web-dev-qa-db-fra.com

Pourquoi U2F n'est-il pas assez bon pour être utilisé comme authentification?

Dans le contexte des applications de sécurité faible et moyenne sécurité (soit 95% du Web), pourquoi l'U2F n'est-elle pas suffisamment bonne pour être le seul facteur?

Pour autant que je sache, U2F implémente très sécurisé le facteur d'authentification "quelque chose que vous avez". Il y a de nombreuses applications Web où un facteur est assez bon, mais nous avons toujours toutes les problèmes d'utilisation des mots de passe (réutilisation, en les souvenant, etc.). Alors, pourquoi personne n'a rien dit rien sur l'utilisation de U2F seul pour l'authentification?

9
AstraLuma

Voici le problème avec U2F comme étant la seule méthode d'authentification: il n'y a pas de vérification que vous êtes le propriétaire légitime du périphérique U2F, simplement parce que vous l'avez en votre possession. Si U2F était la seule forme d'authentification pour tout, ce qui serait comme avoir une clé de maîtrise pour votre voiture, votre maison, votre coffre-fort, votre coffre-fort, une porte de bureau/bâtiment et tout le reste. Dans notre situation métaphorique, si quelqu'un a volé cette clé de maîtrise, ils auraient accès à presque tout dans votre vie.

Maintenant, vous pouvez voir mon scénario métaphorique "clé maîtrise" comme étant identique à un mot de passe, mais c'est la raison pour laquelle les gens sont encouragés à utiliser plusieurs mots de passe différents. L'utilisation de mots de passe différents est comme avoir plusieurs clés différentes. Plutôt que d'avoir une clé qui déverrouille tout, il vaut mieux avoir différentes clés. Si une seule clé est volée de votre part, le voleur n'a accès qu'à tout ce que la clé volée fonctionne. (E.G., Si un voleur vole votre clé de voiture, il ne peut accéder à votre voiture que.) C'est toujours une situation désagréable, mais c'est bien mieux que ce voleur gagnant un accès à tout ce que vous possédez. De même, les gens sont encouragés à utiliser différents mots de passe, donc si un "voleur" a obtenu l'un de vos mots de passe, il/elle n'aurait accès qu'à un nombre limité de vos comptes.

En utilisant uniquement U2F est essentiellement comparable à l'utilisation d'un seul mot de passe pour chaque site Web et d'utiliser une seule touche pour tout dans votre vie. Ce n'est ni raisonnable ni sécurisé. En tant que tel, U2F ne devrait être utilisé que comme une deuxième forme d'authentification dans une structure d'authentification en deux étapes.

6
Spencer D

Si quelqu'un vole mon U2F, ils obtiennent un accès sans entrave à chaque site qui l'utilise comme un facteur unique, jusqu'à ce que je parvienne à se souvenir de chaque site que je l'ai utilisé et que je l'ai utilisé et de la révoquer.

Le niveau d'effort pour voler un appareil U2F sur mon emplacement USB est des ordres de grandeur moins que de voler la base de données pour mon gestionnaire de mots de passe plus le mot de passe pour le déverrouiller. Et si cela est comprometté, au moins je peux le consulter pour une liste faisant autorité des sites dont j'ai besoin pour faire pivoter mes mots de passe pour.

3
Stephen Touset