¿Cuáles son las diferencias entre los estándares de autenticación U2F y UAF FIDO?

Navega tus respuestas
20

Google recientemente anunciado soporte para Universal 2nd Factor (U2F) Autenticación en Chrome y comenzó a permitir que ese mecanismo de autenticación se use para la autenticación de dos factores en sus diversos servicios web. Después de leyendo en U2F Último Mundo , pero también me di cuenta de que la Alianza de identidad rápida en línea (FIDO) (la misma organización que creó el estándar U2F) parece tener otro estándar de autenticación muy similar llamado Marco de autenticación universal (UAF). A primera vista, estos dos estándares parecen muy similares:

Con ambos estándares, parece que el sitio web solicita autenticación, el usuario se autentica con un dispositivo local, y el sitio web luego acepta esta autenticación y registra al usuario.

Las únicas diferencias que puedo ver en la superficie son que parece que FIDO pretende que la UAF reemplace las contraseñas por completo, mientras que U2F solo pretende reemplazar el segundo factor del proceso de autenticación. Sin embargo, no estoy muy seguro del razonamiento detrás de esto, dado que ambos mecanismos de autenticación parecen ser muy similares desde la perspectiva del usuario.

¿En qué se diferencian estos estándares de un punto de vista de implementación y seguridad?

    
pregunta Ajedi32 24.10.2014 - 23:07
fuente

1 respuesta

18

Parece que lo tienes bastante abajo. El Marco de Autenticación Universal (UAF, por sus siglas en inglés) está diseñado para reemplazar la autenticación simple, y el Segundo Factor Universal (U2F, por sus siglas en inglés) está destinado a reemplazar la autenticación del segundo factor basada en el tiempo de hoy. Si bien parece que el usuario final experimentará la misma experiencia en ambos dispositivos, no siempre será así.

Con UAF, el usuario autentica un dispositivo con el sitio web y luego utiliza una biométrica de ese dispositivo en el futuro. El usuario solo necesita autenticarse localmente desde ese dispositivo en adelante. El sitio web puede elegir si continuará almacenando una contraseña (parece estúpido, pero es una opción que el sitio puede hacer).

Con U2F, el servicio puede solicitar opcionalmente un segundo factor en cualquier momento que elijan. En este caso, el usuario tendría que tener un fob, USB o segundo dispositivo para iniciar sesión / registrarse . Esto aumenta las posibilidades de que solo usted acceda a esta cuenta, ya que tendría que tener más de uno de sus dispositivos para iniciar sesión. La implementación más reciente es más segura que los códigos de 6 dígitos basados en el tiempo de la escuela anterior, ya que la clave criptográfica que se almacena solo se autoriza con el sitio web que la configura. Hace que las solicitudes de phishing con aspecto similar sean más difíciles de lograr.

    
respondido por el Stephen P. 25.10.2014 - 20:11
fuente

Lea otras preguntas en las etiquetas

¿Cómo será necesario cambiar la seguridad si P = NP? ¿Cuáles son los riesgos de un pirateo de la Autoridad de certificación para "el usuario promedio"?