10 coisas que você está se perguntando sobre FIDO2, WebAuthn e um mundo sem senha

Armada com a missão de oferecer uma internet mais segura, a Yubico tem trabalhado em estreita colaboração com a Microsoft, Google, FIDO Alliance e W3C para criar e conduzir padrões abertos que abrem caminho para o futuro do login sem senha. O padrão FIDO2 é o novo padrão que permite a substituição de autenticação baseada em senhas fracas por autenticação forte baseada em hardware usando criptografia de chave pública (assimétrica).

O FIDO2 criou um burburinho na comunidade de segurança e, como acontece com qualquer nova tecnologia, sempre há uma curva de aprendizado. No início de 2018, a Yubico apresentou o Yubico Developer Program atualizado para ajudar os desenvolvedores a se familiarizarem rapidamente com o FIDO2 e o WebAuthn.

Também realizaram uma série de webinars FIDO2 para desenvolvedores para fornecer informações sobre a especificação FIDO2 e como implementá-la. Durante o curso desta série de webinars, muitas perguntas sobre as especificidades do padrão FIDO2 e WebAuthn foram respondidas, incluindo como ele se relaciona com as novas chaves de segurança da Yubico e a evolução de um mundo sem senha.

FIDO2 e WebAuthn são a mesma coisa? Se não, como eles são diferentes?

O FIDO2 é composto por dois componentes padronizados, uma API da Web (WebAuthn) e um protocolo Client to Authenticator (CTAP). Os dois trabalham juntos e são necessários para obter uma experiência sem senha para login. O protocolo FIDO U2F anterior que funcionava com autenticadores externos agora foi renomeado para CTAP1 nas especificações do WebAuthn.

Com Chrome e Firefox anunciando WebAuthn API e suporte a CTAP1 como cliente, e Dropbox agora integrando-se à WebAuthn API, isso deu início a uma enxurrada de atividades de integração por outros serviços. Mais recentemente, o Microsoft Edge lançou suporte para WebAuthn API, CTAP1 e CTAP2, tornando-o um navegador com o suporte de autenticação mais amplo.

O FIDO2 é compatível com os modelos YubiKey atuais?

O componente WebAuthn do FIDO2 é compatível com versões anteriores dos autenticadores FIDO U2F por meio do protocolo CTAP1 nas especificações do WebAuthn. Isso significa que todas as Security Keys FIDO U2F e YubiKeys certificadas anteriormente continuarão a funcionar como uma experiência de login de autenticação de segundo fator com navegadores da Web e serviços online compatíveis com WebAuthn.

A nova experiência sem senha do FIDO2 exigirá a funcionalidade adicional do CTAP2, que atualmente é oferecida apenas na nova chave de segurança da Yubico. O CTAP2 não é suportado nas chaves de segurança FIDO U2F anteriores, na série atual YubiKey 4 ou no YubiKey NEO.

O FIDO2 é considerado autenticação de fator único, dois fatores ou multifator?

O login com um dispositivo de hardware habilitado para FIDO2, como a chave de segurança da Yubico, oferece mais opções para autenticação forte, incluindo:

  • fator único sem senha
  • duplo fatores (2FA)
  • autenticação multifator (MFA)

Com o FIDO2, um autenticador baseado em hardware — como a chave de segurança da Yubico — podemos substituir um nome de usuário e senha como uma forma muito mais forte de autenticação de fator único. Os usuários também podem continuar a usar a chave de segurança da Yubico como um segundo fator. Por fim, para maior segurança, um autenticador de hardware FIDO2 pode ser combinado com um fator adicional, como um PIN ou um gesto biométrico, para permitir uma forte autenticação multifatorial.

Quão seguro é o FIDO2 em comparação com o FIDO U2F e outras soluções 2FA?

O login de fator único com FIDO2 oferece autenticação forte como um fator único. Em muitos casos, essa autenticação de fator único é mais segura do que outras formas de autenticação de dois fatores (como SMS), pois não há segredos que possam ser alvo de phishing remotamente ao usar o FIDO2. O fator único FIDO2 usa a mesma criptografia de chave pública forte com verificação de origem para evitar phishing, assim como o FIDO U2F, mas com a conveniência adicional de não precisar de nomes de usuário e senhas como o primeiro fator para identificar o usuário.

O FIDO U2F ficará obsoleto com a expansão do FIDO2?

O FIDO2 WebAuthn é compatível com os autenticadores FIDO U2F, portanto, com o tempo, esperamos que o FIDO2 englobe o FIDO U2F.

Existe a opção de usar o FIDO2 em conjunto com um fator adicional, como um pin ou biometria? Isso é recomendado?

Autenticadores de hardware que suportam CTAP2 podem adicionar verificação do usuário exigindo que os usuários usem um PIN ou biometria para desbloquear o autenticador de hardware para que ele possa desempenhar sua função. Essa preferência depende principalmente dos vetores de ameaça do implementador, bem como dos casos de uso. Por exemplo, uma grande instituição bancária pode querer considerar o uso de um PIN em conjunto com uma chave de segurança para um nível mais alto de garantia, enquanto um ambiente de quiosque para trabalho compartilhado baseado em armazenamento online, não pode.

