个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
有很多资料表明 FIDO2/CTAP2 向后兼容 U2F:
...all previously certified FIDO U2F Security Keys and YubiKeys will continue to work as a second-factor authentication login experience with web browsers and online services supporting WebAuthn. - Yubico
但在查看规范后,我很难理解它在实践中的实际工作原理。具体来说,FIDO2 的 relying party identifier 似乎不匹配。和 U2F 的 application identity .
在 U2F 中,应用程序标识 是一个 URL,例如 https://example.com。应用程序身份的 SHA-256 称为应用程序参数。 应用程序参数是在注册和身份验证期间实际发送给身份验证器的内容。
在 FIDO2 中,等效项似乎是依赖方标识符,它被定义为一个域名,例如 example.com。
依赖方标识符和应用程序身份在 FIDO2/CTAP2 和 U2F 中具有相同的目的。然而,CTAP2 身份验证器直接获取作为 UTF8 字符串的依赖方标识符,而 U2F 身份验证器仅获取应用程序身份的 SHA-256 哈希(应用程序参数)。
FIDO documentation for CTAP描述 how CTAP2 maps onto CTAP1/U2F .在其中,他们只是将依赖方标识符直接视为应用程序身份:
Let rpIdHash be a byte array of size 32 initialized with SHA-256 hash of rp.id parameter as CTAP1/U2F application parameter (32 bytes)
这似乎不一致。假设我是 example.com,我很早就采用了 U2F 第二因素身份验证。我的应用程序 ID 是 https://example.com,所以我原来的 U2F 应用程序参数是 SHA256("https://example.com") :
100680ad546ce6a577f42f52df33b4cfdca756859e664b8d7de329b150d09ce9
但如果我随后切换到使用 Webauthn,我的依赖方标识符 将只是 example.com。当它被转换为 U2F 应用程序参数时,如 section 7 of fido-client-to-authenticator-protocol-v2.0 中所述,结果值应为 SHA256("example.com"):
a379a6f6eeafb9a55e378c118034e2751e682fab9f2d30ab13d2125586ce1947
那显然不一样。在我切换到 WebAuthn 后,之前设置过 U2F key 以用于我的网站的任何人都将无法再使用它们:除非他们使用他们的 key 重新注册。当然,他们需要能够登录才能执行此操作。
深入挖掘,我注意到他们在文档中给出的示例有一个 依赖方标识符 example.com,但他们在示例中给出的散列是。 ..
1194228DA8FDBDEEFD261BD7B6595CFD70A50D70C6407BCF013DE96D4EFB17DE
这不是上述两个选项中的任一个。我仍然不清楚什么字符串散列到该值。
那么我在这里弄错了什么?使用 U2F 部署 2FA 的服务如何切换到 FIDO2/Webauthn 而无需用户重新注册他们的安全 key ?我一定是遗漏了什么。
最佳答案
WebAuthn 通过 AppID Extension documented in the W3C WebAuthn spec 支持与 U2F 的向后兼容性.依赖方 (RP) 通过此扩展将 U2F 应用程序标识 传递给浏览器。
关于webauthn - FIDO2 与 U2F/CTAP1 的兼容性,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/60649029/
24
4
0
这不是我的专业领域,所以我希望问的是正确的问题。 我们有一台滚动租用的服务器。旧服务器是32位windows服务器,新服务器是64位windows 2008 R2 SP1。 其中一个 Web 应用程序
按照目前的情况,这个问题不适合我们的问答形式。我们希望答案得到事实、引用或专业知识的支持,但这个问题可能会引发辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开,visit the
我已将 Oracle 数据库从 10g 迁移到 12c。从 12c 开始,oracle 不支持 PLSQL_V2_COMPATIBILITY 参数。 该参数用于: https://www.safari
开发环境db server为SqlServer 2005(开发版) 有什么方法可以确保我的 SQL 查询将在 SqlServer 2000 中运行? 此数据库设置为兼容级别“SQL Server 20
我有一个这种形式的类: public class Foo implements Serializable { private static final long serialVersionUI
我有以下代码来隐藏状态栏,取自 http://developer.android.com/training/system-ui/status.html和 Hide status bar android
我正在尝试测试 .prop() 是否方法存在于当前包含的 jQuery 中(出于兼容性原因): if(typeof $.prop === 'function') 我期望上面的条件是 true对于 jQ
当收到新消息时,我在项目中使用BroadcastChannel更改所有选项卡的标题。 问题在于它仅适用于chrome和firefox。因此,我决定使用localStorage创建一个Broadcast
我正在使用一个函数通过 FTP 将一个文件上传到我的服务器。这是我的代码并且工作正常但是创建的文件 example.json 不兼容 UTF8,因为它有 Atlético 而不是 Atlético 例
我正在使用兼容性类来构建用户代理字符串: public abstract class Compatibility { private static int sdkInt = 0; pr
我需要实现一个 C 例程来(解)压缩 gzip 格式的文件。 谁能举个例子? 我试过 zlib,但它似乎不兼容。 谢谢。 最佳答案 zlib 与 gzip 文件完全兼容,但您需要确保您使用的是面向 g
我正在使用以下 CSS 代码,它与 Chrome 完美兼容,但与 IE 浏览器不兼容 .collapse{ display:block; } .collapse + input[type="c
我的应用程序以 android Sdk 的 v10 为目标,但具有 minSdkVersion 的 v6。默认情况下,“match_parent”属性将用于宽度或高度。我应该为 fill_parent
我正在阅读有关 dynamic_cast 的内容,然后我遇到了以下语句 ( from cplusplus.com ): Compatibility note: This type of dynamic
我正在尝试在 Linux 下使用 QtCreator 构建一个用 VS 2008 编写的项目,但我遇到了很多错误: /home/ga/dev/CppGroup/MonteCarlo/main.cpp:
因此,我正在构建一个网站,用户可以在该网站上上传观看视频。我正在使用标准的 HTML5 视频播放器 ( ... )目前,我使用多个来源:MP4、OGG 和 WEBM,以实现跨浏览器兼容性 由于维护三
mozilla 和其他浏览器是否有类似-webkit-box-reflect 的属性?我无法在谷歌上找到哪些其他浏览器支持这个。因此,如果有人可以告诉我或给我链接,那就太好了。 最佳答案 这不仅可以使
我定义了一个自定义的 ValidateSet 参数属性,如下所示: Class MyValidValuesAttribute : System.Management.Automation.IValid
我使用 .net 4.0、linq 等编写 winforms 应用程序。它可以在带有 .net 2.0 的机器上运行吗? 最佳答案 不,不会。为 Framework 4.0 版编译的应用程序将要求该框
我如何专门检查 @keyframes translate3d 动画 与浏览器的兼容性? 请不要关闭这个问题,因为在问这个问题之前我已经尝试了很多 stackoverflow 解决方案。 我想检查我的网
我是一名优秀的程序员,十分优秀!