U2F (англ. Universal 2nd Factor ) — открытый, бездрайверный протокол для двухфакторной аутентификации, основанный на вызов-ответной аутентификации, позволяющий интернет-пользователям использовать U2F устройство как второй фактор для аутентификации на большом количестве онлайн-сервисов.
Предпосылки и история создания [ править | править код ]
События, связанные с массовыми взломами аккаунтов [п 1] [п 2] [п 3] , подтверждают необходимость защиты данных, находящихся на онлайн-сервисах. Часто учётные записи пользователей защищены слабыми паролями [п 4] , пользователями используется одинаковый пароль в разных учетных записях, что способствует массовым взломам. [п 5] Поэтому строгая аутентификация становится все более важным требованием. Большинство решений, обеспечивающих строгую аутентификацию дороже и сложнее в использовании (особенно с мобильными устройствами). В то же время, например, второй фактор в виде OTP уязвим для относительно общих атак, таких как фишинг [п 6] , смарт-карты требуют специализированного оборудования и/или установки драйверов перед использованием. В идеале база для безопасной аутентификации должна соответствовать таким требованиям, как: использование строгой аутентификации, соблюдение конфиденциальности пользователя, удобство использования и взаимодействие между различными устройствами, с помощью которых производится аутентификация. Для решения этих вопросов образовался F >[1]
Защити свой Аккаунт Биометрическим Ключом | FEITIAN Biometric FIDO 2
Спецификации протокола U2F v1.0 были опубликованы F >[п 7]
30 июня 2015 года были выпущены две новые версии протокола, поддерживающие Bluetooth и NFC, как транспортные протоколы для U2F [п 8] . Таким образом стала возможна аутентификация посредством протокола U2F с помощью мобильных устройств, используя технологию NFC.
В конце 2015 года началась работа над усовершенствованными спецификациями, называемыми F >[п 9]
7 декабря 2016 года были объявлены обновленные спецификации протокола U2F v1.1. [п 10]
Работа протокола [ править | править код ]
Регистрация пользователя [ править | править код ]
Во время регистрации проверяющая сторона (веб-сервис, целевой ресурс) отправляет некоторые данные для подписи устройством (то есть генерирует вызов) браузеру. Браузер добавляет к данным URI, с которого был произведен запрос на подпись и >[2]
Аутентификация пользователя [ править | править код ]
Во время аутентификации проверяющая сторона отправляет некоторые данные (то есть генерирует вызов) и дескриптор ключа для подписи браузеру. Браузер добавляет к этому URI, с которого был произведен запрос на подпись и >[2]
Небраузерные приложения [ править | править код ]
Веб-приложение с помощью браузера контактирует с U2F устройством посредством JavaScript API [2] . Мобильное приложение так же должно «общаться» с устройством посредством API, при построении которого используется понятие web origin (выше упомянутый URI для веб-приложений). Для возможности работы с различными API было решено использовать фасеты (facets). Фасет — это исполнение приложения, контактирующее с проверяющей стороной [3] . Например, приложение Example может иметь реализацию под Android, IOS или веб-приложение. Все это фасеты приложения Example.
- для веб-приложений определен в RFC 6454;
- для Android приложений — это URI android: apk-key-hash: ;
- для IOS приложений — это URI ios: bundle-id: .
Например, для приложения Example список разрешенных facet IDs может выглядеть следующим образом:
Особенности [ править | править код ]
Криптографические примитивы [ править | править код ]
Для операций подписи используется алгоритм ECDSA над кривой P-256, для операций хеширования — SHA-256 [5] , которые широко доступны на встраиваемых платформах и достаточно надежны [6] [7]
Предотвращение атаки посредника [ править | править код ]
Когда >[8] и позволяет серверу обнаружить атаку, если есть два раздельных канала TLS. Эта концепция была внедрена в спецификации протокола U2F, но тем не менее в данном подходе были обнаружены проблемы и предложены пути решения [9]
Нестандартизированные решения [ править | править код ]
Согласно спецификациям U2F протокола все нижеперечисленные параметры должны быть реализованы в U2F устройстве, но при этом их реализация отдана на усмотрение производителей:
- Генерация регистрационно-зависимой пары закрытый/открытый ключ. Например, каждый Yubikey имеет свой мастер-ключ, который в связке с HMAC и ГПСЧ генерирует новую пару [п 11] .
- Счетчик. Предполагает собой дополнительную защиту U2F устройства от клонирования. Тем не менее защита таким способом может не сработать, например, если после клонирования, оригинальное U2F устройство какое-то время не использовалось для аутентификации. Для какой пары ключей и на какое значение во время аутентификации увеличивается его значение спецификациями не описано. Тем не менее, если в устройстве используется единый глобальный счетчик с предсказуемой суммой прироста, это создает утечку конфиденциальности [10]
- Дескриптор ключа. U2F устройство может не хранить все закрытые ключи внутри устройства, а, например, каждый закрытый ключ может быть зашифрованной частью дескриптора ключа [11] . В этом случае должен использоваться алгоритм шифрования, лучшим образом обеспечивающий безопасность при имеющемся аппаратном обеспечении.
Поддержка браузерами [ править | править код ]
U2F поддерживается Google Chrome, начиная с 38 версии, Opera — начиная с 40 версии. [п 12] Mozilla добавила поддержку U2F в Firefox, которая может быть включена только путём добавления специального дополнения. [п 13] Для браузера Google Chrome на Andro >[п 14]
Всем хеллоу Сегодня мы будем разбираться сразу с двумя похожими программами — F />
Начал искать. На форуме 4PDA один юзер пишет, что он у себя заморозил работу многих приложений, в списке есть в том числе и F >
FIDO UAF Client имеет идентификатор com.huawei.fido.uafclient, а FIDO UAF ASM — com.huawei.hwasm, и вот на другом сайте читаю что приложения необходимы для многофакторной аутентификации на сайтах.