A chave de segurança da Yubico é habilitada com as especificações CTAP2 completas e é totalmente habilitada para oferecer suporte a várias experiências sem senha, incluindo toque e uso de fator único usando o autenticador de hardware (sem necessidade de um nome de usuário), bem como o uso de um PIN com toque no autenticador de hardware.

Qual é a diferença entre um PIN e uma senha?

Conforme mencionado acima, uma das permissões do FIDO2 é a opção de combinar a autenticação baseada em hardware com um fator adicional, como um PIN. Isso faz com que muitos de vocês se perguntem: “Bem, isso não é o mesmo que precisar lembrar uma senha?”

Um PIN é realmente diferente de uma senha. A finalidade do PIN é desbloquear a chave de segurança para que ela possa desempenhar sua função. Um PIN é armazenado localmente no dispositivo e nunca é enviado pela rede. Por outro lado, uma senha é enviada através de uma rede para o serviço para validação, e isso pode ser alvo de phishing. Além disso, como o PIN não faz parte do contexto de segurança para autenticação remota do usuário, o PIN não precisa dos mesmos requisitos de segurança das senhas enviadas pela rede para verificação. Isso significa que um PIN pode ser muito mais simples, mais curto e não precisa ser alterado com frequência, o que reduz as preocupações e as cargas de suporte de TI para redefinição e recuperação. Portanto, o autenticador de hardware com um PIN fornece uma solução sem senha e resistente a phishing para autenticação.

Como o FIDO2 afeta a política de senhas de uma empresa de substituição de senhas a cada 90 dias?

Com o FIDO2, não há necessidade de substituir senhas, pois sequer há a necessidade de senhas.

Para aqueles que combinam um autenticador de hardware com um PIN, é importante observar que os PINs não exigem o mesmo requisito de segurança de uma senha. Um PIN e uma senha são diferentes. Como um PIN não faz parte do contexto de segurança para autenticação remota do usuário (o PIN não é enviado pela rede para verificação), ele pode ser muito mais simples e menos complexo que uma senha e não precisa ser alterado com o mesmo frequência (ou nenhuma), o que diminui as preocupações da empresa sobre redefinição e recuperação de PIN.

Quais serviços fornecem suporte para FIDO2? Quando podemos esperar que serviços adicionais implementem o suporte?

Chrome, Firefox e Dropbox implementaram suporte para fluxo de login de segundo fator WebAuthn. Começando com a compilação 17723, o Microsoft Edge agora oferece suporte à versão de lançamento do WebAuthn. Esta versão mais recente do Edge é capaz de oferecer suporte à autenticação de fator único e multifator forte FIDO2, além do segundo fator. O Yubico Developer Program oferece recursos abrangentes para os interessados em adicionar suporte ao FIDO2.

E se eu perder minha chave de segurança da Yubico? Sem uma senha, estou bloqueado na minha conta?

A melhor prática é sempre garantir que você tenha uma chave de segurança de backup, caso perca seu dispositivo principal. A chave de segurança da Yubico não contém informações identificáveis, portanto, se fosse encontrada, não poderia ser usada imediatamente para fazer login sem saber a identidade do proprietário e em quais contas está registrada. A realidade é que o principal vetor de ataque para consumidores e empresas é o controle remoto de contas — seja por roubo de credenciais, golpes de phishing ou ataques man-in-the-middle. O FIDO2 e a chave de segurança da Yubico são projetados especificamente para proteger contra esses tipos de ameaças.

Para aqueles que estão preocupados com ameaças físicas, existe a opção de exigir autenticação multifator usando um PIN para proteção adicional. Dessa forma, se alguém obtiver uma chave de segurança roubada, ainda precisará saber em quais contas ela está registrada e também ter acesso ao seu fator adicional (PIN) para poder fazer login.

Um benefício significativo de um padrão de autenticação aberta é que o número de implementações é ilimitado. Com o Microsoft Edge, o Google Chrome e o Mozilla Firefox funcionando como cliente e o Dropbox como serviço, todos anunciaram o suporte ao WebAuthn com muitos outros em andamento. Estamos no caminho certo para o futuro do login sem senha!

Você quer fazer parte do futuro do login sem senha?

Se você é um desenvolvedor interessado em adicionar suporte ao FIDO2, inscreva-se na lista de discussão do Programa de Desenvolvedores para se manter atualizado sobre workshops, webinars, guias de implementação, código de referência, APIs e SDKs. Além disso, a série de eventos virtuais FIDO2 agora está disponível para visualização sob demanda.

Se você quiser ler mais sobre o FIDO2, confira nossa postagem no blog, “O que é FIDO2?

Fonte: yubico.com

Compartilhe este artigo nas redes sociais

Veja outras categorias

Artigos relacionados

Artigo

O que são BIPs e SLIPs?

BIPs introduzem novos padrões ao Bitcoin, como SegWit, enquanto SLIPs, geridos pela SatoshiLabs, detalham propostas não adequadas para BIPs, como estruturas de carteiras.

Leia mais