Autenticação Moderna e Segura.

FIDO — FAST IDENTITY ONLINE ALLIANCE.

A FIDO Alliance (Fast Identity Online Alliance) é uma organização sem fins lucrativos formada em 2012, cujo objetivo é abordar as deficiências dos sistemas tradicionais de autenticação online. Ela promove a criação de padrões de autenticação que ajudam a reduzir a dependência de senhas para autenticar usuários, buscando alternativas mais seguras, privadas e fáceis de usar.

Estes padrões são suportados por dois principais protocolos desenvolvidos pela aliança:

FIDO UAF (Universal Authentication Framework)

Esse framework é projetado para criar uma experiência de autenticação sem senha, na qual os usuários apenas realizam uma ação — como tocar um sensor biométrico ou inserir um dispositivo de segurança — para acessar um serviço.

Autenticação Biométrica: Utiliza características físicas únicas do usuário, como impressão digital, reconhecimento facial, reconhecimento de voz, e reconhecimento de íris, para autenticar.
Tokens de Segurança: Dispositivos físicos que o usuário pode utilizar para se autenticar, como uma chave de segurança USB.
PINs ou Padrões de Desbloqueio: Combinações de números ou padrões que são conhecidos apenas pelo usuário e que podem ser usados para autenticação.

FIDO2

É uma evolução do FIDO UAF e do FIDO U2F, que busca universalizar e facilitar a autenticação sem senha através de dois componentes principais: WebAuthn (Web Authentication) e a CTAP (Client to Authenticator Protocol). Vamos explorar cada um desses protocolos e os métodos de autenticação associados.

WebAuthn (Web Authentication):

Autenticação Biométrica no Navegador: Permite que os usuários utilizem a biometria disponível em seus dispositivos diretamente em navegadores web para autenticar em sites, sem a necessidade de senhas.
Chaves de Segurança: Permite o uso de dispositivos de hardware, como chaves FIDO, para autenticar em sites através do navegador.
Aplicativos e Dispositivos Móveis: Utiliza dispositivos móveis ou aplicativos como métodos de autenticação para serviços web.

CTAP (Client to Authenticator Protocol)

Comunicação entre Dispositivos: Permite que dispositivos externos, como smartphones ou chaves de segurança, se comuniquem com um dispositivo cliente (por exemplo, um laptop) para realizar a autenticação.
Suporte a Diversos Autenticadores: Facilita o uso de diferentes tipos de autenticadores, incluindo biometria, chaves de segurança físicas, e dispositivos móveis, permitindo que estes atuem como “chaves” para acessar serviços online.

O conceito de “passwordless” (sem senha) na FIDO Alliance é centrado na ideia de oferecer métodos de autenticação mais seguros e convenientes, eliminando a necessidade de senhas tradicionais. Isso é realizado por meio dos protocolos de autenticação FIDO UAF e FIDO2 que detalhamos as suas capacidades anteriormente, vamos detalhar como funciona o processo passwordless com a FIDO:

FIDO UAF (Universal Authentication Framework)

1. Registro do Dispositivo: O usuário registra seu dispositivo de autenticação (por exemplo, um smartphone com sensor biométrico) com o serviço online desejado. Durante o registro, o dispositivo cria um par de chaves (pública e privada) específico para esse serviço. A chave pública é enviada ao serviço online, enquanto a chave privada permanece segura no dispositivo.

1. Autenticação: Quando o usuário deseja acessar o serviço, ele é solicitado a demonstrar posse do dispositivo de autenticação, geralmente através de uma ação biométrica (como um escaneamento de impressão digital ou reconhecimento facial). O dispositivo utiliza a chave privada para assinar uma solicitação de autenticação. Essa assinatura digital, que prova a posse da chave privada sem revelá-la, é enviada ao serviço online.
2. Validação: O serviço online verifica a assinatura digital usando a chave pública correspondente previamente registrada. Se a assinatura for válida, o usuário é autenticado.

