Qubes U2F 双因素身份验证代理介绍

澳门新葡亰8455下载app 1

原标题:Qubes U2F 双因素身份验证代理介绍

近日,GitHub 宣布支持 FIDO Universal 2nd Factor (U2F)
认证,并鼓励开发者也在他们自己的应用中支持 U2F 认证。

澳门新葡亰8455下载app 2

U2F 是一种实现两步认证的开放认证标准。用户在使用支持 U2F 标准的物理设备
(如 USB Key) 时,输入用户名、密码,然后插入 Key
触摸一下就可以登录认证了。

Qubes
U2F代理是一个利用Web浏览器使用U2F双因素身份验证设备的安全代理,有它在浏览器将不会被暴露给完整的USB堆栈。

说起来,这好像跟我们此前用的网银 U 盾差不多,不过网银 U
盾彼此并不兼容,也就是说,原则上你有多少银行卡就要配多少 U 盾。但 U2F
不必这样,U2F
是开放标准,这样只需一个设备就可以在所有支持该标准的认证服务上使用。

什么是U2F?

目前,Google 的两步认证已经支持了该标准,另外,各大平台和浏览器 (Chrome)
均支持 U2F 标准。在通信方式上,除了 USB ,U2F 还支持 NFC、蓝牙等。

U2F是“Universal second
Factor”的缩写,它是一个使用硬件设备(U2F令牌)作为“second
factors”进行身份验证的框架,即你所拥有的内容与你所知道的内容(如密码)相反。这种额外的控制在密码被盗的情况下提供了良好的保护(例如通过网络钓鱼或键盘记录)。虽然密码破解对用户来说可能不是很明显,但对于恶意破解人来说则增加了一个环节:必须获得无法复制的物理设备。尽管如此,还是需要注意U2F无法全方位保证面临威胁时主机系统的安全性。(例如在对手控制下感染恶意软件的操作系统)。

转自:    

U2F规范定义了从USB到浏览器API的多层协议,整个堆栈用于与浏览器中的Web应用程序(最常见的网站)。在大多数情况下,令牌是USB加密狗。协议非常简单,允许设备在内部存储非常少的状态(因此令牌可能相当便宜),同时验证几乎无限数量的服务(因此每个人只需要一个令牌,而不是每个应用程序一个令牌)。用户界面通常限于单个LED和按钮,按下按钮即确认事务,因此设备本身也易于使用。

澳门新葡亰8455下载app,目前,最常见的两步身份验证形式是由用户手动输入到web应用程序中的数字代码组成。这些代码通常由用户智能手机上的应用程序生成或通过SMS发送。到目前为止,众所周知,这种两步身份验证的形式很容易受到网络钓鱼和中间人攻击,因为请求两步身份验证代码的应用程序本身通常不会由用户进行身份验证。(换句话说,用户可能会不小心将代码交给攻击者,因为他们并不总是知道真正请求代码的是谁。)相比之下,在U2F模型中,浏览器确保令牌接收关于请求身份验证的web应用程序的有效信息,这样令牌就知道它正在验证哪个应用程序。尽管如此,即使使用U2F,一些攻击仍然是可能实现的。

特点

在传统的设置中,web浏览器和USB堆栈(U2F令牌与之相连)都在同一个单片操作系统中运行。由于U2F模型假定浏览器是可信的,因此操作系统中的任何浏览器都能够访问存储在U2F令牌上的任何密钥。用户无法知道哪个浏览器为哪个服务访问了哪个密钥。如果有任意一个浏览器受到攻击,令牌的所有密钥都可能受到攻击。(但是,如果U2F设备有一个特殊的显示器向用户显示正在进行身份验证的内容,则可以减轻此问题。)此外,由于USB堆栈在同一个单片操作系统中,系统很容易受到类似BadUSB的攻击。

网站地图xml地图