Содержание
U2F (англ. Universal 2nd Factor ) — открытый, бездрайверный протокол для двухфакторной аутентификации, основанный на вызов-ответной аутентификации, позволяющий интернет-пользователям использовать U2F устройство как второй фактор для аутентификации на большом количестве онлайн-сервисов.
Содержание
Предпосылки и история создания [ править | править код ]
События, связанные с массовыми взломами аккаунтов [п 1] [п 2] [п 3] , подтверждают необходимость защиты данных, находящихся на онлайн-сервисах. Часто учётные записи пользователей защищены слабыми паролями [п 4] , пользователями используется одинаковый пароль в разных учетных записях, что способствует массовым взломам. [п 5] Поэтому строгая аутентификация становится все более важным требованием. Большинство решений, обеспечивающих строгую аутентификацию дороже и сложнее в использовании (особенно с мобильными устройствами). В то же время, например, второй фактор в виде OTP уязвим для относительно общих атак, таких как фишинг [п 6] , смарт-карты требуют специализированного оборудования и/или установки драйверов перед использованием. В идеале база для безопасной аутентификации должна соответствовать таким требованиям, как: использование строгой аутентификации, соблюдение конфиденциальности пользователя, удобство использования и взаимодействие между различными устройствами, с помощью которых производится аутентификация. Для решения этих вопросов образовался F >[1]
Спецификации протокола U2F v1.0 были опубликованы F >[п 7]
30 июня 2015 года были выпущены две новые версии протокола, поддерживающие Bluetooth и NFC, как транспортные протоколы для U2F [п 8] . Таким образом стала возможна аутентификация посредством протокола U2F с помощью мобильных устройств, используя технологию NFC.
В конце 2015 года началась работа над усовершенствованными спецификациями, называемыми F >[п 9]
7 декабря 2016 года были объявлены обновленные спецификации протокола U2F v1.1. [п 10]
Работа протокола [ править | править код ]
Регистрация пользователя [ править | править код ]
Во время регистрации проверяющая сторона (веб-сервис, целевой ресурс) отправляет некоторые данные для подписи устройством (то есть генерирует вызов) браузеру. Браузер добавляет к данным URI, с которого был произведен запрос на подпись и >[2]
Аутентификация пользователя [ править | править код ]
Во время аутентификации проверяющая сторона отправляет некоторые данные (то есть генерирует вызов) и дескриптор ключа для подписи браузеру. Браузер добавляет к этому URI, с которого был произведен запрос на подпись и >[2]
Небраузерные приложения [ править | править код ]
Веб-приложение с помощью браузера контактирует с U2F устройством посредством JavaScript API [2] . Мобильное приложение так же должно «общаться» с устройством посредством API, при построении которого используется понятие web origin (выше упомянутый URI для веб-приложений). Для возможности работы с различными API было решено использовать фасеты (facets). Фасет — это исполнение приложения, контактирующее с проверяющей стороной [3] . Например, приложение Example может иметь реализацию под Android, IOS или веб-приложение. Все это фасеты приложения Example.
- для веб-приложений определен в RFC 6454;
- для Android приложений — это URI android: apk-key-hash: ;
- для IOS приложений — это URI ios: bundle-id: .
Например, для приложения Example список разрешенных facet IDs может выглядеть следующим образом:
Особенности [ править | править код ]
Криптографические примитивы [ править | править код ]
Для операций подписи используется алгоритм ECDSA над кривой P-256, для операций хеширования — SHA-256 [5] , которые широко доступны на встраиваемых платформах и достаточно надежны [6] [7]
Предотвращение атаки посредника [ править | править код ]
Когда >[8] и позволяет серверу обнаружить атаку, если есть два раздельных канала TLS. Эта концепция была внедрена в спецификации протокола U2F, но тем не менее в данном подходе были обнаружены проблемы и предложены пути решения [9]
Нестандартизированные решения [ править | править код ]
Согласно спецификациям U2F протокола все нижеперечисленные параметры должны быть реализованы в U2F устройстве, но при этом их реализация отдана на усмотрение производителей:
- Генерация регистрационно-зависимой пары закрытый/открытый ключ. Например, каждый Yubikey имеет свой мастер-ключ, который в связке с HMAC и ГПСЧ генерирует новую пару [п 11] .