FIDO2

FIDO2 expande e aprimora a abordagem passwordless, incorporando dois componentes principais: WebAuthn e CTAP.

1. Registro do Dispositivo com WebAuthn: Similar ao UAF, o processo começa com o registro do dispositivo ou da chave de segurança. O usuário registra seu autenticador (biometria, chave de segurança ou dispositivo móvel) no website, que solicita a criação de um novo par de chaves. A chave pública é armazenada pelo serviço online, enquanto a chave privada fica segura no autenticador.
2. Autenticação com WebAuthn: Quando o acesso é necessário, o website solicita uma operação de autenticação. O usuário ativa seu autenticador (por exemplo, usando biometria ou inserindo uma chave de segurança), que assina a solicitação. Esta assinatura é verificada pelo serviço online utilizando a chave pública previamente registrada.
3. Suporte CTAP para Autenticadores Externos: CTAP é especialmente relevante quando se usa um dispositivo externo como autenticador. Ele permite que dispositivos como smartphones e chaves de segurança se comuniquem com outros dispositivos (por exemplo, um laptop) para a autenticação, facilitando a experiência passwordless mesmo quando os autenticadores integrados não estão disponíveis.

Em ambos os casos, o processo passwordless da FIDO substitui a necessidade de lembrar e inserir senhas, reduzindo significativamente o risco de ataques de phishing, roubo de senha e outras vulnerabilidades de segurança online, ao mesmo tempo buscam simplificar o processo de autenticação para os usuários, oferecendo uma experiência mais conveniente e rápida.

A FIDO Alliance é composta por uma ampla gama de membros de diferentes setores, incluindo empresas de tecnologia, instituições financeiras, e entidades governamentais. Esses membros colaboram para desenvolver e promover padrões abertos de autenticação para reduzir a dependência mundial de senhas e aumentar a segurança online. A lista de membros é extensa e varia desde startups de tecnologia até algumas das maiores corporações globais. Entre os membros, você encontrará:

Empresas de Tecnologia

Grandes nomes da indústria de tecnologia são membros da FIDO Alliance, incluindo empresas como Google, Microsoft, Apple, e Samsung. Estas empresas integram tecnologias de autenticação FIDO em seus produtos e serviços, promovendo soluções de autenticação mais seguras e convenientes.

Instituições Financeiras

Bancos e instituições financeiras também fazem parte da FIDO Alliance, como Bank of America, Wells Fargo, e Visa. Essas entidades estão particularmente interessadas em melhorar a segurança da autenticação para prevenir fraudes financeiras e melhorar a experiência do cliente.

Fabricantes de Hardware

Empresas que produzem hardware, como dispositivos de autenticação e smartphones, como Yubico e Qualcomm, são membros importantes. Eles desenvolvem e oferecem produtos que suportam os padrões FIDO, como chaves de segurança e sensores biométricos.

Provedores de Serviço

Provedores de serviços online e de telecomunicações, incluindo nomes como Facebook, Amazon, e Verizon, também são membros. Eles adotam os padrões FIDO para oferecer métodos de autenticação seguros aos seus usuários.

Entidades Governamentais e Organizações Não Governamentais

Diversas entidades governamentais e ONGs são parte da aliança, contribuindo com a perspectiva regulatória e promovendo a adoção dos padrões FIDO em serviços governamentais para cidadãos.

A FIDO Alliance permite que esses membros colaborem na criação de padrões de autenticação seguros e de fácil utilização, com o objetivo de facilitar a adoção de autenticações mais seguras em todo o mundo. A colaboração entre diferentes setores é crucial para o sucesso da missão da FIDO, uma vez que a segurança online é uma preocupação universal que transcende fronteiras industriais e geográficas.

Referências:

FIDO (Fast Identity Online)

The FIDO alliance and a passwordless future

Conferência Authenticate 2022 - baseada em padrões FIDO