This is the Trace Id: 9a5c0ea03d64d95a2911d02ae33795ae
Pular para o conteúdo principal
Segurança da Microsoft

O que é FIDO2?

Conheça as noções básicas da autenticação sem senha FIDO2, incluindo como ela funciona e ajuda a proteger indivíduos e organizações contra ataques online.

Reduza o risco com a autenticação sem senha

FIDO2 definido

O FIDO2 (Fast IDentity Online 2) é um padrão aberto para autenticação de usuário que tem como objetivo fortalecer a maneira como as pessoas se serviços online para aumentar a confiança geral. O FIDO2 reforça a segurança e protege indivíduos e organizações contra crimes cibernéticos usando credenciais criptográficas resistentes a phishing para validar identidades de usuário.

O FIDO2 é o padrão de autenticação aberta mais recente desenvolvido pela FIDO Alliance, um consórcio do setor da Microsoft e outras organizações de tecnologia, comerciais e governamentais. A Alliance lançou os padrões de autenticação FIDO 1.0, que introduziram a MFA autenticação multifator (MFA) resistente a phishing em 2014 e o padrão de autenticação sem senha mais recente, FIDO2 (também chamado de FIDO 2.0 ou FIDO 2), em 2018.

O que são chaves de acesso e como elas se relacionam com o FIDO2?

Não importa quão longas ou complexas, ou com que frequência sejam alteradas, as senhas podem ser comprometidas ao serem compartilhadas voluntária ou involuntariamente. Mesmo com uma solução de proteção de senha forte, cada organização corre algum risco de phishing, hacking e outros ataques cibernéticos nos quais as senhas são roubadas. Uma vez em mãos erradas, as senhas podem ser usadas para obter acesso não autorizado a contas, dispositivos e arquivos online.

As chaves de acesso são credenciais de entrada FIDO2 criadas usando criptografia de chave pública. Uma substituição eficaz para senhas, eles aumentam a segurança cibernética, tornando a entrada em aplicativos Web e sites com suporte mais amigáveis do que os métodos tradicionais.

A autenticação sem senha FIDO2 depende de algoritmos criptográficos para gerar um par de chaves de acesso privadas e públicas – números longos e aleatórios que estão relacionados matematicamente. O par de chaves é usado para executar a autenticação do usuário diretamente no dispositivo de um usuário final, seja um computador desktop, laptop, telefone celular ou chave de segurança. Uma chave de acesso pode ser associada a um único dispositivo de usuário ou sincronizada automaticamente entre vários dispositivos de um usuário por meio de um serviço de nuvem.

Como funciona a autenticação FIDO2?

A autenticação sem senha FIDO2 funciona geralmente usando chaves de acesso como o primeiro e principal fator para autenticação de conta. Em resumo, quando um usuário se registra com um serviço online compatível com FIDO2, o dispositivo cliente registrado para executar a autenticação gera um par de chaves que funciona apenas para esse aplicativo Web ou site.

A chave pública é criptografada e compartilhada com o serviço, mas a chave privada permanece segura no dispositivo do usuário. Em seguida, sempre que o usuário tenta entrar no serviço, o serviço apresenta um desafio exclusivo para o cliente. O cliente ativa o dispositivo de chave de acesso para assinar a solicitação com a chave privada e reabilitar. Isso torna o processo protegido criptograficamente contra phishing.

Tipos de autenticadores FIDO2

Antes que o dispositivo possa gerar um conjunto exclusivo de chaves de acesso FIDO2, ele deve confirmar se o usuário que está solicitando acesso não é um usuário ou tipo de malware não autorizado. Ele faz isso com um autenticador, que é um dispositivo que pode aceitar um PIN, biometria ou outro gesto do usuário.

Há dois tipos de autenticadores FIDO:

Autenticadores móveis (ou multiplataforma)

Esses autenticadores são dispositivos de hardware portáteis separados dos dispositivos cliente dos usuários. Os autenticadores móveis incluem chaves de segurança, smartphones, tablets, acessórios e outros dispositivos que se conectam com dispositivos cliente por meio do protocolo USB ou da comunicação a curta distância (NFC) e tecnologia sem fio Bluetooth. Os usuários verificam suas identidades de várias maneiras, por exemplo, conectando uma tecla FIDO e pressionando um botão ou fornecendo uma biometria, como uma impressão digital, em seus smartphones. Os autenticadores móveis também são conhecidos como autenticadores multiplataforma porque permitem que os usuários se autentiquem em vários computadores, a qualquer momento e em qualquer lugar.

