O que é autenticação FIDO (Fast Identity Online)?

As passkeys são armazenadas no dispositivo do usuário, como um smartphone. Eles permitem que o usuário faça login em um site ou aplicativo pelos mesmos métodos que usa para desbloquear o dispositivo, como reconhecimento facial, digitalização de impressão digital ou inserção de um PIN.

O IBM X-Force Threat Intelligence Index relata que o roubo de credenciais é o impacto mais comum enfrentado pelas vítimas de violações. Agentes de ameaças usam ataques de phishing e malware de roubo de informações para coletar essas credenciais, que podem vender na dark web ou usar para expandir seu alcance em uma rede. Quase um terço dos ataques cibernéticos envolvem a invasão de contas de usuário válidas.

A autenticação FIDO ajuda a minimizar as ameaças à cibersegurança representadas pelo roubo de credenciais e o sequestro de contas. Chaves de acesso não podem ser roubadas com a mesma facilidade das senhas. Para invadir uma conta protegida por chave de acesso, o invasor deve obter acesso ao dispositivo do usuário e inserir com sucesso o PIN ou burlar a segurança biométrica.

A FIDO Alliance é um consórcio de agências de governos, empresas e companhias de tecnologia, incluindo IBM, Apple, Amazon, Microsoft, PayPal e muitas outras. O grupo desenvolve e mantém padrões de autenticação FIDO com o objetivo de reduzir a dependência de senhas.

A FIDO Alliance lançou o primeiro protocolo FIDO, FIDO 1.0, em 2014. O protocolo mais recente, FIDO2, foi desenvolvido em cooperação com o World Wide Web Consortium e lançado em 2018.

Hoje, milhões de pessoas utilizam a autenticação FIDO para fazerem login em sites e aplicações. O protocolo FIDO2 é aceito pelos principais navegadores da web, sistemas de logon único (SSO), soluções de gerenciamento de acesso e identidade (IAM), servidores da web e sistemas operacionais, incluindo iOS, MacOS, Android e Windows.

A autenticação FIDO usa criptografia de chave pública (PKC) para gerar um par de chaves criptográficas exclusivo associado à conta de um usuário. Esse par de chaves, chamado de "chave de acesso", consiste em uma chave pública que permanece com o provedor de serviços e uma chave privada que reside no dispositivo do usuário.

Quando o usuário faz login em sua conta, o provedor de serviços envia um desafio, normalmente uma sequência aleatória de caracteres, para o dispositivo do usuário. O dispositivo pede ao usuário que se autentique por meio de um PIN ou uma autenticação biométrica.

Se o usuário se autenticar com êxito, o dispositivo usará a chave privada para assinar o desafio e enviá-lo de volta ao provedor de serviços. O provedor de serviços usará a chave pública para verificar se a chave privada correta foi usada e, em caso afirmativo, concede ao usuário o acesso à conta.

Uma chave de acesso armazenada em um dispositivo pode ser usada para fazer login em um serviço em outro dispositivo. Por exemplo, se um usuário configurar uma chave de acesso para sua conta de e-mail em seu dispositivo móvel, ainda poderá fazer login nessa conta em um notebook. O usuário completaria o desafio de autenticação no dispositivo móvel registrado.

O FIDO também é compatível com o uso de chaves de segurança, também chamadas de "tokens", como método de autenticação. As chaves de segurança FIDO são dispositivos físicos pequenos e dedicados que podem criar pares de chaves e desafios de assinatura. Eles se conectam a outros dispositivos por meio de Bluetooth, protocolos de comunicação de campo próximo (NFC) ou uma porta USB. Uma chave de segurança FIDO pode tomar o lugar de dados biométricos ou de um PIN no processo de autenticação: a posse da chave autentica o usuário.

Como a chave privada é armazenada no dispositivo do usuário, e nunca sai, a possibilidade de uma violação de segurança é minimizada. Os hackers não podem roubá-los invadindo um banco de dados nem interceptando comunicações. A chave pública que reside com o provedor de serviços não contém informações confidenciais e é de pouca utilidade para os hackers.

Para configurar a autenticação FIDO em uma conta de e-mail, o usuário pode seguir estas etapas:

1. Nas configurações da conta, o usuário seleciona “chave de acesso” como método de autenticação.
   
   
2. O usuário seleciona o dispositivo no qual deseja criar a chave de acesso. A maioria dos sistemas tem como padrão a criação de uma chave de acesso no dispositivo em uso no momento, mas os usuários geralmente têm a opção de selecionar outro dispositivo que tenham.
     
3. O dispositivo selecionado pede ao usuário que autentique por meio de biometria ou PIN.
   
   
4. O dispositivo do usuário cria um par de chaves criptográficas. A chave pública é enviada ao provedor de e-mail e a chave privada é armazenada no dispositivo.
   
