Os padrões de identidade rápida online (FIDO) são protocolos de autenticação onde segurança e experiência do usuário se encontram.
Os padrões FIDO, desenvolvidos por uma associação industrial aberta – a FIDO Alliance, oferecem mais segurança do que apenas senhas ou códigos de acesso de uso único e permitem uma autenticação rápida, segura e mais forte.
Ele abrange várias técnicas de autenticação, como varreduras biométricas, varreduras de íris, reconhecimento de voz ou reconhecimento facial. O FIDO também facilita soluções de autenticação existentes, como tokens de segurança, autenticação por cartão inteligente, comunicação por campo de proximidade (NFC) e mais.
Curiosamente, as origens linguísticas do nome FIDO remontam à palavra latina “fido”, que significa confiança, conforme definido no dicionário de latim da Universidade de Notre Dame, e é apenas um acrônimo apropriado para o ambiente de segurança, onde a confiança é primordial.
A missão da FIDO Alliance é “reduzir a dependência mundial de senhas”. O que começou em 2009 como a visão do PayPal e da Validity Sensors para um padrão industrial que permitiria biometria para identificação de usuários online em vez de senhas, agora se tornou exatamente isso.
Os membros atuais da FIDO Alliance incluem líderes globais de tecnologia nos setores de empresas, pagamentos, telecomunicações, governo e saúde, e incluem gigantes da tecnologia como Amazon, Alibaba, Facebook e Google. Sites e aplicativos habilitados para FIDO agora alcançam mais de 3 bilhões de usuários comerciais.
O que são os padrões FIDO?
Os padrões FIDO oferecem uma série de especificações abertas e escaláveis, como o Universal Authentication Framework (UAF), o Universal Second Factor (U2F) e o FIDO2, permitindo uma experiência de autenticação do usuário mais simples e segura.
Ele facilita a identificação do usuário com sistemas biométricos, autenticação multifator (MFA) e outras alternativas em sites e aplicativos. Ele enfatiza um modelo centrado no dispositivo, onde utiliza criptografia de chave pública padrão, onde um usuário é desafiado a provar a posse da chave privada de várias maneiras.
Quer aprender mais sobre Software de Autenticação Multifator (MFA)? Explore os produtos de Autenticação Multifator (MFA).
Como o FIDO funciona?
Quando um usuário cria uma conta ou se registra em um serviço online que emprega o padrão FIDO, o dispositivo gera um conjunto de chaves criptográficas. O sistema registra a chave pública com os serviços online e armazena a chave privada no dispositivo.
Durante a autenticação, o sistema desafia o usuário a provar a posse da chave privada. Você pode fazer isso através de diferentes métodos de autenticação habilitados para FIDO, como autenticação biométrica, reconhecimento facial, autenticação multifator e mais. Você pode usar sua chave privada localmente no dispositivo após desbloqueá-lo por métodos seguros, que incluem deslizar um dedo, falar no microfone, inserir um PIN ou pressionar um botão.
Os protocolos FIDO mantêm a privacidade do usuário protegida enquanto você aproveita o acesso rápido e seguro aos serviços online. Em nenhuma circunstância os protocolos FIDO fornecem informações aos serviços online com os quais eles podem colaborar e rastrear o usuário entre os serviços.
Especificações FIDO
O FIDO fornece as seguintes especificações para reduzir as redundâncias de lembrar senhas complexas e abordar a falta de interoperabilidade entre dispositivos de autenticação forte.
Universal Authentication Framework (UAF)
O Universal Authentication Framework foi publicado em 2014 e foi destinado a facilitar a autenticação sem senha através de biometria. De acordo com o UAF, quando um usuário se autentica em um serviço ou aplicativo, ele será desafiado por um ou mais fatores de segurança em seu dispositivo digital. Uma vez que eles consigam passar por esses desafios, a chave privada será liberada, o que pode ajudar o usuário a passar por um desafio emitido pelo Servidor FIDO UAF.
