UAF (FIDO)

UAF (Universal Authentication Framework, zu deutsch: universelles Rahmenwerk zur Authentifizierung) ist ein Industriestandard für eine allgemein anwendbare Authentifizierung mit der Option ohne Kennwort auszukommen. Das Netzwerkprotokoll regelt den Ablauf für den Nachweis der Zugriffsberechtigung für Web-basierte Dienste. Der Benutzer muss sich bei einem Online-Dienst registrieren und kann sich danach beliebig oft lokal mit seinem Gerät bei diesem anmelden. Zur Authentifizierung werden im Rahmen von UAF verschiedene biometrische Merkmale unterstützt, wie zum Beispiel das Erkennen eines Fingerabdrucks, des Gesichts, einer Regenbogenhaut oder der menschlichen Stimme. Dieses Verfahren zur Authentifizierung kann mit weiteren Faktoren kombiniert werden, wie zum Beispiel mit einer Persönlichen Identifikationsnummer (PIN) oder im Rahmen der Zwei-Faktor-Authentifizierung U2F der FIDO-Allianz.^[1]

Die UAF-Spezifikationen wurden von den Mitgliedern der FIDO-Allianz entwickelt. Am 9. Dezember 2014 wurde der erste entsprechende Standard FIDO v1.0 veröffentlicht.^[2] Im folgenden Jahr wurde die Initiative FIDO2 ins Leben gerufen, in welcher UAF in Folge unter geänderten Bezeichnungen wie FIDO2 und WebAuthn aufging.

Das erste Smartphone, das das UAF unterstützt, um sich mit dem im Gerät eingebauten Fingerabdruckscanner beim Bezahldienstleister PayPal zu authentifizieren, ist das Samsung Galaxy S5.^[3]

Das Mitglied der FIDO-Allianz Sonavation hat einen mit Ultraschall arbeitenden, dreidimensional rasternden Fingerabdruckscanner für den Standard entwickelt.^[4] Das Unternehmen Agnitio brachte Ende 2014 mit dem Produkt KIVOX mobile eine nach dem Standard UAF zertifizierte Stimmerkennung auf den Markt.^[5]

Neben dem allgemeinen Vorteil der kryptographisch gesicherten Authentifizierung hat das UAF folgende Merkmale:

• Benutzer besitzt ein Gerät mit UAF-kompatibler Anwendung
• Authentifizierung mit lokal verfügbaren biometrischen Daten
• Kombinationsmöglichkeit mit Kennwörtern
• Herstellerunabhängigkeit
• Betriebssystemunabhängigkeit
• Anbieterunabhängigkeit
• Lizenzfreie Authentifizierung
• Unabhängigkeit von Patentinhabern
• Öffentlich zugängliche Verfahrensbeschreibung (Spezifikation)
• Unterstützung durch marktführende Unternehmen
• Authentifizierungsserver müssen keine persönlichen Daten speichern, sondern nur Identifikatoren und öffentliche Schlüssel
• Einfachheit der Bedienung, keine kategorische Eingabe von Kennwörtern erforderlich

• FIDO Allianz (englisch)

1. ↑ Specifications Overview - Passwordless User Experience (UAF), FIDO-Allianz, abgerufen am 18. Dezember 2014
2. ↑ FIDO 1.0 Specifications are Published and Final Preparing for Broad Industry Adoption of Strong Authentication in 2015, FIDO-Allianz, abgerufen am 18. Dezember 2014
3. ↑ How do I Use the Finger Print Scanner to Manage Passwords and Unlock my Samsung Galaxy S® 5? - Pay using PayPal, Samsung, abgerufen am 18. Dezember 2014
4. ↑ Technology, sonavation.com, abgerufen am 1. Januar 2015
5. ↑ Commercial Products, Agnito, abgerufen am 1. Januar 2015