O que é FIDO? Explore o futuro sem password da autenticação de identidade online

Na era digital, precisamos diariamente iniciar sessão em uma variedade de serviços online, desde e-mails até contas bancárias, passando por plataformas sociais e sistemas de trabalho. Os métodos tradicionais de verificação de senha não só são complicados e fáceis de esquecer, mas também apresentam sérias vulnerabilidades de segurança. De acordo com o relatório do IBM X-Force Threat Intelligence Index, quase um terço dos ataques cibernéticos envolve o sequestro de contas de usuários válidas. É nesse contexto que o protocolo FIDO surgiu, trazendo uma experiência de autenticação sem senha mais segura e conveniente.

Conceitos básicos do FIDO

FIDO (Fast Identity Online) é um conjunto de padrões abertos de autenticação de identidade, promovido pela Aliança FIDO desde a sua formação em julho de 2012. A aliança visa resolver o problema da falta de interoperabilidade entre tecnologias de autenticação forte e reduzir a dependência dos usuários de vários nomes de utilizador e senhas.

FIDO2 é um padrão aberto de autenticação sem senha desenvolvido pela FIDO Alliance e pelo World Wide Web Consortium (W3C), publicado em 2018, substituindo o primeiro padrão FIDO 1.0 publicado em 2014. O núcleo do FIDO2 é composto por dois protocolos: Autenticação Web (WebAuthn) e Protocolo de Cliente para Autenticador, Segunda Edição (CTAP2). Esses protocolos trabalham em conjunto, permitindo que os usuários façam login em sites ou aplicativos sem usar senhas tradicionais.

FIDO como funciona: a magia da criptografia de chave pública

A verificação FIDO2 utiliza tecnologia de criptografia de chave pública para gerar um par de chaves único chamado “Passkey”, que está associado à conta do usuário. Este par de chaves contém uma chave pública armazenada no prestador de serviços e uma chave privada que reside no dispositivo do usuário.

Quando os utilizadores desejam Iniciar sessão na sua conta, o fornecedor de serviços envia um desafio para o dispositivo do utilizador (normalmente uma sequência de caracteres aleatórios). O dispositivo solicitará ao utilizador que confirme a sua identidade inserindo um código PIN, utilizando autenticação biométrica (como impressões digitais ou reconhecimento facial) ou utilizando uma chave de segurança.

Se o utilizador passar na verificação com sucesso, o dispositivo assinará o desafio com a chave privada e enviá-lo-á de volta ao prestador de serviços. O prestador de serviços usará a chave pública para verificar se a chave privada correspondente foi utilizada e, com base nisso, concederá ao utilizador acesso à sua conta.

Como a chave privada é sempre armazenada no dispositivo do usuário e nunca sai dele, o risco de vulnerabilidades de segurança é significativamente reduzido. Mesmo que o servidor do fornecedor de serviços seja invadido, os hackers só podem obter a chave pública, o que é quase inútil para eles.

Vantagens do FIDO: Por que é melhor do que senhas

Em comparação com as senhas tradicionais, a verificação FIDO possui várias vantagens significativas:

1. Segurança aprimorada: o autenticador FIDO2 garante que as credenciais de login criptografadas sejam únicas para cada site e estejam sempre armazenadas no dispositivo do usuário, nunca sendo armazenadas no servidor. Essa abordagem pode efetivamente prevenir ataques de phishing, roubo de senhas, preenchimento de credenciais e ataques de reprodução.
2. Experiência do usuário conveniente: os usuários podem realizar a verificação de identidade através de métodos simples integrados (como reconhecimento de impressões digitais ou reconhecimento facial), eliminando a preocupação de lembrar senhas complexas. Um estudo demonstrou que a verificação FIDO oferece uma alternativa mais segura e conveniente em comparação com senhas tradicionais e a autenticação de dois fatores via SMS.
3. Proteção de privacidade: A verificação FIDO garante que a chave de criptografia é específica para o site, evitando o rastreamento entre sites. Quando se utiliza a biometria, os dados biométricos não saem do dispositivo do usuário, proporcionando uma proteção de privacidade adicional.
4. Interoperabilidade e escalabilidade: o padrão FIDO2 já conta com o apoio da maioria dos dispositivos dos utilizadores, navegadores da web, sistemas de autenticação única, soluções de gestão de identidades e acessos, servidores web e sistemas operativos (incluindo iOS, MacOS, Android e Windows). Ativar a chave de senha FIDO2 em sites também é muito simples, bastando uma chamada simples à API JavaScript.

Casos de uso práticos do FIDO

A verificação FIDO já foi amplamente aplicada em várias indústrias e cenários:

• Indústria financeira: A Weikang Technology de Taiwan, em parceria com 60% dos operadores financeiros de todo o país, incluindo o Banco de Cooperação e o Banco Mega, lidera a implementação do serviço financeiro FIDO. O Banco Mega e a Mega Insurance foram os primeiros a implementar o FIDO financeiro em junho de 2023, aplicando-o em cenários como atualização de informações de transações financeiras em balcões na nuvem, abertura de contas de valores mobiliários online e vinculação de contas de liquidação.
• Serviços de pagamento: A maior empresa de processamento de pagamentos da Coreia, BC Card, adotou a verificação FIDO em seu aplicativo de pagamento móvel paybooc, utilizando tecnologias de biometria por impressão digital, facial e de voz para iniciar sessão. Até maio de 2018, mais de 1,2 milhão de usuários já se registraram no paybooc utilizando autenticação biométrica, realizando mais de 1 milhão de transações por mês.
• Segurança empresarial: A HID lançou uma nova geração de produtos de certificação FIDO e integrou a funcionalidade de “Gestão de Chaves Empresariais” (Enterprise Passkey Management, EPM), ajudando as empresas a implantar e gerenciar as chaves de forma mais eficiente. De acordo com um estudo da FIDO Alliance, cerca de 87% das empresas já começaram a adotar a tecnologia de chaves.

O futuro desenvolvimento do FIDO

À medida que a identidade digital continua a evoluir, o padrão FIDO também está em constante evolução. Em junho de 2023, duas especificações da Aliança FIDO, FIDO UAF 1.2 e CTAP 2.1, foram reconhecidas como padrões internacionais pela Comissão de Normalização da União Internacional de Telecomunicações (UIT-T). Este marco estabelece esses padrões como padrões oficiais da UIT para a infraestrutura global de tecnologia da informação e comunicação.

O Diretor Sênior de Desenvolvimento de Padrões da FIDO Alliance, David Turner, afirmou: “A FIDO Alliance está melhorando a autenticação online através de padrões abertos baseados em tecnologia de criptografia de chave pública, tornando a autenticação mais robusta e fácil de usar do que senhas ou códigos de uso único.”

Conclusão

O protocolo FIDO representa uma forma de autenticação mais segura e conveniente, que através da criptografia de chave pública e das modernas tecnologias de biometria, nos oferece uma experiência de verificação sem a necessidade de memorizar senhas complexas. Com a crescente complexidade das ameaças à segurança cibernética e a profundidade da vida digital, a popularização e aplicação do padrão FIDO serão cada vez mais amplas, tornando-se uma pedra angular importante na construção de um mundo digital seguro.

Quer sejam utilizadores individuais ou organizações empresariais, entender e adotar a verificação FIDO ajudará a melhorar a segurança online, ao mesmo tempo que proporciona uma experiência de utilizador mais fluida. Com o contínuo desenvolvimento da tecnologia e o aperfeiçoamento dos padrões, o FIDO promete transformar radicalmente a nossa perceção e prática da autenticação online, realizando verdadeiramente um futuro sem palavras-passe.