   
5. Na próxima vez que o usuário fizer login, o provedor de e-mail enviará uma solicitação para o dispositivo do usuário.
   
   
6. O usuário responde à solicitação autenticando com biometria ou um PIN.
   
   
7. O dispositivo devolve a solicitação assinada ao provedor de e-mail, que usa a chave pública para confirmá-lo.
   
   
8. O usuário recebe o acesso à conta de e-mail.

O FIDO aceita dois tipos de chaves de acesso: chaves de acesso sincronizadas e chaves de acesso vinculadas ao dispositivo.

As chaves de acesso sincronizadas podem ser usadas em vários dispositivos, o que as torna mais práticas. Gerenciadores de credenciais como Apple Passwords, Windows Hello e Google Password Manager podem armazenar chaves de acesso sincronizadas e disponibilizá-las aos usuários em qualquer dispositivo.

Por exemplo, um usuário pode registrar uma senha em um smartphone para acessar uma aplicação bancária. A mesma chave de acesso fica disponível no gerenciador de credenciais quando o usuário faz login na aplicação bancária com seu notebook ou tablet.

Esse tipo de chave de acesso está vinculado a um único dispositivo, oferecendo o nível mais alto de segurança.

As chaves de acesso vinculadas ao dispositivo geralmente são acessadas com uma chave de physical security conectada a um dispositivo específico. A chave de acesso não pode sair do dispositivo, portanto é menos vulnerável ao acesso não autorizado.

As senhas vinculadas ao dispositivo são frequentemente usadas para acessar informações altamente confidenciais, como dados financeiros, propriedade intelectual corporativa ou materiais confidenciais do governo.

Os protocolos FIDO evoluíram e melhoraram desde a introdução do FIDO 1.0 em 2014. A funcionalidade dos protocolos introduzidos no FIDO 1.0 é incorporada aos protocolos mais recentes de autenticação FIDO2.

O FIDO UAF foi um dos primeiros protocolos desenvolvidos pela FIDO Alliance. Ele oferece a capacidade de fazer login em um serviço sem usar uma senha. Com o UAF, um usuário pode autenticar diretamente de um dispositivo usando dados biométricos, como reconhecimento facial ou um PIN.

O U2F foi desenvolvido para possibilitar autenticação de dois fatores (2FA) para sistemas que dependem de nomes de usuário e senhas. Os métodos de 2FA exigem um segundo fator para que os usuários confirmem suas identidades. O U2F usa uma chave de segurança física como segundo fator.

Após o lançamento do FIDO2, o U2F foi renomeado como "CTAP1".

A FIDO2 introduziu dois novos protocolos que expandem o alcance e os recursos dos protocolos anteriores.

O WebAuthn aprimora os recursos do UAF apresentando uma interface de programação de aplicativos da web (API da web) que disponibiliza a autenticação sem senha para partes confiáveis. "Partes confiáveis" é o termo para sites e aplicativos da web que utilizam autenticação FIDO.

Além da API, o WebAuthn também oferece padrões FIDO que definem como as interações devem fluir entre a aplicação da web, o navegador da web e um autenticador, como uma chave de segurança.

O CTAP2 define como um cliente FIDO, como um navegador da web ou um sistema operacional, se comunica com um autenticador. O autenticador é o componente responsável pela verificação da identidade do usuário.

No U2F (ou CTAP1), o autenticador sempre foi uma chave de segurança. O CTAP2 adiciona compatibilidade para autenticadores adicionais que residem no dispositivo de um usuário, como reconhecimento de voz e facial, impressões digitais ou um PIN.

As chaves de acesso FIDO proporcionam um método mais rápido, fácil e seguro para a entrada do usuário. Em sites de comércio eletrônico e grandes provedores de serviços globais, o FIDO pode melhorar a experiência do cliente e reduzir a necessidade de recuperação de contas devido a credenciais perdidas ou esquecidas.

As empresas utilizam autenticação FIDO para conceder aos funcionários, fornecedores, prestadores de serviços e outros stakeholders o acesso rápido aos recursos corporativos. Em comparação com a autenticação por senha, as chaves de acesso FIDO podem oferecer segurança superior e facilidade de uso.

O FIDO é frequentemente usado para autenticar compradores em ambientes de comércio eletrônico, como confirmação de pagamentos por meio de aplicativos móveis. Ele também pode ser usado para confirmar a identidade do titular do cartão para permitir que a transação prossiga.

A FIDO não processa pagamentos, mas ajuda a garantir que as pessoas sejam autorizadas a realizar transações, o que pode reduzir fraudes.

Alguns órgãos do governo agora usam a autenticação FIDO para atividades como o processamento de declarações de impostos e a verificação de aplicação de benefícios públicos. Por exemplo, o serviço login.gov, que oferece aos cidadãos um ponto único de acesso para uma variedade de agências federais dos EUA, utiliza autenticação FIDO2.