Autenticadores de plataforma (ou associados)

Esses autenticadores são inseridos nos dispositivos cliente dos usuários, seja um desktop, laptop, tablet ou smartphone. Compreendendo recursos biométricos e chips de hardware para proteger chaves de acesso, os autenticadores de plataforma exigem que o usuário faça login nos serviços suportados pela FIDO com seu dispositivo cliente e, em seguida, autentique por meio do mesmo dispositivo, geralmente com uma biometria ou PIN.

Exemplos de autenticadores de plataforma que usam dados biométricos incluem o Microsoft Windows Hello, o Touch ID e o Face ID da Apple e a Impressão Digital do Android.

Como registrar e entrar em serviços compatíveis com FIDO2:

Para aproveitar a maior segurança que a autenticação FIDO2 oferece, siga estas etapas básicas:

Como se registrar em um serviço compatível com FIDO2:

  • Etapa 1: Ao se registrar em um serviço, você será solicitado a escolher um método autenticador FIDO com suporte.

  • Etapa 2: Ative o autenticador FIDO com um gesto simples ao qual o autenticador dá suporte, seja inserindo um PIN, tocando em um leitor de impressão digital ou inserindo uma chave de segurança FIDO2.

  • Etapa 3: Depois que o autenticador for ativado, seu dispositivo gerará um par de chaves públicas e privadas que é exclusivo para seu dispositivo, conta e serviço.

  • Etapa 4: Seu dispositivo local armazena com segurança a chave privada e todas as informações confidenciais referentes ao método de autenticação, como seus dados de biometria. A chave pública é criptografada e, juntamente com uma ID de credencial gerada aleatoriamente, registrada com o serviço e armazenada em seu servidor autenticador.

Como entrar em um serviço compatível com FIDO2:

  • Etapa 1: O serviço emite um desafio criptográfico para confirmar sua presença.

  • Etapa 2: Quando solicitado, execute o mesmo gesto de autenticador usado durante o registro da conta. Depois de confirmar sua presença com o gesto, o dispositivo usará a chave privada armazenada localmente em seu dispositivo para assinar o desafio.

  • Etapa 3: Seu dispositivo envia o desafio assinado de volta para o serviço, que o verifica com a chave pública registrada com segurança.

  • Etapa 4: Depois de terminar, você está conectado.

Quais são os benefícios da autenticação FIDO2?

Os benefícios da autenticação sem senha FIDO2 incluem maior segurança e privacidade, experiências amigáveis e escalabilidade aprimorada. O FIDO2 também reduz as cargas de trabalho e os custos associados ao gerenciamento de acesso.

Aumenta a segurança

A autenticação sem senha FIDO2 aumenta significativamente a segurança de logon, contando com chaves de acesso exclusivas. Com o FIDO2, os hackers não podem obter facilmente acesso a essas informações confidenciais por meio de phishing, ransomware e outros ações comuns de golpe cibernético. As chaves biométricas e o FIDO2 também ajudam a eliminar vulnerabilidades nos métodos tradicionais de autenticação multifator, como o envio de senhas únicas (OTPs) por meio de mensagens de texto.

Melhora a privacidade do usuário

A autenticação FIDO reforça a privacidade do usuário armazenando com segurança chaves criptográficas privadas e dados biométricos em dispositivos de usuário. Além disso, como esse método de autenticação gera pares de chaves exclusivos, ele ajuda a impedir que os provedores de serviços rastreiem usuários entre sites. Além disso, em resposta às preocupações do consumidor em relação ao possível uso indevido de dados biométricos, os governos estão aplicando leis de privacidade que impedem que as organizações vendam ou compartilhem informações biométricas.

Promove a facilidade de uso

Com a autenticação FIDO, os indivíduos podem autenticar suas identidades de forma rápida e conveniente usando chaves FIDO2, aplicativos autenticadores ou leitores de impressão digital ou câmeras inseridas em seus dispositivos. Embora os usuários devem executar uma segunda ou até mesmo terceira etapa de segurança (por exemplo, quando mais de uma biometria é necessária para verificação de identidade), eles economizam tempo e complicações associados à criação, memorização, gerenciamento e redefinição de senhas.

Melhora a escalabilidade

O FIDO2 é um padrão aberto e sem licença que permite que empresas e outras organizações dimensionem métodos de autenticação sem senha em todo o mundo. Com o FIDO2, eles podem oferecer experiências de entrada seguras e simplificadas a todos os funcionários, clientes e parceiros, independentemente do navegador e da plataforma escolhidos.

