Fazer login em um site usando seu nome de usuário e senha não é mais o melhor método de certificação por várias razões. Por um lado, a inserção de informações pessoais do usuário está se tornando cada vez mais complicada devido ao número cada vez maior de serviços que uma pessoa média usa. Por outro lado, a segurança dos dados de login está cada vez mais em risco devido aos cibercriminosos se tornarem mais sorrateiros e tecnologicamente avançados. Ataques de força bruta direcionados ou ataques de phishing de e-mail aparentemente inofensivos se acumulam para que os usuários muitas vezes nem notem que seus próprios dados de login já foram grampeados.

O padrão de segurança FIDO2 resolve esse problema, solicitando a ajuda de autenticação de dois fatores que usa chaves de segurança (chaves FIDO2) e tokens de hardware. Graças à integração do WebAuthn padrão W3C, este procedimento não só permite logins criptografados e anônimos, mas também logins completamente sem senha. Mas como exatamente os tokens e chaves FIDO2 funcionam e o que você precisa para que você possa usar este procedimento de login para suas próprias atividades na Web?

Conteúdo

  • O que é FIDO2?
  • Por que você precisa de especificações de segurança como FIDO2?
  • Como funciona o FIDO2?
  • Quais são os requisitos para o uso da autenticação FIDO2?
  • Vantagens do FIDO2 sobre autenticação de senha
  • Quais são as desvantagens da autenticação FIDO2?

O que é FIDO2?

FIDO2 é a mais recente especificação da Não-Comercial FIDO Alliance (Fast Identity Online), que foi criada com o objetivo de desenvolver padrões abertos e livres de licenças para autenticação segura e mundial na World Wide Web. Primeiro veio o FIDO Universal Second Factor (FIDO U2F), depois o FIDO Universal Authentication Framework (FIDO UAF), o que significa que o FIDO2 é o terceiro padrão a sair do trabalho da aliança.

Em sua essência, o FIDO2 consiste no Client to Authenticator Protocol (CTAP) e no WebAuthn padrão W3C, que juntos permitem a autenticação onde os usuários se identificam com autenticadores criptográficos (como biometria ou PINs) ou autenticadores externos (como chaves FIDO, wearables ou dispositivos móveis) para um par remoto confiável do WebAuthn (também conhecido como servidor FIDO2) que normalmente pertence a um site ou aplicativo web.

Fato

A FiDO Alliance foi fundada em 2012 por PayPal, Lenovo, Nok Nok Labs, Validity Sensors, Infineon e Agnitio. Um ano depois, Google, Yubico e NXP se juntaram à associação. Nos últimos anos, houve várias colaborações para estabelecer os padrões, por exemplo, com a Samsung e a Microsoft.

Por que você precisa de especificações de segurança como FIDO2?

O FIDO2 oferece a opção de usar autenticação de dois fatores, na qual o login de senha usual do nome de usuário é complementado por uma criptografia com chaves FIDO2, bem como um token FIDO2 adicional (hardware), ou uma autenticação completamente livre de senha.

O que ambas as variantes têm em comum é que eliminam o login padrão do usuário com nome de usuário e senha, o que não é considerado o mais seguro, bem como autenticações simples de dois fatores (e-mail, aplicativo móvel, SMS): Isso impede que criminosos cibernéticos que usam padrões típicos de ataque, como ataques man-in-the-middle e phishing, tenham sucesso e assumindo a conta do usuário. Mesmo que os dados de login sejam comprometidos, o login FIDO2 só funcionará com o respectivo token de hardware ou chave privada, que também está vinculado a um hardware dedicado.

O fato de o FIDO2 ser um padrão aberto torna mais fácil para os desenvolvedores de software e hardware implementar o padrão em seus próprios produtos para que eles possam oferecer aos usuários este método de login muito seguro.

Como funciona o FIDO2?

