比較 U2F 和 UAF 安全標準

U2F（通用第二因素）是 2 層驗證安全標準，它使用額外的外部硬體（USB、手環...），因此安全等級將高於透過電子郵件或電話號碼發送代碼。今天，LuckyTemplates 將幫助您了解這種新型安全形式的基礎知識，並將其與 UAF 標準（類似於 Apple 和三星裝置上的指紋感應器）進行比較。

介紹 U2F

2 層安全是幫助您保護重要線上帳戶的基本方法。它可以是電子郵件帳戶、雲端儲存帳戶、網路銀行帳戶或登入公司內部網站的帳戶。通常，支援 2 層安全性的應用程式或服務將要求您按照以下步驟登入：

• 開啟您需要登入的網站/服務，照常輸入您的使用者名稱和密碼
• 之後，驗證碼將以多種不同方式發送給您：可以透過簡訊、電子郵件、透過電話讀取代碼或使用一些專門的應用程式。
• 獲得驗證碼後，您可以繼續將該代碼輸入網站/服務以成功登入。

基本上，第二層安全保護可以防止未經授權的存取您的帳戶，即使您的所有登入詳細資訊已洩露。例如，擁有您造訪銀行網站的使用者名稱和密碼的人無法獲得驗證碼，因為驗證碼僅發送到您的手機或僅發送到您的電子郵件。結果，他仍然會被困在該網站之外，無法做任何事情，最多只能查看一些餘額詳細信息，但無法進行轉帳交易。

當然，如果他還偷了手機或知道如何登入電子郵件帳戶，那就另當別論了。如今，許多人在許多網站和線上服務中使用相同的電子郵件密碼，因此壞人仍然可以訪問郵箱並獲取 2 層安全代碼。至此，2層安全機制的好處就完全消失了。

同樣，手機也很容易被盜，打開簡訊就能看到2層安全碼。即使沒有竊取，當通知出現在鎖定螢幕上時，壞人仍然可以看到發送到您手機的驗證碼。就這麼簡單，但是卻極度危險，對吧？

U2F的誕生就是為了解決這些限制。 U2F 使用硬體來製作驗證碼，因此您不必再擔心有人侵入您的郵箱或拿走您的手機。登入必須在該硬體存在的情況下進行，無法被遠端攻擊或破壞，從而減少了許多風險。目前最受歡迎的U2F硬體是USB儲存筆，它的尺寸非常緊湊，因此很容易隨身攜帶。未來將會有更多的公司生產戒指、項鍊、手鐲、鑰匙和其他數十種形狀的 U2F 設備。

U2F 是由一個名為FIDO（Fast IDentity Online ）的聯盟開發的，該聯盟包括 Google、Microsoft、PayPal、American Express、MasterCard、VISA、Intel、ARM、Samsung、Qualcomm、Bank of America 等眾多大公司。截至今年 6 月，FIDO 擁有來自許多不同國家的 200 名成員。 FIDO目前對U2F的推廣非常積極，從硬體到軟體，未來它會隨處可見。

工作原理

當您需要登入線上服務（例如 Gmail）時，您仍然需要像往常一樣輸入使用者名稱和密碼。在下一步中，系統會要求您將 U2F 相容 USB 隨身碟固定到電腦上。 Chrome 瀏覽器會立即偵測到裝置的存在，並使用加密技術從中擷取資料（您必須按下 USB 隨身碟上的按鈕）。 Chrome繼續確認資料是否正確，如果一切正常，您將登入Gmail。

您仍然必須在第一步中輸入使用者名稱和密碼的原因是為了防止有人透過竊取金鑰來侵入您的帳戶。這也是正確的，因為那是“2 類”，否則它會與 1 類相同。

在Chrome驗證資訊的過程中，實際上發生了很多事情來確保您的安全。首先，瀏覽器將檢查是否透過 https 協定與真實網站進行通訊。這有助於避免您對虛假網站使用 2 層安全性的情況。接下來，瀏覽器將從您的 USB 磁碟機中取得的程式碼直接傳送到網站，因此理論上，攻擊者在資料傳輸過程中將無法取得此程式碼。

根據U2F的配置，除了照常輸入完整密碼外，網站還可以選擇輸入簡短的PIN碼，然後按下USB裝置上的按鈕繼續登入。透過這種方式，您可以簡化密碼的記憶，並在使用服務時節省更多時間（因為您必須輸入更少的字元）。

哪些網站支援U2F？

截至撰寫本文時，沒有太多網站、服務和軟體對 U2F 提供官方支援。 Chrome 是目前唯一整合 U2F 的瀏覽器，可在 Windows、Mac、Linux 和 Chrome 作業系統上使用。 Firefox 和 Edge 正在集成，但尚不清楚何時完成。一些使用 U2F 的網站包括來自 Google、Dropbox 和 Github 的網站。希望未來我們能看到更多主要網站支援U2F。

而且如同上面提到的，要使用U2F，你必須使用專門的USB驅動器，你不能立即拿走你手上的USB驅動器。這些驅動器可以在Google、Amazon上找到，您可以使用關鍵字FIDO U2F Security Key進行搜索，價格從幾美元到幾十美元不等。目前，這種類型的USB在越南市場上沒有銷售。

假設您已經購買了U2F USB驅動器，您可以前往Google的2層安全設定頁面並按照網頁說明開始使用它。

那麼UAF呢？

UAF（通用身份驗證框架）也是FIDO自己開發的另一個登入標準，但它不需要任何密碼。這就是為什麼UAF也被稱為無密碼體驗。 UAF 需要駐留在用戶裝置上且不在本機傳輸的身份驗證方法。本地身份驗證方法的一些範例包括指紋感應器、虹膜感應器、臉部識別，甚至使用麥克風進行語音識別。註冊線上服務後，每次用戶需要登入時，他們只需用手指掃描感應器或將臉靠近攝影機即可。

你可以把UAF想像成Apple使用Touch ID感應器來幫助我們登入App Store，或是三星使用Note 4、Note 5、S6、S6 Edge的指紋感應器來幫助你登入網站或進行PayPal無需輸入密碼即可購買。每次您需要進行身份驗證時，只需將手指放在感應器上，其他一切都會自動完成。

UAF與蘋果和三星的解決方案不同之處在於它是標準化的，因此任何網站或應用程式都能夠快速輕鬆地實現這種類型的安全性，而無需從頭開始，甚至不依賴任何平台或作業系統。這將有助於UAF變得更具吸引力並被更多服務所使用，並大規模覆蓋更多用戶。

UAF 還允許您使用 PIN 或密碼與本地安全的組合，但這樣體驗將不再是真正的無密碼，而是變成兩層安全。

用於根據 UAF 標準進行身份驗證的資料（例如您的指紋或語音樣本）將始終單獨駐留在您的裝置上，當然它們會經過仔細加密。這些敏感資料一定不能暴露給外界，否則有被駭客竊取的風險。

• 使用 USB 快閃記憶體安全應用程式增強 USB 安全性
• 了解 DNS 劫持以及如何預防它！
• 理論 - 什麼是勒索軟體？

祝你好運！