web-dev-qa-db-fra.com

Quelles sont les différences entre les normes d'authentification U2F et UAF FIDO?

Google récemment annoncé prise en charge de l'authentification Universal 2nd Factor (U2F) dans Chrome et a commencé à autoriser ce mécanisme d'authentification à être utilisé pour l'authentification à 2 facteurs sur leurs divers services Web. Après lecture sur U2F je commence à vraiment aimer l'idée, mais j'ai également remarqué que la Fast IDentity Online (FIDO) Alliance (la même organisation qui a créé la norme U2F) semble en avoir une autre, norme d'authentification très similaire appelée Universal Authentication Framework (UAF). À première vue, ces deux normes semblent très similaires:

UAF and U2F, illustrated

Avec les deux normes, il semble que le site Web demande une authentification, l'utilisateur s'authentifie avec un appareil local, et le site Web accepte alors cette authentification et connecte l'utilisateur.

Les seules différences que je peux voir à la surface sont qu'il semble que FIDO ait l'intention que UAF remplace entièrement les mots de passe, tandis que U2F ne vise qu'à remplacer le deuxième facteur du processus d'authentification. Je ne suis pas très sûr du raisonnement derrière cela, étant donné que les deux mécanismes d'authentification semblent si similaires du point de vue de l'utilisateur.

En quoi ces normes diffèrent-elles du point de vue de la mise en œuvre et de la sécurité?

24
Ajedi32

On dirait que vous l'avez à peu près. Universal Authentication Framework (UAF) est destiné à remplacer l'authentification simple, et Universal Second Factor (U2F) est destiné à remplacer l'authentification actuelle basée sur le temps et à second facteur. Bien qu'il semble que l'utilisateur final vivra la même expérience sur les deux appareils, ce ne sera pas toujours le cas.

Avec UAF, l'utilisateur authentifie un appareil avec le site Web, puis utilise une biométrie de cet appareil à l'avenir. L'utilisateur n'a alors qu'à s'authentifier localement à partir de cet appareil à l'avenir. Le site Web peut choisir de continuer ou non à stocker un mot de passe (cela semble stupide, mais c'est un choix que le site peut faire).

Avec U2F, le service peut éventuellement demander un deuxième facteur à tout moment. Dans ce cas l'utilisateur devrait avoir un fob, un USB ou un deuxième appareil pour se connecter/s'inscrire. Cela augmente les chances que ce soit seulement vous qui accédiez à ce compte, car vous devez avoir plus d'un de vos appareils pour vous connecter. La plus récente implémentation est plus sécurisée qu'une ancienne école basée sur des codes à 6 chiffres, car la clé cryptographique stockée n'est autorisée qu'avec le site Web sur lequel vous la définissez. Cela rend le phishing avec des requêtes similaires plus difficile à réaliser.

21
Stephen P.