U2F密钥的隐私

Question

如果我对某个服务上的两个帐户使用相同的U2F密钥，该服务能检测到并匹配这些帐户吗？

同样地，如果我对两个不同的服务使用相同的U2F密钥，那么这些服务是否能够串通以匹配它们之间的帐户呢？

Answer 1

假设您的设备支持多个密钥的生成和使用，则使用U2F无法在服务之间共享标识信息。

您可能会发现来自尤比科的以下评论非常有趣：

每个用户也可以选择具有多个身份，包括匿名(没有与身份相关的个人信息)。U2F设备为每个服务生成一对新的密钥，公钥只存储在它连接到的特定服务上。通过这种方法，服务提供商之间没有秘密共享，甚至低成本的U2F设备也可以支持任意数量的服务。

关于谷歌的常见问题解答设备的U2F提供了类似的答案：

当我在多个网站上使用我的安全密钥时，我的隐私是否受到保护？由于安全密钥可以与多个网站一起工作，所以FIDO U2F协议是从底层设计的，以确保用户的隐私。安全密钥设备无法查询可用于跨多个站点跟踪用户的唯一标识符。相反，一个安全密钥注册一个唯一的凭证，每个网站，它是使用的。这些凭据的设计使得网站无法“比较注释”，并通过网站的安全密钥来识别同一用户。