Como funcionam os protocolos FIDO2 e FIDO U2F, suportados por Chaves de Segurança?
A chave de segurança Lockeet suporta os protocolos FIDO U2F e FIDO2. Vamos falar um pouco mais sobre esses protocolos definidos pela FIDO Alliance e explicar seu funcionamento.
FIDO U2F
O que é o FIDO U2F?
O FIDO universal 2º fator (U2F) é um mecanismo de autenticação aberto que permite aos usuários acessar uma variedade de serviços e recursos on-line com uma única chave de segurança. O U2F fornece acesso imediato a serviços online seguros sem a necessidade de instalação de driver ou de software adquirido ou baixado de um cliente.
Como funciona o FIDO U2F
Registro do FIDO U2F Token:
1) O usuário é solicitado a selecionar um dos vários autenticadores FIDO que fazem parte da política de aceitação de um serviço.
2) O usuário acessa o autenticador FIDO usando um fator de autenticação como um PIN seguro, uma chave em um dispositivo de segundo fator, uma impressão digital, ou outro fator.
3) É criado um par especial de chaves públicas/privadas que deve ser usado com o dispositivo de autenticação, o serviço online relevante e a conta do usuário.
4) A chave privada e outras informações do mecanismo de autenticação local, como dados biométricos, são mantidas no dispositivo local. A chave pública é usada para vincular a conta do usuário com os sistemas e recursos relevantes do serviço online.
Verificação do Token FIDO U2F:
1) O usuário é desafiado pelo serviço online a fazer o login adequado com um dispositivo previamente registrado que adere à política de aceitação do serviço online.
2) O usuário desbloqueia o autenticador FIDO com o mesmo fator de autenticação usado durante o processo de registro.
3) Usando as informações de identificação da conta fornecidas pelo serviço on-line, o dispositivo local escolhe a chave apropriada e assina digitalmente o desafio do serviço.
4) Finalmente, o dispositivo transmite o desafio assinado ao serviço online, verificando as informações com a chave pública armazenada, o que resulta no login do usuário na conta.
FIDO2
O que é FIDO2?
Fast Identity Online é um padrão de segurança aberto e livre de licenças para autenticação na web. Mais especificamente, o FIDO2 é a terceira iteração do padrão, seguindo duas especificações anteriores:
- FIDO Universal Second Factor (FIDO U2F): Uma especificação aberta para ajudar os serviços on-line a aumentar sua autenticação baseada em senha com recursos de autenticação de dois fatores.
- FIDO Universal Authentication Framework (FIDO UAF): Uma especificação aberta que permite que serviços online aumentem seus serviços existentes com autenticação multi-fator e segurança sem senhas.
Como um sucessor do FIDO UAF, o FIDO2 representa essencialmente uma forma universal de implementar a identidade sem senha sobre a infra-estrutura de verificação de identidade existente. Um sistema sem senhas é uma nova abordagem de verificação que remove as senhas como um ponto fraco tanto para a segurança como para ataques de engenharia social como phishing.
Como esta norma fornece verificação de identidade sem senhas? Em sua essência, a norma consiste em dois requisitos para o uso do FIDO2:
1) O padrão W3C Web Authentication Standard: WebAuthn é um padrão aberto criado pelo World Wide Web Consortium para apoiar a verificação através de aplicações web com criptografia de chave pública.
2) O Protocolo Autenticador de Cliente 2 (CTAP2): Um padrão desenvolvido pela FIDO Alliance para continuar o U2F.
O FIDO2 pode fornecer acesso seguro, sem senha, com estes dois protocolos em vigor.
Como o FIDO2 funciona?
Todo o objetivo do FIDO2 é permitir que as organizações implementem recursos de login sem senhas com ou sem MFA. Para isso, os protocolos FIDO2 utilizam tanto a criptografia como a autenticação tradicional no processo a seguir:
O usuário se registra com um serviço de gerenciamento de identidade como usuário FIDO2, e o serviço gera um par de chaves criptográficas.
A chave privada é armazenada em um dispositivo, e a chave pública é registrada no serviço.
A autenticação é mapeada em um ou mais serviços. Estas abordagens podem incluir qualquer biometria, PINs ou chaves físicas. Mais importante ainda, estas formas de verificação de identidade não são enviadas ao serviço em si. Em vez disso, a autenticação permanece no dispositivo, e o dispositivo autentica o usuário com a chave secreta.
O que torna este padrão seguro é que as informações de verificação nunca deixam a chave de segurança. A chave permanece no dispositivo, e a autenticação só pode ocorrer através da posse física desse dispositivo.
