走这条路。
简而言之,UAF 将扮演单因素身份验证的角色。这主要是通过生物识别技术来代替密码,用“你是谁”代替“你知道什么”,以及一些像 PKI 这样的加密技术。
除了用户名/密码(“你知道什么”)之外,U2F 仍然扮演着第二个角色(“你拥有什么”)。
这个属性使得 UAF 与 U2F 完全不同;这就是为什么有两个标准。另一方面,UAF 比 U2F 有更多的操作,这使得它更加复杂。