¿Por qué FIDO U2F es un estándar completamente diferente de FIDO UAF en lugar de solo un subconjunto?

6

Como ya debe saber, el estándar Universal 2nd Factor (U2F) es un estándar para la autenticación de segundo factor que permite a los usuarios autenticarse en aplicaciones web utilizando un token de hardware USB.

Al leer sobre este estándar, descubrí que la Alianza Fast IDentity Online (FIDO), que creó el estándar U2F, también tiene otro estándar que crearon aproximadamente al mismo tiempo llamado Universal Authentication Framework (UAF), que parece muy similar a U2F:

( Source )

Estos estándares parecen ser muy similares, con la única diferencia significativa que es el mecanismo de autenticación que se usa en el paso 2. Sin embargo, una lectura adicional sugiere que UAF permite múltiples mecanismos de autenticación diferentes en el paso 2 :

  

La experiencia FIDO sin contraseña es compatible con el protocolo Universal Authentication Framework (UAF). En esta experiencia, el usuario registra su dispositivo en el servicio en línea seleccionando un mecanismo de autenticación local como deslizar un dedo, mirar la cámara, hablar por el micrófono, ingresar un PIN, etc. El protocolo UAF permite que el servicio seleccione cuál Los mecanismos se presentan al usuario.

Teniendo esto en cuenta, ¿por qué U2F es un estándar independiente de UAF en primer lugar? ¿Qué tiene de diferente U2F que garantiza que es un estándar completamente diferente en lugar de ser otro mecanismo de autenticación para UAF?

    
pregunta Ajedi32 21.02.2017 - 17:05
fuente

2 respuestas

4

Desde un punto de vista técnico, tu pregunta es totalmente sensata.

U2F y UAF fueron empujados por actores / jugadores muy diferentes. UAF fue respaldada ( tos plagada de tos ) por compañías de biometría ... y nunca despegó por muchas razones. U2F es una solución simple y simple que ahora es ampliamente adoptada por los principales proveedores de servicios web como Facebook, servicios de Google (incluyendo Gmail, Youtube, Google Ad, etc.), Github, Dropbox, FastMail, Dashlane, Salesforce ...

Al principio, no había una perspectiva real de "todo en" ... pero puede ser diferente ahora ... de hecho, en el borrador actual del próximo estándar FIDO llamado "WebAuthN" (que solía llamarse FIDO 2.0 también podemos verlo como un sucesor de UAF no desordenado, FIDO U2F se puede usar como un "Formato de declaración de certificación" como puede ver aquí: enlace

Entonces, su pregunta es sensata y, con suerte, en el futuro estamos siguiendo este camino ...

    
respondido por el FredericMARTIN 24.02.2017 - 01:48
fuente
2

En pocas palabras, UAF tendrá un rol como autenticación de factor único. Esto se logra principalmente mediante biometría para reemplazar contraseñas, para reemplazar "lo que sabe" con "quién eres", además de algunas técnicas criptográficas como PKI.

U2F todavía tiene un rol como segundo factor ("lo que tienes") además de nombre de usuario / contraseña ("lo que sabes").

Esta propiedad hace que UAF sea completamente diferente de U2F; Por eso hay dos normas. Por otro lado, UAF tiene más operaciones que U2F, lo que lo hace más complejo.

    
respondido por el Qingbao 28.03.2017 - 13:55
fuente

Lea otras preguntas en las etiquetas