То есть как я понимаю эти приложения могут принимать участие в.. авторизации на сайтах? Пока точно неизвестно
А вот собственно и два этих приложения:
В FIDO UAF есть слово UAF, узнал, что это означает Universal Authentication Framework — некий универсальный аутентификационный фреймворк для биометрической аутентификации.
Один человек написал — F />
Можно ли отключить эти приложения?
Еще один человек написал что он эти два приложения удалил и после смартфон работает нормально без приколов:
А вот ребята пример того как FIDO UAF ASM может прилично кушать батарею телефона:
Хотите верьте, хотите нет, но на форуме 4PDA я снова нашел инфу о том что FIDO UAF Client и FIDO UAF ASM можно вручную удалить без последствий.
Итоговые мысли
В общем ребята. Информации мало. Кое-что удалось найти, и кажется что.. в итоге можно предположить что это за приложения.
В общем смотрите:
- Предположительно что F />
- FIDO UAF ASM относится напрямую к аутентификации, возможно это какой-то модуль или плагин.
- Отключить эти два приложения можно, но если вы знаете как — сделайте перед этим что-то вроде бэкапа Андроида.
- Я не советую сразу бежать и удалять приложение. Сперва его попробуйте отключить. Не получается? Тогда заморозьте. И если уж вообще никак — то удаляйте, но делайте это на свой страх и риск. Для отключения, заморозки и удаления я советую использовать Titanium Backup.
- В интернете пишут что приложения можно отключить также при помощи Package Disabler.
Еще вы можете в телефоне найти такое как U2F (Universal 2nd Factor) — это какой-то открытый бездрайверный протокол для двухфакторной аутентификации.
Ссылки по теме, если хотите углубиться в это все дело, более детальнее разобраться.. у меня уже просто нет сил, но если у вас есть желание, то пожалуйста:
На этом все господа. Надеюсь мне удалось оказать информационную помощь А теперь прощайте
Источник: planshet-info.ru
В Android заработала поддержка FIDO2
Рекомендуем почитать:
Xakep #289. Взлом в воздухе
- Содержание выпуска
- Подписка на «Хакер» -60%
Специалисты альянса FIDO (Fast IDentity Online) анонсировали хорошие новости для большинства пользователей Android. Все устройства, работающие под управлением Android 7.0 (Nougat) и выше, теперь сертифицированы для работы с FIDO2, и уже вышло соответствующее обновление для Google Play Services.
Фактически это означает, что теперь для доступа к сервисам и приложениям пользователи смогут использовать не только пароли, что специалисты давно называют небезопасным, но и альтернативные способы аутентификации: биометрию (распознавание лица, отпечатков пальцев, радужки глаза, если устройство это поддерживает), PIN-коды и графические ключи.
Представители Google и FIDO надеются, что нововведение позволит лучше обезопасить пользователей и их данные, так как биометрические данные гораздо сложнее подделать и похитить. Кроме того, стандарт FIDO2 подразумевает, что процесс аутентификации происходит локально, и приватные данные не передаются приложениям и сервисам, в которые пытается войти пользователь.
«Важная часть этой технологии, которую часто оставляют без внимания, это даже не тот факт, что пользователи могут использовать биометрическую аутентификацию, а уход от модели shared secret. Данная модель подразумевает, что вы и сервис, с которым вы взаимодействуете, должны знать некий “секрет” (такой как ваш пароль). Ассиметричная модель подразумевает, что вы лишь должны доказать, что знаете сам “секрет”, но удаленному сервису его знать не нужно. Во многих отношениях это большое улучшение, к примеру, в случае утечки ваших данных на стороне сервера, ничто не компрометирует ваши ключи, которые вы используете для доступа к сервису», — объясняет специалист Google Кристиаан Бренд (Christiaan Brand).
Пользователи Android уже могли встречать такую функциональность (в основном в банковских приложениях), а также данный аутентификационный стандарт поддерживают популярные браузеры. Но теперь FIDO2 может использоваться буквально любым приложением и сервисом, нужно лишь подождать, пока разработчики адаптируют FIDO API для своих проектов.
Впрочем, с сожалением отметим, что согласно официальной статистике Google, около 50% устройств по-прежнему работают под управлением Android 6.0 и старше.
Источник: xakep.ru
Android-смартфоны заменят ключи безопасности FIDO
Google разрешила использовать смартфоны в качестве ключа безопасности FIDO. Новая функция доступна пользователям устройств, работающих под управлением Android 7.0 и последующих версий системы.
Теперь практически любой смартфон можно превратить в ключ-безопасности для двухфакторной аутентификации. Для этого нужно добавить учетную запись Google, активировать двухфакторную аутентификацию (2SV), затем в настройках 2SV на компьютере выбрать пункт «Добавить ключ безопасности» и указать смартфон, который будет использоваться в качестве ключа.
Для работы новой функции также необходимо установить Bluetooth-подключение между компьютером и смартфоном.
Напомним, что недавно Windows 10 получила поддержку USB-ключей FIDO 2.
- Android 10. Первый взгляд
- Обзор Android 9
- Обзор Android 7.0
- Android 5.2. Первый взгляд
- Android L. Первый взгляд
Источник: xdrv.ru