UAF (FIDO)

aus Wikipedia, der freien Enzyklopädie
UAF-ready-Logo der FIDO-Allianz

UAF (Universal Authentication Framework, zu deutsch: universelles Rahmenwerk zur Authentifizierung) ist ein Industriestandard für eine allgemein anwendbare Authentifizierung ohne Kennwort. Das Netzwerkprotokoll regelt den Ablauf für den Nachweis der Zugriffsberechtigung für Web-basierte Dienste. Der Benutzer muss sich bei einem Online-Dienst registrieren und kann sich danach beliebig oft lokal mit seinem Gerät bei diesem anmelden. Zur Authentifizierung werden im Rahmen von UAF verschiedene biometrische Merkmale unterstützt, wie zum Beispiel das Erkennen eines Fingerabdrucks, des Gesichts, einer Regenbogenhaut oder der menschlichen Stimme. Dieses Verfahren zur Authentifizierung kann mit weiteren Faktoren kombiniert werden, wie zum Beispiel mit einer Persönlichen Identifikationsnummer (PIN) oder im Rahmen der Zwei-Faktor-Authentifizierung U2F der FIDO-Allianz.[1]

Die UAF-Spezifikationen wurden von den Mitgliedern der FIDO-Allianz entwickelt. Am 9. Dezember 2014 wurde der erste entsprechende Standard FIDO v1.0 veröffentlicht.[2]

Produkte

Das erste Smartphone, das das UAF unterstützt, um sich mit dem im Gerät eingebauten Fingerabdruckscanner beim Bezahldienstleister PayPal zu authentifizieren, ist das Samsung Galaxy S5.[3]

Das Mitglied der FIDO-Allianz Sonavation hat einen mit Ultraschall arbeitenden, dreidimensional rasternden Fingerabdruckscanner für den Standard entwickelt.[4]

Das Unternehmen Agnitio brachte Ende 2014 mit dem Produkt KIVOX mobile eine nach dem Standard UAF zertifizierte Stimmerkennung auf den Markt.[5]

Merkmale

Neben dem allgemeinen Vorteil der kryptographisch gesicherten Authentifizierung hat das UAF folgende Merkmale:

  • Benutzer besitzt ein Gerät mit UAF-kompatibler Anwendung
  • Authentifizierung mit lokal verfügbaren biometrischen Daten
  • Kombinationsmöglichkeit mit Kennwörtern
  • Herstellerunabhängigkeit
  • Betriebssystemunabhängigkeit
  • Anbieterunabhängigkeit
  • Lizenzfreie Authentifizierung
  • Unabhängigkeit von Patentinhabern
  • Öffentlich zugängliche Verfahrensbeschreibung (Spezifikation)
  • Unterstützung durch marktführende Unternehmen
  • Authentifizierungsserver müssen keine persönlichen Daten speichern, sondern nur Identifikatoren und öffentliche Schlüssel
  • Einfachheit der Bedienung, keine kategorische Eingabe von Kennwörtern erforderlich

Weblinks

Einzelnachweise