<div dir="ltr"><div>FYI, Fido discussion happening on dev-platform, I think it could benefit from identity services perspective</div><div><br></div><div>Here's the link to the thread, and the first message is forwarded below.</div><div><br></div><div><a href="https://groups.google.com/d/topic/mozilla.dev.platform/WR5E2Xd4Vdg/discussion">https://groups.google.com/d/topic/mozilla.dev.platform/WR5E2Xd4Vdg/discussion</a><br></div><div><br></div><br><div class="gmail_quote">---------- Forwarded message ----------<br>From: <b class="gmail_sendername">Jeroen Hoek</b> <span dir="ltr"><<a href="mailto:jeroen.hoek@lable.nl">jeroen.hoek@lable.nl</a>></span><br>Date: Thu, Nov 5, 2015 at 12:18 AM<br>Subject: Fido U2F, two-factor authentication support<br>To: <a href="mailto:dev-platform@lists.mozilla.org">dev-platform@lists.mozilla.org</a><br><br><br>In December 2014 the first public release of the Fido alliance's<br>
Universal 2nd Factor (U2F) specification was published. The idea behind<br>
this open specification is to provide a secure two-factor authentication<br>
method with affordable hardware keys and a friendly UX.<br>
<br>
If I buy a hardware key that implements Fido U2F today, I can use it to<br>
log on to Google's GMail and Github. It is possible to use the same<br>
hardware key with any web service offering Fido U2F support, by design.<br>
The specification allows for three methods of communication: USB, NFC,<br>
and Bluetooth Low Energy (BLE).<br>
<br>
For Fido U2F to work, a browser implementing this technology is required.<br>
<br>
<br>
There is an issue about Fido U2F support in Firefox:<br>
<br>
<a href="https://bugzilla.mozilla.org/show_bug.cgi?id=1065729" rel="noreferrer" target="_blank">https://bugzilla.mozilla.org/show_bug.cgi?id=1065729</a><br>
<br>
Unfortunately, this issue appears to receive no priority from Mozilla.<br>
Reading the comments in this issue, it appears that despite the<br>
attractiveness of the Fido U2F specification, developers see support in<br>
Firefox as a deal-breaker. Personally, I feel that a security technology<br>
such as this needs at least one free software browser to support it to<br>
provide a viable alternative.<br>
<br>
Judging from the bounty placed on this Firefox issue (currently<br>
exceeding 1000 USD), there appears to be a fairly strong community<br>
desire to see this feature implemented. Commenters on the issue are,<br>
however, worried about the (perceived lack of) priority afforded to this<br>
issue.<br>
<br>
Developers participating in the issue recommended we post questions<br>
about the prioritizing of this issue to the mozilla.dev.platform mailing<br>
list. My apologies if this is not the place to discuss this issue.<br>
<br>
--<br>
<br>
Is Fido U2F a technology that Mozilla can endorse and support?<br>
<br>
Could this technology be considered for inclusion in Firefox?<br>
<br>
--<br>
<br>
Some background on this technology for those who are unfamiliar with it:<br>
<br>
The full Fido U2F specifications are available for download here:<br>
<br>
<a href="https://fidoalliance.org/specifications/overview/" rel="noreferrer" target="_blank">https://fidoalliance.org/specifications/overview/</a><br>
<a href="https://fidoalliance.org/specifications/download/" rel="noreferrer" target="_blank">https://fidoalliance.org/specifications/download/</a><br>
<br>
Specifically, the U2F overview may be interesting if you want a more<br>
in-depth architectural overiew:<br>
<br>
<a href="https://fidoalliance.org/specs/fido-u2f-v1.0-nfc-bt-amendment-20150514/fido-u2f-overview.html" rel="noreferrer" target="_blank">https://fidoalliance.org/specs/fido-u2f-v1.0-nfc-bt-amendment-20150514/fido-u2f-overview.html</a><br>
<br>
<br>
Google announced support for Fido U2F a year ago, in October 2014, and<br>
Chrome currently implements the Fido U2F standard:<br>
<br>
<a href="https://googleonlinesecurity.blogspot.nl/2014/10/strengthening-2-step-verification-with.html" rel="noreferrer" target="_blank">https://googleonlinesecurity.blogspot.nl/2014/10/strengthening-2-step-verification-with.html</a><br>
<br>
<br>
Microsoft is backing this standard as well:<br>
<br>
<a href="https://blogs.windows.com/business/2015/02/13/microsoft-announces-fido-support-coming-to-windows-10/" rel="noreferrer" target="_blank">https://blogs.windows.com/business/2015/02/13/microsoft-announces-fido-support-coming-to-windows-10/</a><br>
<br>
<br>
Yubico is one of the driving forces behind the Fido specifications from<br>
the manufacturers side. They produce USB and NFC hardware tokens that<br>
can be used with open security standards such as OATH-HOTP and<br>
OATH-TOTP. Their recent line-up includes Fido U2F support as well:<br>
<br>
<a href="https://www.yubico.com/products/yubikey-hardware/" rel="noreferrer" target="_blank">https://www.yubico.com/products/yubikey-hardware/</a><br>
<br>
Yubico on Fido U2F:<br>
<br>
<a href="https://www.yubico.com/applications/fido/" rel="noreferrer" target="_blank">https://www.yubico.com/applications/fido/</a><br>
<br>
Yubico is not the only manufacturer — other Fido-certified keys can be<br>
found on Amazon — but they do appear to have a leading edge.<br>
<br>
<br>
I am personally interested in Fido U2F from a professional standpoint.<br>
The possibility to provide affordable two-factor authentication either<br>
through USB, NFC, or BLE is appealing, and my employer is considering<br>
opting for this standard to secure the health care software services we<br>
provide — cross-browser support is, however, a requirement.<br>
<br>
I am not affiliated with the Fido alliance or its backers.<br>
<br>
--<br>
Kind regards,<br>
<br>
Jeroen Hoek<br>
<br>
Lable<br>
✉ <a href="mailto:jeroen.hoek@lable.nl">jeroen.hoek@lable.nl</a><br>
GPG: 44D4 1D39 535A 1F9A 9509  92C5 A7A8 B913 D40D D022<br>
<br>
<a href="http://lable.nl" rel="noreferrer" target="_blank">http://lable.nl</a> — KvK № 55984037 — BTW № NL8519.32.411.B.01<br>
<br>
<br>_______________________________________________<br>
dev-platform mailing list<br>
<a href="mailto:dev-platform@lists.mozilla.org">dev-platform@lists.mozilla.org</a><br>
<a href="https://lists.mozilla.org/listinfo/dev-platform" rel="noreferrer" target="_blank">https://lists.mozilla.org/listinfo/dev-platform</a><br>
<br></div><br></div>