FIDO2 é um standard de autenticação que permite aos utilizadores aceder a serviços conectados de maneira segura sem necessidade de usar palavras passe. Este standard é promovido pela Aliança FIDO (Fast Identity Online) e a W3C (World Wide Web Consortium).
FIDO2 é uma evolução e ampliação dos standards FIDO e consta de dois componentes principais:
WebAuthn (Web Authentication API) é uma especificação desenvolvida em colaboração com a W3C que permite às aplicações web utilizar autenticadores fortes, como impressões digitais, reconhecimento facial ou dispositivos USB, para autenticar os utilizadores. Esta especificação proporciona uma API que os programadores web podem usar para integrar a autenticação FIDO2 nos seus sites e aplicações. Com WebAuthn, as aplicações web podem oferecer uma autenticação mais segura e conveniente, utilizando uma variedade de métodos de autenticação fortes, sejam dispositivos físicos ou métodos biométricos.
CTAP (Client to Authenticator Protocol) é o protocolo que permite a comunicação entre o cliente (como um navegador web) e o autenticador (como um dispositivo físico, por exemplo, uma chave de segurança USB). Este protocolo define como os navegadores e outros clientes se comunicam com os autenticadores FIDO. CTAP inclui duas versões:
– CTAP1: Similar a FIDO U2F, permite a autenticação utilizando um segundo factor, geralmente um dispositivo físico.
– CTAP2: Amplia as capacidades dos autenticadores para suportar WebAuthn, permitindo uma autenticação mais avançada e sem necesidade de palavras passe.
CTAP é essencial para que os dispositivos de autenticação funcionem de maneira eficiente com as aplicações web e outros serviços que implementam o standard FIDO2.
Como funciona o FIDO2?
Quando um utilizador se regista num serviço compatível com FIDO2, o autenticador (dispositivo físico ou biométrico) gera um par de chaves: uma chave pública e uma chave privada. A chave pública é enviada ao serviço e é associada com a conta do utilizador.
Quando o utilizador tenta aceder ao serviço, o autenticador usa a chave privada para assinar um desafio criptográfico proporcionado pelo serviço. O serviço verifica a assinatura com a chave pública armazenada.
Vantagens principais do FIDO2
Segurança: Os autenticadores FIDO2 geram chaves criptográficas únicas para cada site, o que elimina os riscos associados com as palavras passe roubadas, reutilizadas ou débeis.
Expêriencia de utilizador: Os utilizadores podem autenticar-se de maneira rápida e conveniente usando métodos biométricos ou dispositivos físicos.
Privacidade: O FIDO2 está desenhado para proteger a privacidade do utilizador; os autenticadores não divulgam informação que possa ser usada para rastrear os utilizadores entre diferentes serviços.
Exemplos de autenticadores FIDO2:
- Chaves de segurança USB.
- Sensores biométricos integrados nos dispositivos móveis e computadores.
- Autenticadores baseados em software como Windows Hello.
Empresas grandes e serviços conectados adotan o FIDO2 para melhorar a segurança e simplificar o processo de autenticação para os utilizadores.