FIDO2: a Web sem senha está chegando

Sarah Van De Vyver, 17 de Setembro de 2018

Recentemente, a FIDO Alliance (Fast Identity Online) anunciou a disponibilidade de seu protocolo FIDO2. O que é isso? Qual o impacto disso na senha de acesso tradicional? Por que as instituições financeiras (IFs) devem ficar atentas?

FIDO: eliminando a senha tradicional

Melhorar a experiência de usuário em geral e remover o atrito é fundamental para as instituições financeiras implantarem aplicativos online e para dispositivos móveis. A experiência de usuário tem um impacto direto na retenção de clientes, no ROI de serviços online e nos custos operacionais. De fato, estudos mostraram que os clientes que podem entrar em contato facilmente com sua instituição financeira de qualquer lugar e a qualquer momento têm menos propensão a trocar de instituição.

Embora a experiência de cliente sem atrito seja uma grande prioridade para os serviços bancários e líderes em segurança, fornecer a experiência de usuário ideal apenas não é o suficiente. As IFs também precisam estar em conformidade com diferentes regulamentações e diretrizes (por exemplo, PSD2, GDPR e NIST), manter altos padrões de segurança e ficar dentro dos orçamentos de desenvolvimento e operacionais. Tudo isso torna o desafio de fornecer uma experiência sem atrito ainda mais complexo.

Geralmente, o primeiro obstáculo ao engajamento do cliente é a senha de acesso. A criação e gerenciamento de senhas não é apenas um grande inconveniente. A senha de acesso também é notoriamente vulnerável a violações de dados.

A autenticação FIDO resolve esse problema pela substituição da senha tradicional por opções de autenticação forte que vão desde a biometria até tokens de software e de hardware.

Basicamente, a autenticação FIDO oferece um ecossistema de autenticadores interoperável e padronizado para o uso com aplicativos online e para dispositivos móveis. Ela permite que organizações implantem autenticação forte para acesso e validação de transação. sem o custo adicional do desenvolvimento interno.

AUTENTICAÇÃO FIDO

AUTENTICAÇÃO FIDO

Soluções baseadas no padrão FIDO para autenticação mais simples e forte usando uma abordagem aberta, escalável e interoperável

Saiba Mais

FIDO2 e a Web sem senha

O FIDO2 é uma combinação da API WebAuthn da W3C e do Protocolo do Cliente para o Autenticador (CTAP) da FIDO. A WebAuthn é a API padrão que permite que desenvolvedores integrem a autenticação FIDO em seus navegadores da Web. Com o CTAP, os usuários podem fazer o acesso sem senha. Eles podem usar um autenticador externo, como um telefone celular ou dispositivo de hardware para comunicar suas credenciais de autenticação para um PC ou telefone celular por Bluetooth, NFC ou USB. Em outras palavras, graças ao FIDO2, é mais fácil autenticar em navegadores da Web usando um autenticador FIDO de hardware ou qualquer outro método de autenticação disponível no PC do usuário.

Além disso, o protocolo WebAuthn está sendo implementado em navegadores como o Google Chrome e o Mozilla Firefox. Espera-se que o navegador Safari, da Apple, possa integrar o WebAuthn assim que o padrão FIDO2 for aprovado oficialmente pela W3C como um padrão internacional (observe que, embora a Apple não tenha falado sobre o FIDO, a empresa é parte do grupo de trabalho do WebAuthn). Tão logo a W3C ratifique o FIDO2 como um padrão internacional, a Web sem senha se tornará uma realidade.

As IFs que queiram aproveitar o protocolo WebAuthn podem habilitar para o FIDO sua infraestrutura de serviços bancários online e para dispositivos móveis ou implementar uma solução FIDO ampla que lide com solicitações de autenticação de qualquer autenticador FIDO.

A beleza está no fato de que o FIDO2 é retrocompatível com todo hardware e software de segurança FIDO previamente certificado. Essas soluções continuarão a funcionar com navegadores da Web com suporte ao WebAuthn. A própria FIDO Alliance recomenda que as organizações que estiverem buscando habilitar o FIDO em seus serviços online e para dispositivos móveis implantem um Servidor Universal, garantindo o suporte a todos os autenticadores com certificado FIDO, como segundo fator (U2F), dispositivos móveis (UAF) ou FIDO2.

 

 

Autenticação FIDO da OneSpan

Como membro do conselho da FIDO Alliance e participante ativo no grupo de trabalho do FIDO2, a OneSpan é parte da iniciativa do FIDO de padronizar o setor de autenticação. Nosso portfólio de autenticação FIDO inclui uma solução de Servidor Universal FIDO compatível com as soluções U2F, UAF e FIDO2.

Hoje, as organizações precisam de flexibilidade nos métodos de autenticação. Por exemplo, muitas IFs que lançaram tokens de autenticação de hardware para seus clientes também estão introduzindo autenticação em dispositivos móveis para os clientes que privilegiam esses dispositivos – e exigem opções de hardware e software para uma variedade de casos de uso e necessidades dos clientes. Para dar apoio a isso, a OneSpan oferece:

  • Capacidade completa para o FIDO como parte do OneSpan Mobile Security Suite. Isso significa que as organizações podem implementar a autenticação sem senha para melhorar a experiência do cliente substituindo a senha estática por capacidades modernas, como a biometria, ao mesmo tempo em que protegem seus aplicativos móveis contra phishing, ataques do tipo man-in-the-middle e ataques do tipo Replay.
  • Um autenticador de hardware FIDO habilitado para Bluetooth permitindo que as IFs mesclem facilmente software e hardware para atender às suas necessidades de autenticação.

Os métodos de autenticação com certificado FIDO são compatíveis desde o início, quando chegam ao mercado. Em função da padronização, qualquer aplicativo pode funcionar com qualquer dispositivo e qualquer autenticador. Isso dá às organizações uma infinitude de escolhas relativas a como elas vão querer abordar a autenticação de clientes.

Visite nossa página de autenticação FIDO para saber mais sobre o FIDO para casos de uso de acesso sem senha e validação de transação.

Sarah é gerente de marketing de produto da OneSpan e responsável pelas soluções FIDO, hardware e servidor da OneSpan. Ela tem mais de 15 anos de experiência em TIC e Comunicações e ocupou cargos anteriores no departamento de Comunicações Corporativas da OneSpan.