不顾FIDO U2F的漏洞？

Question

FIDO U2F似乎比一次性密码安全得多，特别是由于挑战响应体系结构。U2F用户在哪些方面仍然易受攻击？

我想，如果用户的计算机被破坏了，或者用户丢失了他们的U2F软线，那么所有的赌注都取消了，对吗？但钓鱼不再起作用了？(我不是一个有抱负的黑客，只是一个试图理解一项技术的人。)

编辑:评论中有一个关于U2F的相关问题。这个问题问U2F有多安全。我特别想知道U2F没有修复的漏洞。

谢谢。

Answer 1

在我看来，U2F目前缺少一件事:秘密密钥的隐私。

每个设备都有自己的密匙。站点特定的密钥是从这个秘密密钥派生出来的，以便在登录到站点时执行挑战响应。这是为了保持您的匿名，并容易注册和认证在一个网站。

但!现在出售的每一个U2F设备都带有一个初始化的、不可更改的密钥。因此，您需要信任供应商，因为供应商创建了这个密钥。

我想有一个U2F设备，在那里用户可以创建自己的秘密密钥！只要这是不可用的，这是最大的缺点。我的观点是。

编辑2017年2月25日

这对于Yubikey和Plugup设备以及来自这些设备的许多其他diveces OEMed来说都是如此。事实上，现在有一些设备/供应商声称真正创建而不是派生出用于注册的密钥对。(我还没有对此进行测试和验证。

Answer 2

我想，如果用户的计算机被破坏了，或者用户丢失了他们的U2F软线，那么所有的赌注都取消了，对吗？但钓鱼不再起作用了？

关于这一点，我正在声明的文档来自https://sites.google.com/site/oauthgoog/gnubby的协议设计+用户流文档

机器上的恶意软件可以产生假的原始消息，并从设备获得相应的回复。反恶意软件被专门标记为超出了U2F设计的范围.

和你拥有的任何2因素设备一样，失去对设备的控制是一个信号，它应该被禁用。

现在，考虑到这些注意事项，网络钓鱼受到了保护，因为请求的软件将一个原始标识符传递给U2F设备。这意味着g00gle.com无法获得google.com的第二要素凭据，因为您在电子邮件中单击了一个链接。

Answer 3

一般来说，在军事和高度敏感的金融交易等非常敏感的应用中，需要2因素身份验证。请注意，许多家庭银行应用程序不再使用2因子。

2因素对TOTP是一种风险威胁与对抗成本的权衡。

顺便说一句，你的问题的大部分答案都在这里，https://www.yubico.com/applications/fido/

正如他们所说的，建议用户向每个服务提供商注册至少两个U2F设备，如果U2F设备被错误放置，也可以选择向用户提供备份代码。

所以现在你有两支球杆，每支18美元。在这种价格下，这不是一个消费者解决方案。

HTH