Muitas vezes nos perguntam por que a dedicação da Yubico em dar vida ao padrão de autenticação aberta FIDO U2F quando as YubiKeys já suportam o padrão OATH OTP. A resposta rápida é que sempre fornecem várias opções de autenticação para atender a vários casos de uso. Em relação ao U2F e OTP, ambos têm qualidades únicas.
OTP
- Os usuários precisam digitar códigos durante o processo de login.
- Os fabricantes geralmente possuem o valor inicial dos tokens.
- Sobrecarga administrativa resultante da necessidade de configurar e provisionar dispositivos para os usuários.
- A tecnologia requer o armazenamento de segredos em servidores, proporcionando um único ponto de ataque.
A implementação de OTP da Yubico resolve alguns desses problemas.
- O usuário nunca precisa digitar um código, mas apenas tocar em um botão.
- As empresas podem configurar seus próprios segredos de criptografia em uma YubiKey, o que significa que ninguém mais vê esses segredos.
- Os OTPs gerados por uma YubiKey são significativamente mais longos do que aqueles que exigem entrada do usuário (32 caracteres versus 6 ou 8 caracteres), o que significa um nível mais alto de segurança.
- As YubiKeys permitem a inscrição pelo usuário, o que reduz a sobrecarga administrativa.
- É fácil de implementar com qualquer site existente sem necessidade de software cliente.
- Para o padrão OATH, a Yubico oferece exclusivamente um prefixo de token que pode ser usado para identidade, simplificando o registro e a experiência do usuário.
Conheça nosso Curso Sobre Segurança e Privacidade. Nele você encontrará aulas exclusivas, com conteúdo completo e na prática, onde será apresentado às melhores técnicas para seu proteger junto ao universo digital.
Não perca tempo, matricule-se já! Saiba mais em https://www.kriptobr.com/courses/
FIDO U2F
Lorem ipsum dolor sit amet, consectetuer adipiscing elit, sed diam nonummy nibh euismod tincidunt ut laoreet dolore magna aliquam erat volutpat.
- Forte segurança de criptografia de chave pública.
- Fácil de usar, sem códigos para redigitar e sem drivers para instalar.
- Alta privacidade para que nenhuma informação pessoal seja associada a uma chave.
- Uso ilimitado em que um número ilimitado de contas pode ser protegido por um único dispositivo.
Com todos esses grandes benefícios, por que o FIDO U2F não é implementado em serviços de maior escala além do Google, Dropbox e GitHub? Um motivo é que o navegador Chrome é um dos únicos clientes disponíveis. Além disso, leva tempo para conduzir novos padrões globais e as especificações técnicas do U2F foram disponibilizadas apenas um ano atrás.
Se você está pensando em melhorar a autenticação forte para o seu serviço, o OTP é um bom começo, mas o FIDO U2F definitivamente deve estar no seu radar. Aqui estão alguns links úteis:
- Detalhes do protocolo do site do desenvolvedor do YubicoProtocol details from Yubico’s developer’s website
- Detalhes do protocolo do site do desenvolvedor do YubicoU2F Webinar: From Concept to Implementation (from Yubico)
- Autenticação móvel sem contato, sem token e sem senha (blog do Yubico)Contactless, tokenless, passwordless mobile authentication (Yubico blog)
Fonte: yubico.com
Hardware Wallets
Hardware Wallets
Hardware Wallets
Hardware Wallets
Hardware Wallets
Hardware Wallets
Hardware Wallets
Cursos
Hardware Wallets