- Счетчик. Предполагает собой дополнительную защиту U2F устройства от клонирования. Тем не менее защита таким способом может не сработать, например, если после клонирования, оригинальное U2F устройство какое-то время не использовалось для аутентификации. Для какой пары ключей и на какое значение во время аутентификации увеличивается его значение спецификациями не описано. Тем не менее, если в устройстве используется единый глобальный счетчик с предсказуемой суммой прироста, это создает утечку конфиденциальности [10]
- Дескриптор ключа. U2F устройство может не хранить все закрытые ключи внутри устройства, а, например, каждый закрытый ключ может быть зашифрованной частью дескриптора ключа [11] . В этом случае должен использоваться алгоритм шифрования, лучшим образом обеспечивающий безопасность при имеющемся аппаратном обеспечении.
Поддержка браузерами [ править | править код ]
U2F поддерживается Google Chrome, начиная с 38 версии, Opera — начиная с 40 версии. [п 12] Mozilla добавила поддержку U2F в Firefox, которая может быть включена только путём добавления специального дополнения. [п 13] Для браузера Google Chrome на Andro >[п 14]
Всем хеллоу Сегодня мы будем разбираться сразу с двумя похожими программами — F />
Начал искать. На форуме 4PDA один юзер пишет, что он у себя заморозил работу многих приложений, в списке есть в том числе и F >
FIDO UAF Client имеет идентификатор com.huawei.fido.uafclient, а FIDO UAF ASM — com.huawei.hwasm, и вот на другом сайте читаю что приложения необходимы для многофакторной аутентификации на сайтах.
То есть как я понимаю эти приложения могут принимать участие в.. авторизации на сайтах? Пока точно неизвестно
А вот собственно и два этих приложения:
В FIDO UAF есть слово UAF, узнал, что это означает Universal Authentication Framework — некий универсальный аутентификационный фреймворк для биометрической аутентификации.
Один человек написал — F />
Можно ли отключить эти приложения?
Еще один человек написал что он эти два приложения удалил и после смартфон работает нормально без приколов:
А вот ребята пример того как FIDO UAF ASM может прилично кушать батарею телефона:
Хотите верьте, хотите нет, но на форуме 4PDA я снова нашел инфу о том что FIDO UAF Client и FIDO UAF ASM можно вручную удалить без последствий.
Итоговые мысли
В общем ребята. Информации мало. Кое-что удалось найти, и кажется что.. в итоге можно предположить что это за приложения.
В общем смотрите:
- Предположительно что F />
- FIDO UAF ASM относится напрямую к аутентификации, возможно это какой-то модуль или плагин.
- Отключить эти два приложения можно, но если вы знаете как — сделайте перед этим что-то вроде бэкапа Андроида.
- Я не советую сразу бежать и удалять приложение. Сперва его попробуйте отключить. Не получается? Тогда заморозьте. И если уж вообще никак — то удаляйте, но делайте это на свой страх и риск. Для отключения, заморозки и удаления я советую использовать Titanium Backup.
- В интернете пишут что приложения можно отключить также при помощи Package Disabler.
Еще вы можете в телефоне найти такое как U2F (Universal 2nd Factor) — это какой-то открытый бездрайверный протокол для двухфакторной аутентификации.
Ссылки по теме, если хотите углубиться в это все дело, более детальнее разобраться.. у меня уже просто нет сил, но если у вас есть желание, то пожалуйста:
На этом все господа. Надеюсь мне удалось оказать информационную помощь А теперь прощайте