O que é FIDO?

A aliança FIDO

A Fast Identity Online (FIDO) Alliance é um consórcio de empresas líderes de tecnologia, agências governamentais, provedores de serviços, instituições financeiras, processadores de pagamentos e outras indústrias que foi lançado em 2013 com o objetivo de eliminar o uso de senhas em sites, aplicativos e dispositivos.

Quem faz parte da Aliança FIDO?

A FIDO Alliance tem mais de 250 membros, incluindo líderes globais de tecnologia em empresas, pagamentos, telecomunicações, governo e saúde. Empresas líderes como Microsoft, Google, Apple, Amazon, Facebook, Mastercard, American Express, VISA, PayPal e OneSpan são membros do conselho.

O que é autenticação FIDO?

A autenticação FIDO é fruto da imaginação da FIDO Alliance. O objetivo dos padrões de autenticação FIDO é reduzir o uso de senhas e melhorar os padrões de autenticação em desktops e dispositivos móveis. O FIDO foi projetado para proteger a segurança e a privacidade das pessoas, pois as chaves privadas e biométricas, se usadas, nunca saem do dispositivo de uma pessoa. Você pode deslizar uma impressão digital ou inserir um PIN único, por exemplo, e não precisa se lembrar de uma senha complexa. FIDO também é compatível com os principais navegadores e sistemas operacionais, como as plataformas Windows 10 e Android, navegadores Google Chrome, Mozilla Firefox, Microsoft Edge e Apple Safari.

As senhas estáticas são fáceis de serem roubadas pelos cibercriminosos usando phishing, malware e outros tipos de ataques. Além disso, grandes violações de dados disponibilizaram uma grande quantidade de nomes de usuário, senhas e outras informações de identificação pessoal (PII) aos criminosos na Dark Web. Isso alimentou uma onda explosiva de fraudes financeiras, como invasão de contas, engenharia social e ataques de intermediários. Governos, legisladores e reguladores responderam, desde então, introduzindo leis e regulamentos de segurança cibernética e de dados que obrigam as instituições financeiras e outras organizações a proteger o acesso a seus portais, aplicativos e sistemas por meio de autenticação multifator (MFA) e autenticação forte do cliente (SCA) . Em 2013, quando a Aliança FIDO foi lançada, a conscientização pública sobre as violações de dados estava aumentando. Hoje depois violações de alto perfil como Yahoo (3 bilhões de contas expostas), Marriott (500 milhões) e Equifax (147 milhões), está claro que o acesso a contas e sistemas online deve ser protegido por autenticação forte em vez de senhas.
 

FIDO AUTHENTICATION

FIDO AUTHENTICATION

Solutions based on the FIDO standard for simpler, stronger authentication using an open, scalable, and interoperable approach

Learn More


Como a autenticação FIDO permite o login sem senha

o FIDO Alliance criou especificações e certificações que são interoperáveis com hardware de muitos fornecedores e autenticadores móveis, e autenticação biométrica, como reconhecimento facial, em diferentes navegadores e sistemas operacionais. Isso permite uma autenticação sem senha e login em muitos aplicativos e sites para uma experiência do usuário mais suave. Os padrões de autenticação FIDO são baseados na criptografia de chave pública e são projetados para fornecer uma experiência de login fácil e segura e melhor segurança para serviços da web e online, a um custo menor. A especificação de autenticação mais recente da FIDO é o Client to Authenticator Protocols (CTAP). O CTAP é complementar ao Especificação de autenticação da Web do W3C (WebAuthn) ; WebAuthn é a API da web padrão construída em navegadores e plataformas da web, permitindo o suporte para autenticação FIDO. CTAP e WebAuthn combinados são conhecidos como FIDO2.

FIDO2 é o mais novo protocolo da aliança FIDO

FIDO2 é o protocolo de autenticação FIDO mais recente. A FIDO Alliance desenvolveu o FIDO2, que é mais conveniente e oferece mais segurança do que a proteção por senha tradicional, e esse padrão foi aprovado pelo World Wide Web Consortium (W3C). As especificações FIDO2 são compostas do protocolo de autenticação da Web (WebAuthn) do W3C e do protocolo cliente para autenticador (CTAP) da FIDO Alliance. Juntos, esses componentes tornam a autenticação possível.

CTAP

O CTAP permite que os usuários façam login sem uma senha usando uma chave de segurança ou seu telefone celular para comunicar credenciais de autenticação por USB, Bluetooth ou NFC (Near Field Communication) para o dispositivo de uma pessoa. Como resultado, o CTAP facilita a autenticação em navegadores da web.

