Muitas vezes nos perguntam por que a dedicação da Yubico em dar vida ao padrão de autenticação aberta FIDO U2F quando as YubiKeys já suportam o padrão OATH OTP. A resposta rápida é que sempre fornecem várias opções de autenticação para atender a vários casos de uso. Em relação ao U2F e OTP, ambos têm qualidades únicas.
OTP
A senha de uso único (OTP) é um conceito muito inteligente. Ele fornece um forte nível de proteção para centenas de milhões de contas e foi implementado por décadas. Sua popularidade vem de sua simplicidade. Além de uma credencial de nome de usuário/senha estática, um usuário adiciona outro fator de autenticação — um que é gerado dinamicamente. Por definição, essa credencial OTP é válida apenas para um login antes de se tornar obsoleta.
Os OTPs são entregues de várias maneiras, geralmente por meio de um objeto que o usuário carrega consigo, como seu telefone celular (usando SMS ou um aplicativo), um token com uma tela LCD ou uma YubiKey. A tecnologia OTP é compatível com todas as principais plataformas (desktop, laptop, celular) e ambientes legacy, tornando-a uma escolha muito popular entre os protocolos de segundo fator.
Por melhor que seja, o OTP tradicional tem limitações.
Os usuários precisam digitar códigos durante o processo de login.
Os fabricantes geralmente possuem o valor inicial dos tokens.
Sobrecarga administrativa resultante da necessidade de configurar e provisionar dispositivos para os usuários.
A tecnologia requer o armazenamento de segredos em servidores, proporcionando um único ponto de ataque.
A implementação de OTP da Yubico resolve alguns desses problemas.
O usuário nunca precisa digitar um código, mas apenas tocar em um botão.
As empresas podem configurar seus próprios segredos de criptografia em uma YubiKey, o que significa que ninguém mais vê esses segredos.
Os OTPs gerados por uma YubiKey são significativamente mais longos do que aqueles que exigem entrada do usuário (32 caracteres versus 6 ou 8 caracteres), o que significa um nível mais alto de segurança.
As YubiKeys permitem a inscrição pelo usuário, o que reduz a sobrecarga administrativa.
É fácil de implementar com qualquer site existente sem necessidade de software cliente.
Para o padrão OATH, a Yubico oferece exclusivamente um prefixo de token que pode ser usado para identidade, simplificando o registro e a experiência do usuário.
Os problemas restantes, no entanto, são ataques de phishing e man-in-the-middle, os ataques mais infames que derrotam a tecnologia OTP. A teoria é bastante simples: o hacker cria um site falso projetado para induzir os visitantes a enviar suas credenciais. Quando um usuário cai na armadilha e insere suas informações (nome de usuário, senha e até mesmo sua senha única), elas são imediatamente interceptadas pelo hacker e usadas para acessar a conta da vítima.
É difícil de executar, especialmente contra usuários conscientes da segurança que podem perceber o comportamento estranho do site falso, mas é possível e é, hoje em dia, um dos ataques mais populares.
Conheça nosso Curso Sobre Segurança e Privacidade. Nele você encontrará aulas exclusivas, com conteúdo completo e na prática, onde será apresentado às melhores técnicas para seu proteger junto ao universo digital.
A crescente sofisticação dos ataques contra esquemas OTP foi um fator motivador no desenvolvimento do protocolo FIDO U2F.
O protocolo U2F envolve o cliente no processo de autenticação (por exemplo, ao fazer login em um aplicativo da web, o navegador da web é o cliente). Quando um usuário registra um dispositivo U2F com um serviço online, um par de chaves pública/privada é gerado.
Após o registro, quando o usuário tenta fazer login, o provedor de serviços envia um desafio ao cliente. O cliente compila informações sobre a origem do desafio, entre outras informações. Isso é assinado pelo dispositivo U2F (usando a chave privada) e enviado de volta ao servidor (provedor de serviços).
Esquemas de desafio-resposta em tempo real, como U2F, abordam vulnerabilidades de OTP, como phishing e várias formas de ataques man-in-the-middle. Como o servidor legítimo está emitindo o desafio, se um site desonesto ou intermediário manipular o fluxo, o servidor detectará uma anormalidade na resposta e negará a transação.
As vantagens do U2F incluem:
Forte segurança de criptografia de chave pública.
Fácil de usar, sem códigos para redigitar e sem drivers para instalar.
Alta privacidade para que nenhuma informação pessoal seja associada a uma chave.
Uso ilimitado em que um número ilimitado de contas pode ser protegido por um único dispositivo.
Com todos esses grandes benefícios, por que o FIDO U2F não é implementado em serviços de maior escala além do Google, Dropbox e GitHub? Um motivo é que o navegador Chrome é um dos únicos clientes disponíveis. Além disso, leva tempo para conduzir novos padrões globais e as especificações técnicas do U2F foram disponibilizadas apenas um ano atrás.
Se você está pensando em melhorar a autenticação forte para o seu serviço, o OTP é um bom começo, mas o FIDO U2F definitivamente deve estar no seu radar. Aqui estão alguns links úteis:
O artigo explica se usar uma carteira Bitcoin Only aumenta a segurança, mostrando as opções da Trezor e como a Ledger pode ter funcionamento semelhante ao instalar apenas o app
A equipe white hat Ledger Donjon descobriu uma falha nos cartões Tangem que permite ataques de força bruta. Após seguir o processo de divulgação responsável, a equipe agora revela suas
Entenda como funciona uma carteira física e por que ela é essencial para proteger seus criptoativos, mesmo que você esteja começando com pouco, evitando riscos de hacks e bloqueios em
