OTP vs. U2F: Benefícios e mais benefícios

Muitas vezes nos perguntam por que a dedicação da Yubico em dar vida ao padrão de autenticação aberta FIDO U2F quando as YubiKeys já suportam o padrão OATH OTP. A resposta rápida é que sempre fornecem várias opções de autenticação para atender a vários casos de uso. Em relação ao U2F e OTP, ambos têm qualidades únicas.

OTP

A senha de uso único (OTP) é um conceito muito inteligente. Ele fornece um forte nível de proteção para centenas de milhões de contas e foi implementado por décadas. Sua popularidade vem de sua simplicidade. Além de uma credencial de nome de usuário/senha estática, um usuário adiciona outro fator de autenticação — um que é gerado dinamicamente. Por definição, essa credencial OTP é válida apenas para um login antes de se tornar obsoleta.
 
Os OTPs são entregues de várias maneiras, geralmente por meio de um objeto que o usuário carrega consigo, como seu telefone celular (usando SMS ou um aplicativo), um token com uma tela LCD ou uma YubiKey. A tecnologia OTP é compatível com todas as principais plataformas (desktop, laptop, celular) e ambientes legacy, tornando-a uma escolha muito popular entre os protocolos de segundo fator.
 
Por melhor que seja, o OTP tradicional tem limitações.
 
  • Os usuários precisam digitar códigos durante o processo de login.
  • Os fabricantes geralmente possuem o valor inicial dos tokens.
  • Sobrecarga administrativa resultante da necessidade de configurar e provisionar dispositivos para os usuários.
  • A tecnologia requer o armazenamento de segredos em servidores, proporcionando um único ponto de ataque.

A implementação de OTP da Yubico resolve alguns desses problemas.

  • O usuário nunca precisa digitar um código, mas apenas tocar em um botão.
  • As empresas podem configurar seus próprios segredos de criptografia em uma YubiKey, o que significa que ninguém mais vê esses segredos.
  • Os OTPs gerados por uma YubiKey são significativamente mais longos do que aqueles que exigem entrada do usuário (32 caracteres versus 6 ou 8 caracteres), o que significa um nível mais alto de segurança.
  • As YubiKeys permitem a inscrição pelo usuário, o que reduz a sobrecarga administrativa.
  • É fácil de implementar com qualquer site existente sem necessidade de software cliente.
  • Para o padrão OATH, a Yubico oferece exclusivamente um prefixo de token que pode ser usado para identidade, simplificando o registro e a experiência do usuário.
Os problemas restantes, no entanto, são ataques de phishing e man-in-the-middle, os ataques mais infames que derrotam a tecnologia OTP. A teoria é bastante simples: o hacker cria um site falso projetado para induzir os visitantes a enviar suas credenciais. Quando um usuário cai na armadilha e insere suas informações (nome de usuário, senha e até mesmo sua senha única), elas são imediatamente interceptadas pelo hacker e usadas para acessar a conta da vítima.
 
É difícil de executar, especialmente contra usuários conscientes da segurança que podem perceber o comportamento estranho do site falso, mas é possível e é, hoje em dia, um dos ataques mais populares.
 

Conheça nosso Curso Sobre Segurança e Privacidade. Nele você encontrará aulas exclusivas, com conteúdo completo e na prática, onde será apresentado às melhores técnicas para seu proteger junto ao universo digital.

Não perca tempo, matricule-se já! Saiba mais em https://www.kriptobr.com/courses/

FIDO U2F

A crescente sofisticação dos ataques contra esquemas OTP foi um fator motivador no desenvolvimento do protocolo FIDO U2F.
 
O protocolo U2F envolve o cliente no processo de autenticação (por exemplo, ao fazer login em um aplicativo da web, o navegador da web é o cliente). Quando um usuário registra um dispositivo U2F com um serviço online, um par de chaves pública/privada é gerado.
 
Após o registro, quando o usuário tenta fazer login, o provedor de serviços envia um desafio ao cliente. O cliente compila informações sobre a origem do desafio, entre outras informações. Isso é assinado pelo dispositivo U2F (usando a chave privada) e enviado de volta ao servidor (provedor de serviços).
 
Esquemas de desafio-resposta em tempo real, como U2F, abordam vulnerabilidades de OTP, como phishing e várias formas de ataques man-in-the-middle. Como o servidor legítimo está emitindo o desafio, se um site desonesto ou intermediário manipular o fluxo, o servidor detectará uma anormalidade na resposta e negará a transação.
 
As vantagens do U2F incluem:
 

Lorem ipsum dolor sit amet, consectetuer adipiscing elit, sed diam nonummy nibh euismod tincidunt ut laoreet dolore magna aliquam erat volutpat.

  • Forte segurança de criptografia de chave pública.
  • Fácil de usar, sem códigos para redigitar e sem drivers para instalar.
  • Alta privacidade para que nenhuma informação pessoal seja associada a uma chave.
  • Uso ilimitado em que um número ilimitado de contas pode ser protegido por um único dispositivo.

Com todos esses grandes benefícios, por que o FIDO U2F não é implementado em serviços de maior escala além do Google, Dropbox e GitHub? Um motivo é que o navegador Chrome é um dos únicos clientes disponíveis. Além disso, leva tempo para conduzir novos padrões globais e as especificações técnicas do U2F foram disponibilizadas apenas um ano atrás.

Se você está pensando em melhorar a autenticação forte para o seu serviço, o OTP é um bom começo, mas o FIDO U2F definitivamente deve estar no seu radar. Aqui estão alguns links úteis:

Fonte: yubico.com

Hardware Wallets

Vale Presente

R$100,00R$6.495,09
-28%
Lançamento

Hardware Wallets

Ledger Stax

R$2.799,00
-40%

Hardware Wallets

Ledger Nano X

R$1.499,00
-40%

Hardware Wallets

Trezor T

R$1.499,00
-53%
Lançamento

Hardware Wallets

Ledger Nano S Plus

R$799,00
-54%
Lançamento

Hardware Wallets

Trezor Safe 3

R$777,00
-46%
Lançamento

Hardware Wallets

SecuX V20

R$699,00
-70%
Lançamento
R$599,00
-70%
Lançamento
R$599,00
-40%

Hardware Wallets

SecuX W20

R$599,00
-53%
Fora de estoque
Elementor PROWP RocketCrocoblockCheckout Woocommerce