Diskussion:U2F
Liste der unterstützten Anbieter
BearbeitenMeiner Meinung wäre eine Liste der Web-Anbieter Hilfreich, welche dieses Verfahren Unterstützen. --Prefekt (Diskussion) 11:37, 29. Mai 2015 (CEST)
Bitte sehr: https://twofactorauth.org/ (nicht signierter Beitrag von 134.3.233.9 (Diskussion) 18:59, 1. Aug. 2019 (CEST))
Man-in-the-middle
BearbeitenWarum ist dieses Protokoll gegen Man-in-the-middle-Attacken geschützt? Was hindert einen Angreifer sich in die Mitte zu packen und die Challenge und die Response einfach weiterzuleiten? (nicht signierter Beitrag von 79.195.3.110 (Diskussion) 18:11, 10. Apr. 2016 (CEST))
- Siehe neuen ref-Eintrag. Die Software zur Authentifikation muss auf derselben lokalen Hardware laufen wie das U2F-Gerät. --Bautsch (Diskussion) 18:53, 10. Apr. 2016 (CEST)
- Ich habe mich dasselbe gefragt. Diagramm und Erklärung im Artikel finde ich sehr missverständlich, da sie dem Browser unterstellen, dass er für "check app id" zuständig sei. Der Browser weiß aber überhaupt nicht, bei welchen Diensten/Apps der Nutzer registriert ist. Zudem müsste die App-ID irgendwie an den Hostname/Origin gebunden sein.
- Laut der offiziellen Spezifikation (https://fidoalliance.org/specs/u2f-specs-master/fido-u2f-overview.html) funktioniert es jedenfalls so:
- > Later, when the user attempts to authenticate, the server sends the user's Key Handle back to the browser. The browser sends this Key Handle and the hash of the origin which is requesting the authentication. The U2F device ensures that it had issued this Key Handle to that particular origin hash before performing any signing operation. If there is a mismatch no signature is returned.
- > This origin check ensures that the public keys and Key Handles issued by a U2F device to a particular online service or website cannot be exercised by a different online service or website (i.e., a site with a different name on a valid SSL certificate). This is a critical privacy property -- assuming the browser is working as it should, a site can verify identity strongly with a user's U2F device only with a key which has been issued to that particular site by that particular U2F device.
- Ein weiterer Punkt (auf obiger Website nicht genannt) ist, dass der Server die Challenge an die TLS-Sitzung binden muss und sie nicht ein weiteres Mal genutzt werden darf. Sonst könnte ein Angreifer eine Replay-Attacke fahren. --2001:4DD7:1097:0:8AF3:8F07:E6DF:6982 18:15, 15. Feb. 2023 (CET)
Merkmale letzter Absatz, das Beispiel mit SSH hinkt.
BearbeitenU2F macht laut dem Artikel eine Public Key Authentication und vereinfacht dabei die Verwendung mehrerer Schlüssel. Man kann aber auch mit SSH einen Schlüssel pro Verbindung verwenden, was manchmal sogar gemacht wird, daher sind die beiden Athentifizierungsverfahren nichts grundsätzlich Gegensätzliches. (nicht signierter Beitrag von 46.183.103.8 (Diskussion) 19:00, 18. Jan. 2017 (CET))