Simplifica o gerenciamento de acesso

As equipes de TI não precisam mais implantar e gerenciar políticas de senha e infraestrutura, reduzindo os custos e liberando-os para se concentrarem em atividades de maior valor. Além disso, a produtividade entre a equipe de suporte técnico aumenta, pois eles não precisam dar suporte a solicitações baseadas em senha, como redefinir senhas.

O que são WebAuthn e CTAP2?

O conjunto de especificações FIDO2 tem dois componentes: Autenticação da Web (WebAuthn) e Protocolo Cliente para Autenticador 2 (CTAP2). O componente principal, WebAuthn, é uma API JavaScript implementada em plataformas e navegadores da Web compatíveis para que os dispositivos registrados possam  executar a autenticação FIDO2. A World Wide Web Consortium (W3C), organização de padrões internacionais da World Wide Web, desenvolveu a WebAuthn em parceria com a FIDO Alliance. O WebAuthn tornou-se um padrão web W3C formal em 2019.

O segundo componente, CTAP2, desenvolvido pela FIDO Alliance, permite que autenticadores móveis, como chaves de segurança FIDO2 e dispositivos móveis, se comuniquem com plataformas e navegadores compatíveis com FIDO2.

O que são FIDO U2F e FIDO UAF?

O FIDO2 evoluiu do FIDO 1.0, as primeiras especificações de autenticação FIDO lançadas pela Alliance em 2014. Essas especificações originais incluíam o protocolo FIDO Universal Second Factor (FIDO U2F) e o protocolo FIDO Universal Authentication Framework (FIDO UAF).

O FIDO U2F e o FIDO UAF são formas de autenticação multifator, o que requer duas ou três evidências (ou fatores) para validar um usuário. Esses fatores podem ser algo que somente o usuário conhece (como uma senha ou PIN), possui (como uma chave FIDO ou um aplicativo autenticador em um dispositivo móvel) ou é (como uma biometria).

Saiba mais sobre essas especificações:

FIDO U2F

O FIDO U2F reforça padrões de autorização baseados em senha com autenticação de dois fatores (2FA), que valida o usuário com duas evidências. O protocolo FIDO U2F exige que um indivíduo forneça uma combinação válida de nome de usuário e senha como um primeiro fator e, em seguida, use um dispositivo USB, NFC ou Bluetooth como um segundo fator, geralmente autenticando pressionando um botão ou pressionando a tecla em um OTP sensível ao tempo.

O FIDO U2F é o sucessor do CTAP 1 e o predecessor do CTAP2, que permite que as pessoas usem dispositivos móveis, além das chaves FIDO como dispositivos de segundo fator.

FIDO UAF

O FIDO UAF facilita a autenticação sem senha multifator. Ele requer que um indivíduo entre com um dispositivo cliente registrado em FIDO, o que confirma a presença do usuário com uma verificação biométrica, como uma impressão digital ou uma verificação facial, ou com um PIN, como um primeiro fator. Em seguida, o dispositivo gera o par de chaves exclusivo como um segundo fator. Um site ou aplicativo também pode usar um terceiro fator, como uma biometria ou a localização geográfica do usuário.

FIDO UAF é o predecessor da autenticação sem senha FIDO2.

Como implementar o FIDO2

Implementar o padrão FIDO2 em sites e aplicativos exige que sua organização tenha hardware e software modernos. Felizmente, todas as principais plataformas Web, incluindo Microsoft Windows, Apple iOS e MacOS e sistemas Android, além de todos os principais navegadores da Web, incluindo Microsoft Edge, Google Chrome, Apple Safari e Mozilla Firefox, dão suporte a FIDO2. Sua solução de gerenciamento de identidade e acesso (IAM) também deve dar suporte à autenticação FIDO2.

Em geral, implementar a autenticação FIDO2 em sites e aplicativos novos ou existentes envolve estas etapas principais:

  1. Defina a experiência de logon do usuário e os métodos de autenticação e defina políticas de controle de acesso.
  2. Crie novas ou modifique as páginas de registro e entrada existentes com as especificações de protocolo FIDO apropriadas.
  3. Configure um servidor FIDO para autenticar solicitações de registro e autenticação FIDO. O servidor FIDO pode ser um servidor autônomo, integrar-se a um servidor Web ou de aplicativo ou fornecido como um módulo IAM.
  4. Crie fluxos de trabalho de autenticação novos ou modifique existentes.