O principal objetivo da FIDO Alliance é eliminar cada vez mais senhas na web. Para isso, o caminho de comunicação seguro entre o cliente (navegador) e os respectivos serviços web é primeiro configurado ou registrado, a fim de estar permanentemente disponível para logins posteriores. Nesse processo, as chaves FIDO2 são geradas e verificadas, que fornecem a criptografia básica para o procedimento de logon. O procedimento é o seguinte:

  1. O usuário se cadastra com um serviço online e gera um novo par de chaves no dispositivo usado - composto por uma chave privada e uma chave FIDO2 pública.
  2. Enquanto a chave privada é armazenada no dispositivo e só é conhecida no lado do cliente, a chave pública é registrada no banco de dados chave do serviço web.
  3. Autenticações subsequentes agora só são possíveis por meio da verificação com uma chave privada, que deve ser sempre desbloqueada por uma ação do usuário. Existem várias opções, como inserir um PIN, pressionar um botão, entrada de voz ou inserir hardware separado de dois fatores (token FIDO2). Alguns sistemas operacionais como Windows 10 e Android agora também podem atuar como tokens de segurança.

Nota

A especificação FIDO2 foi projetada para proteger a privacidade do usuário. Por essa razão, nenhuma informação é repassada que possa dar uma dica sobre outras atividades na web. Além disso, os dados biométricos, se esse recurso for usado, nunca saem do dispositivo do usuário.

image

O FIDO2 é baseado em um procedimento de chave pública seguro

Quais são os requisitos para o uso da autenticação FIDO2?

A especificação FIDO2 define todos os componentes necessários para o procedimento de autenticação moderno.

Em primeiro lugar está o WebAuthn padrão W3C repetidamente mencionado, que permite que os serviços on-line habilitem a autenticação FIDO através de uma API web padrão (escrita em JavaScript) que também é implementada em vários navegadores e sistemas operacionais. Os aplicativos que já suportam o padrão declarado em março de 2019 incluem Windows, Android e iOS (versão 13 ou superior), bem como os seguintes navegadores: Google Chrome, Mozilla Firefox, Microsoft Edge e Apple Safari (versão 13 ou superior).

O segundo componente crítico é o Protocolo de Autenticação do Cliente para Autenticador (CTAP). Este protocolo permite que os vários tokens FIDO2 interajam com os navegadores e também atuem como autenticadores. Tanto o navegador usado quanto o token de hardware desejado devem, portanto, ser capazes de se comunicar via CTAP para usar esse recurso de segurança (incluindo login sem senha).

Vantagens do FIDO2 sobre autenticação de senha

Esta introdução explicou brevemente por que procedimentos de login autenticados sem senha ou de dois fatores, como o FIDO2, são o futuro. Em comparação com o login tradicional de senha, eles oferecem uma superfície de ataque muito menor para criminosos cibernéticos. Com as ferramentas certas, não é difícil para os criminosos descobrir senhas, enquanto eles precisariam do token de segurança de hardware para obter acesso não autorizado a uma conta de usuário protegida fido2. Além disso, você pode usar um token FIDO2 para diferentes serviços web em vez de criar e lembrar senhas diferentes.

As vantagens da autenticação FIDO2 rapidamente:

   
Nível de segurança mais alto O FIDO2 criptografa o login por padrão com um par de chaves (privado e público) que só pode ser desbloqueado com o dispositivo registrado.
Maior conforto do usuário No modo sem senha, o FIDO2 mostra seus pontos fortes em termos de conveniência do usuário. Senhas diferentes são tanto uma coisa do passado quanto digitar a senha em si - em vez disso, um clique de botão, entrada de voz ou conexão de hardware é suficiente.
Proteção contra phishing Se você usa FIDO2, não precisa se preocupar com phishing mesmo com a variante de dois fatores com senha. Mesmo que os criminosos obtenham a senha, é negado acesso à conta protegida.

Quais são as desvantagens da autenticação FIDO2?

Embora o processo FIDO2 seja vantajoso em muitos aspectos, ele também tem seus pontos fracos: Atualmente existem apenas alguns serviços web que oferecem essa forma de autenticação, e este é um pré-requisito básico para o seu uso. Se o FIDO2 é uma possibilidade para você, certifique-se de planejar custos adicionais para a compra de tokens de segurança externa. Especialmente em empresas onde cada funcionário precisa de sua própria chave de segurança, mudar para FIDO2 pode rapidamente se tornar um empreendimento caro.

Finalmente, o método de autenticação padronizado requer uma etapa adicional em comparação com um login de senha comum se for implementado como um componente complementar de uma autenticação de dois fatores. Assim, se você fizer logon em um ou mais serviços várias vezes por dia, o FIDO2 pode não ser uma das técnicas de login mais eficientes.


Artigo Original