O FIDO2 é um padrão aberto para autenticação sem senha desenvolvido pela FIDO Alliance (Fast Identity Online) em parceria com o W3C (World Wide Web Consortium). Ele fornece uma forma segura, fácil e resistente a phishing para autenticação online e redefinindo a forma como nos autenticamos, substituindo senhas por métodos mais seguros e convenientes. O FIDO2 oferece proteção avançada contra ameaças, simplifica a experiência do usuário e é amplamente adotado por grandes empresas e serviços, sendo uma solução moderna para os desafios de segurança e usabilidade enfrentados por organizações e indivíduos na era digital.
O FIDO2 é composto por dois elementos principais:
1. WebAuthn (Web Authentication):padrão da W3C que define como navegadores e aplicativos podem interagir com dispositivos de autenticação (e.g., chaves de segurança ou biometria), além de permitir que os sites e serviços suportem autenticação sem senha.
2. CTAP (Client to Authenticator Protocol): protocolo da FIDO Alliance que permite a comunicação entre autenticadores externos (como chaves físicas ou smartphones) e dispositivos (e.g., PCs ou navegadores).
O usuário registra um autenticador (dispositivo FIDO2) no serviço.
O autenticador gera um par de chaves criptográficas:
Quando o usuário acessa o serviço:
O servidor envia um desafio (nonce) e o autenticador assina o desafio com a Chave Privada.
O servidor verifica a assinatura usando a Chave Pública previamente registrada, confirmando que o usuário é legítimo, sem necessidade de digitar uma senha.
Como o FIDO2 melhora a Segurança
Resistência a Phishing com uso de Passkeys: elimina o uso de senhas tradicionais, que são frequentemente alvo de ataques de phishing. Em vez de senhas, utiliza criptografia de chave pública para autenticação, tornando inúteis os esforços dos atacantes para capturar credenciais. As Passkeys também proporcionam uma experiência de usuário mais simplificada, permitindo logins rápidos e seguros através de biometria ou PINs locais.
Proteção contra Vazamento de Dados: aas passkeys utilizam criptografia de chave pública para autenticação, proporcionando uma experiência de login segura e fluida em diversos dispositivos e plataformas. Durante o registro, o autenticador gera um par de chaves (pública e privada), armazenando a chave privada de forma segura. Na autenticação, o usuário utiliza o autenticador para assinar um valor único (nonce), confirmando sua identidade ao site ou serviço.
Prevenção de Reutilização de Credenciais: como não há senhas compartilhadas entre serviços, a reutilização de credenciais não é possível. Cada serviço ou site tem um par único de chave pública/privada.
Autenticação Local e Segura: utiliza métodos de autenticação locais, como biometria (impressão digital, reconhecimento facial) ou PIN, para desbloquear o dispositivo do usuário. Isso reduz o risco de ataques remotos.
Sem Armazenamento Centralizado de senhas: não há um banco central de senhas que possa ser alvo de ataques. As credenciais ficam descentralizadas e ligadas ao dispositivo do usuário.
Multi-Dispositivos e Interoperabilidade: as passkeys permitem que os usuários autentiquem-se em um dispositivo (por exemplo, um PC com Windows) utilizando um autenticador em outro dispositivo (como um smartphone com o Microsoft Authenticator). Essa flexibilidade é facilitada por protocolos como o Client to Authenticator Protocol (CTAP), que asseguram uma comunicação segura entre dispositivos.
Multiplataforma: funciona em diversos dispositivos e sistemas operacionais, incluindo navegadores modernos como Chrome, Firefox, Edge e Safari.
O FIDO2 melhora a segurança, reduzindo o risco de ataques como phishing, vazamento de senhas e reutilização de credenciais, trás facilidade de uso, com autenticação rápida e simples com biometria ou dispositivos físicos, proporciona privacidade, já que as chaves privadas nunca são compartilhadas ou armazenadas no servidor e escalabilidade, suportando autenticação em múltiplos dispositivos, ideal para empresas.
Exemplos de Dispositivos Compatíveis com FIDO2
Comments
Post a Comment