O que é FIDO2?

O FIDO2 consiste em dois protocolos: Web Authentication (WebAuthn) e Client to Authenticator Protocol 2 (CTAP2). Trabalhando juntos, esses protocolos permitem que os usuários façam login em um site ou aplicação sem o uso de senhas tradicionais.

Em vez de senhas, a autenticação FIDO2 utiliza os mesmos métodos que as pessoas usam para liberar um dispositivo, como um smartphone ou um notebook. Os usuários do FIDO2 podem se autenticar com reconhecimento facial, leitor de impressão digital ou inserindo um PIN. Eles também podem usar um token de hardware físico conhecido como chave de segurança FIDO2.

Como o FIDO2 é baseado na criptografia de chave pública, oferece um método de autenticação mais seguro do que as senhas que os invasores geralmente atacam. O IBM® X-Force® Threat Intelligence Index relata que quase um terço dos ataques cibernéticos envolvem o sequestro de contas de usuário válidas.

Eliminando as senhas, o FIDO2 atenua muitas ameaças de cibersegurança como phishing, ataques de intermediário e sequestro de contas. Também proporciona uma experiência de usuário mais prática, pois não há necessidade de lembrar senhas, alterá-las regularmente nem lidar com processos de redefinição e recuperação.

A autenticação FIDO2 utiliza criptografia de chave pública para gerar um par de chaves criptográficas exclusivo, chamado de "senha", associado à conta do usuário. O par de chaves consiste em uma chave pública que permanece com o provedor de serviços e uma chave privada que reside no dispositivo do usuário.

Quando o usuário faz login em sua conta, o provedor de serviços envia um desafio, normalmente uma sequência aleatória de caracteres, para o dispositivo do usuário. O dispositivo solicita que o usuário se autentique inserindo um PIN ou por meio de autenticação biométrica.

Se o usuário se autenticar com êxito, o dispositivo usará a chave privada para assinar o desafio e enviá-lo de volta ao provedor de serviços. O provedor de serviços usa a chave pública para verificar se foi utilizada a chave privada correta e, caso positivo, concede ao usuário o acesso à sua conta.

Uma chave de acesso armazenada em um dispositivo pode ser usada para fazer login em um serviço em outro dispositivo. Por exemplo, se um usuário configurar uma senha de acesso para sua conta de e-mail em seu dispositivo móvel, ainda poderá fazer login em sua conta de e-mail em um notebook. O usuário completaria o desafio de autenticação no dispositivo móvel registrado.

O FIDO2 também é compatível com o uso de chaves de segurança, como um YubiKey ou Google Titan, como método de autenticação.

As chaves de segurança, também chamadas de "tokens", são pequenos dispositivos físicos que transmitem informações de autenticação diretamente para um serviço. Eles podem se conectar por meio do Bluetooth, protocolos de comunicação de campo próximo (NFC) ou uma porta USB. Os usuários podem usar uma chave de segurança FIDO2 em vez de dados biométricos ou um PIN para se autenticarem e assinarem um desafio.

Como a chave privada é armazenada no dispositivo do usuário, e nunca sai, a possibilidade de uma violação de segurança é minimizada. Os hackers não podem roubá-los invadindo um banco de dados nem interceptando comunicações. A chave pública que reside com o provedor de serviços não contém informações confidenciais e é de pouca utilidade para os hackers.

Digamos que um usuário queira usar a autenticação FIDO para fazer login em sua conta de e-mail. O processo para criar uma chave de acesso e autenticar com ela seria assim:

1. Nas configurações da conta, o usuário seleciona “chave de acesso” como método de autenticação.
   
   
2. O usuário seleciona o dispositivo no qual deseja criar a chave de acesso. Normalmente, esse dispositivo é o dispositivo que a pessoa está usando no momento, mas também pode ser outro dispositivo de sua propriedade.
   
   
3. O dispositivo selecionado solicita que o usuário faça a autenticação com dados biométricos, um PIN ou uma chave de segurança.
   
   
4. O dispositivo do usuário cria um par de chaves criptográficas. A chave pública é enviada ao provedor de e-mail e a chave privada é armazenada no dispositivo.
   
   
5. Na próxima vez que o usuário fizer login, o provedor de e-mail enviará uma solicitação para o dispositivo do usuário.
   
   
6. O usuário responde ao desafio autenticando-se com biometria, um PIN ou uma chave de segurança.
   
   
7. O dispositivo retorna o desafio autenticado ao provedor de e-mail, que usa a chave pública para confirmar.
   
   
8. O usuário recebe o acesso à conta de e-mail.

O FIDO2 também aceita dois tipos de chaves de acesso: chaves de acesso sincronizadas e chaves de acesso vinculadas ao dispositivo.

As chaves de acesso sincronizadas podem ser usadas em vários dispositivos, o que as torna mais práticas. Gerenciadores de credenciais como Apple Passwords, Windows Hello e Google Password Manager podem armazenar chaves de acesso sincronizadas e disponibilizá-las aos usuários em qualquer dispositivo.

Por exemplo, um usuário pode registrar uma senha em um smartphone para acessar uma aplicação bancária. A mesma chave de acesso estará disponível no gerenciador de credenciais quando o usuário fazer login na aplicação bancária com seu notebook ou tablet.

Esse tipo de chave de acesso está vinculado a um único dispositivo, oferecendo o nível mais alto de segurança.

As chaves de acesso vinculadas ao dispositivo geralmente são acessadas com uma chave de physical security conectada a um dispositivo específico. A chave de acesso não pode sair do dispositivo, portanto é menos vulnerável ao acesso não autorizado.

