Diskussion:U2F

aus Wikipedia, der freien Enzyklopädie
Letzter Kommentar: vor 1 Jahr von 2001:4DD7:1097:0:8AF3:8F07:E6DF:6982 in Abschnitt Man-in-the-middle
Zur Navigation springen Zur Suche springen

Liste der unterstützten Anbieter

[Quelltext bearbeiten]

Meiner Meinung wäre eine Liste der Web-Anbieter Hilfreich, welche dieses Verfahren Unterstützen. --Prefekt (Diskussion) 11:37, 29. Mai 2015 (CEST)Beantworten

Bitte sehr: https://twofactorauth.org/ (nicht signierter Beitrag von 134.3.233.9 (Diskussion) 18:59, 1. Aug. 2019 (CEST))Beantworten

Man-in-the-middle

[Quelltext bearbeiten]

Warum ist dieses Protokoll gegen Man-in-the-middle-Attacken geschützt? Was hindert einen Angreifer sich in die Mitte zu packen und die Challenge und die Response einfach weiterzuleiten? (nicht signierter Beitrag von 79.195.3.110 (Diskussion) 18:11, 10. Apr. 2016 (CEST))Beantworten

Siehe neuen ref-Eintrag. Die Software zur Authentifikation muss auf derselben lokalen Hardware laufen wie das U2F-Gerät. --Bautsch (Diskussion) 18:53, 10. Apr. 2016 (CEST)Beantworten
Ich habe mich dasselbe gefragt. Diagramm und Erklärung im Artikel finde ich sehr missverständlich, da sie dem Browser unterstellen, dass er für "check app id" zuständig sei. Der Browser weiß aber überhaupt nicht, bei welchen Diensten/Apps der Nutzer registriert ist. Zudem müsste die App-ID irgendwie an den Hostname/Origin gebunden sein.
Laut der offiziellen Spezifikation (https://fidoalliance.org/specs/u2f-specs-master/fido-u2f-overview.html) funktioniert es jedenfalls so:
> Later, when the user attempts to authenticate, the server sends the user's Key Handle back to the browser. The browser sends this Key Handle and the hash of the origin which is requesting the authentication. The U2F device ensures that it had issued this Key Handle to that particular origin hash before performing any signing operation. If there is a mismatch no signature is returned.
> This origin check ensures that the public keys and Key Handles issued by a U2F device to a particular online service or website cannot be exercised by a different online service or website (i.e., a site with a different name on a valid SSL certificate). This is a critical privacy property -- assuming the browser is working as it should, a site can verify identity strongly with a user's U2F device only with a key which has been issued to that particular site by that particular U2F device.
Ein weiterer Punkt (auf obiger Website nicht genannt) ist, dass der Server die Challenge an die TLS-Sitzung binden muss und sie nicht ein weiteres Mal genutzt werden darf. Sonst könnte ein Angreifer eine Replay-Attacke fahren. --2001:4DD7:1097:0:8AF3:8F07:E6DF:6982 18:15, 15. Feb. 2023 (CET)Beantworten

Merkmale letzter Absatz, das Beispiel mit SSH hinkt.

[Quelltext bearbeiten]

U2F macht laut dem Artikel eine Public Key Authentication und vereinfacht dabei die Verwendung mehrerer Schlüssel. Man kann aber auch mit SSH einen Schlüssel pro Verbindung verwenden, was manchmal sogar gemacht wird, daher sind die beiden Athentifizierungsverfahren nichts grundsätzlich Gegensätzliches. (nicht signierter Beitrag von 46.183.103.8 (Diskussion) 19:00, 18. Jan. 2017 (CET))Beantworten