Revocación y regeneración en FIDO U2F / FIDO UAF

3

Uno de los beneficios de usar aplicaciones de autenticación fuerte basadas en software (por ejemplo, tokens de software RSA SecurID) es que si el dispositivo que está ejecutando la aplicación de generación de token está en peligro o se pierde, la ID se puede revocar desde un sistema centralizado y al final. -usuario aprovisionado una nueva identificación.

¿Cómo se aborda esto en FIDO UAF / FIDO U2F? ¿El usuario tiene que ir individualmente y revocar la inscripción en FIDO de cada servicio que está utilizando para autenticar el uso de ese dispositivo FIDO?

    
pregunta Saqib Ali 18.01.2015 - 03:04
fuente

1 respuesta

5

Sí, tienes que revocar con cada servicio. Uno de los elementos de diseño de U2F es que un sitio X no puede probar ni revelar de ninguna manera si el sitio Y está registrado en el dispositivo U2F. Además, está diseñado de manera que si alguien tiene 2 cuentas en el sitio X, el sitio X no puede detectar que esas 2 cuentas se almacenan en el mismo dispositivo U2F. Esto es para garantizar la privacidad de los usuarios, por lo que varios sitios no pueden rastrear al mismo usuario en diferentes sitios.

Tener un esquema de revocación revelaría este hecho al sitio.

No hay una forma estándar de revocación y regeneración, pero cada sitio debe implementar su propio esquema basado en los requisitos de seguridad. Un esquema puede ser que al usar solo su nombre de usuario / contraseña, puede revocar su dispositivo U2F. Para luego vincular un nuevo dispositivo U2F a su cuenta, un esquema podría ser una letra física con un código de una sola vez, Otro esquema podría ser SMS en combinación con un correo electrónico. También es posible emitir un certificado de revocación. O incluso 2 dispositivos U2F podrían estar vinculados a la misma cuenta en el momento del registro, donde el uso del segundo dispositivo U2F deshabilitaría el primero, y luego debe solicitar un tercero (que luego debe activarse con el servicio en cuestión y esto la tercera se convierte en la clave de copia de seguridad para la segunda ahora activada).

    
respondido por el sebastian nielsen 18.01.2015 - 05:21
fuente

Lea otras preguntas en las etiquetas