Autenticação FIDO2 e biométrica

A autenticação biométrica usa as características comportamentais ou comportamentais exclusivas de uma pessoa para confirmar que o indivíduo é quem ela reivindica ser. Os dados biométricos são coletados e convertidos em modelos biométricos que só são acessíveis com um algoritmo secreto. Quando o indivíduo tenta entrar, o sistema exibe as informações, converte-as e as compara com a biometria armazenada.

Exemplos de autenticação biométrica incluem o seguinte:

Biológica

  • Verificação de impressão digital
  • Digitalização de retina
  • Reconhecimento de voz
  • Correspondência de DNA
  • Verificação de veia

Comportamental

  • Uso de tela sensível ao toque
  • Velocidade de digitação
  • Atalhos de teclado
  • Atividade do mouse

A autenticação biométrica é uma realidade nos locais de trabalho digitais híbridos de hoje. Os funcionários gostam do fato de terem flexibilidade para autenticar de forma rápida e segura onde quer que escolham. As empresas gostam do fato de reduzirem significativamente a superfície de ataque, desencorajando crimes cibernéticos que, de outra forma, poderiam atingir seus dados e sistemas.

Ainda assim, a autenticação biométrica não é totalmente prova de hacker. Por exemplo, atores inválidos podem usar os dados biométricos de outra pessoa, como uma foto ou impressão digital de uma pessoa, para representar esse indivíduo. Ou eles podem combinar várias verificações de impressão digital para criar uma verificação primária que lhes dá acesso a várias contas de usuário.

Existem outras desvantagens na autenticação biométrica. Alguns sistemas de reconhecimento facial, por exemplo, têm um desvio inerente contra mulheres e pessoas de cor. Além disso, algumas organizações optam por armazenar dados biométricos em servidores de banco de dados em vez de em dispositivos de usuário final, gerando perguntas sobre segurança e privacidade. Ainda assim, a autenticação biométrica multifator permanece como um dos métodos mais seguros disponíveis atualmente para verificar as identidades de usuário.

Exemplos de autenticação FIDO2

Os requisitos de segurança e logística para verificação de identidade variam dentro e entre organizações. A seguir estão maneiras comuns de as organizações em diferentes setores implementarem a autenticação FIDO2.

Bancos, serviços financeiros e seguros

Para proteger dados confidenciais de negócios e clientes, os funcionários que trabalham em escritórios corporativos geralmente usam desktops ou laptops fornecidos pela empresa com autenticadores de plataforma. A política da empresa os proíbe de usar esses dispositivos para uso pessoal. Funcionários da filial local e do call center frequentemente usam dispositivos compartilhados e verificam suas identidades usando autenticadores móveis.

Aviação e companhia aéreas

As organizações nesses setores também devem acomodar pessoas que trabalham em configurações diferentes e têm responsabilidades variáveis. Executivos, recursos humanos e outros funcionários baseados em escritório geralmente usam desktops e laptops dedicados e autenticam-se com autenticadores de plataforma ou roaming. Agentes de portão do aeroporto, mecânica de avião e membros da equipe geralmente usam chaves de segurança de hardware ou aplicativos autenticadores em seus smartphones pessoais para se autenticar em tablets compartilhados ou estações de trabalho.

Fabricação

Para garantir a segurança física das instalações de fabricação, funcionários autorizados e outras pessoas usam autenticadores móveis, como cartões inteligentes habilitados para FIDO2 e chaves FIDO2, ou smartphones pessoais registrados com autenticadores de plataforma para desbloquear portas. Além disso, as equipes de design de produtos geralmente usam desktops dedicados ou laptops com autenticadores de plataforma para acessar sistemas de design online que contêm informações proprietárias.

Serviços de emergência

As agências governamentais e outros provedores de serviços de emergência nem sempre podem autenticar os invasores e outros socorros com verificações de impressão digital ou íris. Muitas vezes, esses indivíduos estão usando luvas ou protetores de olho ao mesmo tempo em que precisam acessar rapidamente serviços online. Nesses casos, eles são identificados por meio de sistemas de reconhecimento de voz. Tecnologias emergentes para verificar formas de ouvido com smartphones também podem ser usadas.

Crie segurança de tranquilidade com FIDO2

A autenticação sem senha está se tornando rapidamente uma prática recomendada para IAM. Ao adotar o FIDO2, você sabe que está usando um padrão confiável para garantir que os usuários sejam quem dizem ser.