O mecanismo usado pelo usuário para verificar no dispositivo pode ser biométrico, baseado em posse ou conhecimento para obter a chave privada e completar o processo de autenticação. A especificação UAF também orienta sobre a criação e gerenciamento de várias políticas para verificação de transações. Este padrão FIDO é usado por várias organizações para melhorar sua segurança e proporcionar uma experiência satisfatória ao usuário tanto para clientes quanto para suas equipes.
Universal Second Factor (U2F)
O padrão U2F estabelece diretrizes para fortalecer e simplificar a autenticação de dois fatores (2FA) usando comunicação por campo de proximidade (NFC) ou dispositivos USB baseados na tecnologia semelhante a cartões inteligentes. Foi inicialmente desenvolvido pela Yubico e Google com contribuições da NXP semiconductors.
O design do padrão gira em torno de dispositivos USB se comunicando com o sistema host usando o protocolo de dispositivo de interface humana (HID), simplesmente imitando um teclado. Ele permite que um navegador acesse os recursos de segurança do dispositivo e elimina a necessidade de instalar um software de driver de hardware específico para ler o dispositivo USB.
Uma vez que o computador host lê o dispositivo USB e uma comunicação é estabelecida, a autenticação de desafio-resposta é conduzida onde o dispositivo usa técnicas de criptografia de chave pública e uma chave de dispositivo única. Navegadores como Google Chrome, Opera, Firefox, Safari e Thunderbird suportam as especificações U2F usando chaves de segurança U2F como um método adicional de verificação em duas etapas em serviços online.
Client to Authenticator Protocol (CTAP)
O CTAP capacita um autenticador criptográfico itinerante, como um telefone móvel ou chave de segurança de hardware, a garantir a interoperabilidade com um dispositivo cliente, como um laptop. Ele complementa o padrão WebAuthentication (WebAuthn) publicado pelo consórcio World Wide Web (W3C).
O protocolo é baseado no padrão de autenticação U2F lançado pela FIDO Alliance. U2F e WebAuth foram a base do desenvolvimento do padrão FIDO 2.0. A especificação CTAP refere-se a dois protocolos CTAP1 e CTAP2. O CTAP 1, o novo nome para o protocolo FIDO U2F, orienta sobre o estabelecimento de comunicação com autenticadores habilitados para FIDO U2F e navegadores e sistemas operacionais habilitados para FIDO2 para permitir a autenticação de dois fatores.
Por outro lado, o CTAP 2 define maneiras pelas quais navegadores e sistemas operacionais habilitados para FIDO2 podem se comunicar com autenticadores externos, como dispositivos móveis ou chaves de segurança FIDO, para facilitar a autenticação sem senha, de dois fatores ou multifator.
FIDO2
O propósito do FIDO2 é permitir a autenticação sem senha. Ele é construído sobre o U2F e uma versão expandida do CTAP. O padrão permite que as autenticações se tornem sem senha aproveitando a API da web – WebAuthn.
O FIDO2 elimina o risco causado pelo mau gerenciamento de senhas, pois suas credenciais de login criptográficas são únicas para cada site e não são armazenadas em um servidor, mas localmente no dispositivo do usuário.
O fluxo de comunicação definido pelo FIDO2 é:
- Uma conexão é estabelecida entre o aplicativo (ou navegador) e o autenticador.
- O aplicativo reconhece as capacidades do autenticador e obtém informações sobre ele usando o comando authenticatorGetInfo.
- Um comando de operação é enviado pelo aplicativo ao autenticador se for considerado capaz.
- O autenticador envia dados de resposta ou uma mensagem de erro.
Antes de executar este protocolo, é importante que o autenticador externo e o host estabeleçam um canal de transporte de dados seguro e mutuamente autenticado.
Quem usa o FIDO?
O FIDO ajuda as organizações a mitigar riscos críticos de uma violação de dados emergente devido a senhas fracas ou mau gerenciamento de senhas. Ele permite que sua empresa economize em custos associados ao provisionamento de dispositivos, redefinição de senhas, suporte ao cliente e mais, enquanto proporciona uma experiência de usuário perfeita.