As senhas vinculadas ao dispositivo são frequentemente usadas para acessar informações altamente confidenciais, como dados financeiros, propriedade intelectual corporativa ou materiais confidenciais do governo.

Em 2013, um grupo de empresas de tecnologia formou a FIDO Alliance. O objetivo da organização era reduzir a dependência do mundo da autenticação baseada em senha.

Um ano depois, a aliança introduziu o padrão FIDO 1.0, que consistia em dois protocolos: Universal Authentication Framework (UAF) e Universal Segundo Fator (U2F). O novo padrão lançou as bases para a autenticação sem senha, mas tinha escopo limitado.

Por exemplo, o FIDO 1.0 concentrou-se principalmente na disponibilização de um segundo fator para autenticação baseada em senha, em vez de eliminar senhas completamente. Também faltava uma padronização que permitisse sua fácil adoção em diferentes plataformas, aplicações e navegadores da web.

A FIDO Alliance abordou essas limitações quando lançou os dois novos protocolos da FIDO2—Client to Authenticator Protocol 2 (CTAP2) e Web Authentication (WebAuthn)—em 2018.

O CTAP2 oferece uma experiência de autenticação sem senha de fator único. O WebAuthn simplifica a adoção da FIDO com uma interface de programação de aplicativos (API) padronizada baseada em navegador. Essa funcionalidade expandida ajudou a FIDO2 a se tornar um padrão de autenticação amplamente adotado para sites, aplicações e serviços online.

Hoje, milhões de pessoas utilizam a autenticação FIDO2 para fazer login em sites e aplicativos. A norma FIDO2 é compatível com a maioria dos dispositivos de usuários, navegadores da web, sistemas de logon único (SSO), soluções de gerenciamento de acesso e identidade (IAM), servidores da web e sistemas operacionais, incluindo iOS, MacOS, Android e Windows.

2013: A FIDO Alliance foi fundada com o objetivo de reduzir a dependência da autenticação baseada em senhas.

2014:  Lançamento do FIDO 1.0

2015: Os padrões FIDO começam a ser reconhecidos em todo o mundo. A FIDO Alliance se expande para mais de 250 membros, incluindo empresas como Microsoft, Google, PayPal e Bank of America.

2016: The FIDO Alliance começa a trabalhar no FIDO2. O grupo colabora com o influente World Wide Web Consortium para ajudar a garantir que o novo padrão fosse suportado em diversos navegadores e diversas plataformas.

2018: o FIDO2 é lançado e expande os recursos do FIDO 1.0.

2020: O FIDO2 é apoiado e implementado nos principais navegadores e sistemas operacionais, incluindo Firefox, Chrome, Edge, Safari, Android, iOS e Windows.

2024: a FIDO Alliance anuncia que mais de 15 bilhões de contas de usuários em todo o mundo podem usar a autenticação FIDO2.

Embora FIDO 1.0 e FIDO2 permitam a autenticação sem senha, o FIDO2 amplia consideravelmente o alcance e os recursos do padrão FIDO com uma autenticação forte totalmente sem senha por meio de dispositivos móveis, desktops ou chaves de segurança.

O FIDO2 oferece uma experiência de login mais fácil de usar, eliminando a necessidade de inserir senhas como primeiro fator na autenticação multifator (MFA). Também oferece uma API padronizada baseada na web para facilitar a adoção.

Para ter uma imagem mais clara da diferença entre o FIDO 1.0 e o FIDO2, convém observar os protocolos específicos por trás de cada iteração do padrão. 

O FIDO UAF foi um dos primeiros protocolos desenvolvidos pela FIDO Alliance. Ele oferece a possibilidade de fazer login em um serviço sem usar uma senha. Em vez de uma senha, o usuário pode autenticar-se diretamente em um dispositivo utilizando dados biométricos como reconhecimento de voz ou facial ou um PIN.

No entanto, a falta de padronização do UAF dificultou a integração e a implementação em vários navegadores, aplicações e servidores da web. Essa interoperabilidade limitada foi um obstáculo para sua adoção generalizada.

O FIDO U2F foi desenvolvido para oferecer autenticação de dois fatores (2FA) para sistemas que dependem de nomes de usuário e senhas. O 2FA exige um segundo fator para os usuários confirmarem suas identidades. O U2F utiliza uma chave de segurança física como segundo fator para autorização. Após o lançamento do FIDO2, o U2F foi batizado como "CTAP1".

A dependência da U2F de chaves de segurança física em vez de uma gama mais ampla de dispositivos, como smartphones e notebooks, foi um fator limitante para sua adoção.

O WebAuthn amplia os recursos do UAF entregando uma API para web que torna a autenticação sem senha facilmente disponível para terceiros confiáveis. "Partes confiáveis" é o termo para sites e aplicativos da web que utilizam autenticação FIDO.

O WebAuthn também oferece padrões FIDO que definem como as interações devem fluir entre a aplicação web, o navegador web e um autenticador, como dados biométricos ou uma chave de segurança.

O CTAP2 define como um cliente FIDO, como um navegador da web ou um sistema operacional, se comunica com um autenticador. O autenticador é o componente responsável pela verificação da identidade do usuário. No U2F (ou CTAP1), o autenticador sempre foi uma chave de segurança. O CTAP2 adiciona outros autenticadores que residem no dispositivo do usuário, como reconhecimento biométrico de voz e facial, impressões digitais ou um PIN.