Para começar a usar o FIDO2, avalie cuidadosamente seus requisitos organizacionais e do setor específicos para verificação de identidade. Em seguida, simplifique a implementação do FIDO2 com o Microsoft Entra ID (anteriormente conhecido como Azure Active Directory). O assistente de métodos sem senha no Microsoft Entra ID simplifica o gerenciamento do Windows Hello para Empresas, do aplicativo Microsoft Authenticator e das chaves de segurança FIDO2.

Saiba mais sobre a segurança da Microsoft

Microsoft Entra ID (anteriormente conhecido como Azure Active Directory)

Proteja o acesso a recursos e dados usando uma autenticação forte e políticas de acesso adaptativas baseadas em riscos.

Saiba mais

Microsoft Entra Identity Governance

Aumente a produtividade e fortaleça a segurança automatizando o acesso a aplicativos e serviços.

Saiba mais

ID Verificada do Microsoft Entra

Emita e verifique com confiança as credenciais do local de trabalho e outras credenciais com uma solução de padrões abertos.

Saiba mais

ID de carga de trabalho do Microsoft Entra

Reduza o risco concedendo acesso condicional a aplicativos e serviços aos recursos de nuvem, tudo em um só lugar.

Saiba mais

Perguntas frequentes

  • FIDO2 significa (Fast IDentity Online 2), o padrão de autenticação aberta mais recente lançado pela FIDO Alliance. Composta pela Microsoft e outras organizações tecnológicas, comerciais e governamentais, a aliança procura eliminar o uso de senhas na World Wide Web.

    As especificações FIDO2 incluem a WebAuthn (Autenticação da Web), uma API Web que permite que o serviços online se comunique com autenticadores de plataforma FIDO2 (como tecnologias de reconhecimento facial e impressão digital inseridas em navegadores da Web e plataformas). Desenvolvido pela World Wide Web Consortium (W3C) em parceria com a FIDO Alliance, o WebAuthn é um padrão W3C formal.

    O FIDO2 também inclui o protocolo CTAP2 de Cliente para Autenticador 2, desenvolvido pela Alliance. O CTAP2 conecta autenticadores móveis (como chaves de segurança FIDO2 externas e dispositivos móveis) a dispositivos cliente FIDO2 por meio de USB, BLE ou NFC.

  • O FIDO2 é um padrão aberto e sem licença para autenticação sem senha multifator em ambientes móveis e de área de trabalho. O FIDO2 funciona usando criptografia de chave pública em vez de senhas para validar identidades de usuário, prevenindo criminosos cibernéticos que tentam roubar credenciais de usuário por meio de phishing, malware e outros ataques baseados em senha.

  • Os benefícios da autenticação FIDO2 incluem maior segurança e privacidade, experiências amigáveis e escalabilidade aprimorada. O FIDO2 também simplifica o controle de acesso para equipes de TI e equipes de suporte técnico, reduzindo as cargas de trabalho e os custos associados ao gerenciamento de nomes de usuário e senhas.

  • Uma chave FIDO2, também chamada de chave de segurança FIDO2, é um dispositivo de hardware físico necessário para autenticação multifator e de dois fatores. Atuando como um autenticador FIDO móvel, ele usa USB, NFC ou Bluetooth para se conectar a um dispositivo cliente FIDO2, permitindo que os usuários se autentiquem em vários computadores, seja no escritório, em casa ou em outra configuração.

    O dispositivo cliente verifica a identidade do usuário solicitando que o usuário use a tecla FIDO2 para fazer um gesto, como tocar em um leitor de impressão digital, pressionar um botão ou inserir um PIN. As teclas FIDO2 incluem chaves de plug-in, smartphones, tablets, acessórios e outros dispositivos.

  • As organizações implantam métodos de autenticação FIDO2 com base em seus requisitos exclusivos de segurança, logística e setor.

    Por exemplo, bancos e fabricantes controlados por pesquisa geralmente exigem que os funcionários baseados no escritório e outros funcionários usem desktops e laptops somente para uso empresarial com autenticadores de plataforma. As organizações com pessoas em trânsito, como tripulações de linhas aéreas e equipes de resposta a emergências, geralmente acessam tablets compartilhados ou estações de trabalho e, em seguida, se autenticam usando chaves de segurança ou aplicativos autenticadores em seus smartphones.

Siga a Segurança da Microsoft