70%
é o custo médio de mão de obra do help desk para uma única redefinição de senha.
Fonte: FIDO Alliance
Devido a esses benefícios e a uma variedade de outros, os casos de uso do FIDO são encontrados em diferentes organizações e instituições.
Saúde e seguros
No setor de saúde, a autenticação FIDO ajuda a garantir que os detalhes dos pacientes, como registros médicos, informações pessoais e outros dados sensíveis, sejam acessíveis apenas a eles, além dos provedores confiáveis.
Ele assegura aos pacientes que suas informações estão com autoridades confiáveis que aderem a padrões como a Lei de Portabilidade e Responsabilidade de Seguro de Saúde (HIPAA). Ele envolve sistemas médicos e unidades de saúde com uma forte camada protetora de segurança para prevenir um ataque cibernético.
As empresas de seguros usam a autenticação usando protocolos FIDO para ajudar a garantir que tenham uma autenticação forte em vigor.
Organizações empresariais
Em empresas, o FIDO simplifica o processo de autenticação dos usuários, tornando-o rápido e conveniente enquanto fornece autenticação. O FIDO é tipicamente usado para facilitar a autenticação do usuário em seu ciclo de vida dentro de uma organização. Ele permite que os usuários realizem transações de pagamento seguras e mantém uma camada de segurança protetora em torno de suas assinaturas digitais.
Em ambientes ancorados nos padrões de autenticação FIDO, os usuários podem possuir diferentes autenticadores ao mesmo tempo, como um para um laptop e outro para um dispositivo móvel. No momento do registro do usuário, as credenciais FIDO são registradas em um autenticador local e estão vinculadas a uma conta de usuário específica, que é usada durante a fase de autenticação.
Por exemplo, onde um usuário perdeu o dispositivo de autenticação, os padrões FIDO permitem que os administradores revoguem e excluam as credenciais, que podem ser criadas em outro dispositivo seguindo o processo de registro. Nos casos em que as credenciais FIDO precisam ser renovadas, os administradores garantem que o mesmo nível de segurança seja aplicado como no processo de registro. Inerentemente, o padrão FIDO não suporta o conceito de renovação de credenciais, então qualquer processo de renovação terá que ser projetado no sistema que suporta a autenticação FIDO.
Serviços financeiros
Bancos e provedores de serviços financeiros expandiram seu escopo de entrega para alcançar clientes onde eles estão. Com o banco online e móvel, os clientes podem utilizar serviços financeiros longe de agências designadas, levando a uma demanda aumentada por segurança de autenticação robusta.
Os protocolos FIDO atendem a essa necessidade fornecendo padrões de autenticação seguros para bancos e instituições financeiras, onde os usuários ficam satisfeitos com uma experiência bancária fácil e direta.
Governo
Agências governamentais podem usar o FIDO para fornecer autenticação multifator ou baseada em dispositivos móveis rápida e segura para serviços online. O padrão suporta credenciais de verificação de identidade pessoal derivadas (PIV), que permitem a emissão de credenciais de infraestrutura de chave pública (PKI) com base na posse de cartões inteligentes PIV. Ele permite que os usuários obtenham acesso rápido e seguro a informações e aplicativos críticos.
Vá além das senhas
Implemente os padrões FIDO para eliminar os riscos associados a senhas fracas ou roubadas. Equipe sua equipe com autenticação sem senha para proporcionar a eles uma experiência de login perfeita enquanto mantém uma segurança robusta em torno de seus aplicativos e serviços online.
Saiba mais sobre os tipos de métodos de autenticação sem senha que você pode introduzir em sua organização.
Sagar Joshi
Sagar Joshi is a former content marketing specialist at G2 in India. He is an engineer with a keen interest in data analytics and cybersecurity. He writes about topics related to them. You can find him reading books, learning a new language, or playing pool in his free time.