WebAuthn

O WebAuthn permite que os serviços online usem a autenticação FIDO por meio de uma API da web padrão (interface de programação de aplicativo) que pode ser incorporada aos navegadores e permite que os dispositivos se comuniquem. Juntos, o WebAuthn e o CTAP permitem que os usuários se identifiquem com biometria, PINs ou autenticadores FIDO externos, para um servidor FIDO2 que pertence a um site ou aplicativo da web. FIDO2 é compatível com versões anteriores de hardware de segurança FIDO certificado anteriormente.

Como a autenticação FIDO melhora a segurança e privacidade

As especificações da FIDO para autenticação são projetadas para proteger a privacidade do usuário porque a FIDO impede que as informações do cliente sejam rastreadas nos diferentes serviços online que eles usam. FIDO foi projetado especificamente para melhorar a privacidade do usuário.

FIDO e infraestrutura de chave pública (PKI)

O FIDO é baseado na criptografia de chave pública. De acordo com Gartner , “A infraestrutura de chave pública (PKI) foi desenvolvida principalmente para oferecer suporte a trocas de informações seguras em redes não seguras.” Um bom exemplo é um consumidor fazendo transações com seu banco por meio do aplicativo de mobile banking em seu telefone. A comunicação entre o servidor do banco e o telefone do cliente precisa ser criptografada. Isso é feito usando chaves criptográficas, conhecidas como par de chaves privadas e públicas. Pense nessas chaves PKI como bloqueando e desbloqueando informações privadas criptografadas sobre a transação bancária. A chave pública é registrada no serviço online, por exemplo, o servidor de um banco. A chave privada do cliente pode ser usada somente após ser desbloqueada no dispositivo pelo usuário. Como resultado, não há segredos do lado do servidor para que os cibercriminosos roubem.  

Além disso, nenhuma informação é compartilhada entre as chaves públicas e privadas. Por exemplo, se você quiser se autenticar em um serviço online que ofereça suporte à autenticação FIDO, poderá fazer isso usando um dispositivo autenticador FIDO 2FA que se conecta à porta USB do seu laptop. Ou, se estiver usando um smartphone Apple ou Android habilitado para FIDO, você pode usar seu telefone como seu autenticador FIDO. Primeiro, você deverá escolher um autenticador FIDO2, como o Digipass FIDO Touch da OneSpan, que corresponda à política de aceitação do serviço online. Em seguida, você desbloquearia seu autenticador FIDO usando um PIN, impressão digital, digitalização facial ou um botão em um dispositivo de hardware. Usar a autenticação FIDO para fazer login acaba com a necessidade de uma senha.

Como a autenticação FIDO ajuda a prevenir phishing e outros ataques

A autenticação FIDO elimina senhas. As senhas são o elo mais fraco na cadeia de autenticação. Como resultado, os padrões FIDO são mais resistentes a ataques de engenharia social, como phishing, em que os criminosos tentam enganar as pessoas com apelos emocionais ou convincentes para clicar em links maliciosos para roubar seus nomes de usuário, senhas e informações confidenciais. A autenticação FIDO também combate ataques Man-in-the-Middle (MITM), que podem interceptar as comunicações entre o dispositivo de um cliente e o servidor de uma instituição financeira. Nesse tipo de ataque, um criminoso pode alterar uma transação financeira em seu próprio benefício. As especificações da FIDO tratam da privacidade, já que as chaves privadas e os modelos biométricos nunca saem do dispositivo do usuário e nunca são armazenados em um servidor. As chaves são exclusivas para cada transação, constituindo uma superfície de ataque menor para os cibercriminosos. Ao exigir um PIN, impressão digital ou varredura facial, o autenticador FIDO verifica se a pessoa que faz o login é um ser humano real e vivo atrás do computador, e não um hacker ou trojan remoto.

Como a autenticação FIDO simplifica a experiência do cliente

O cliente não precisa mais se lembrar de senhas múltiplas e complexas para diferentes dispositivos ou sites. Sua biometria ou PIN permite que eles desbloqueiem sua chave privada em seu dispositivo com uma ação fácil, como uma impressão digital ou leitura facial, inserindo uma senha única (OTP), usando reconhecimento de voz ou digitando uma OTP gerada por um hardware símbolo. A chave pública é armazenada no servidor do banco para verificar o que foi assinado na chave privada para autenticação ou para uma transação. As credenciais nunca são enviadas ou armazenadas por uma empresa com a qual você está negociando. Isso protege a privacidade e ajuda a proteger as credenciais de login contra acesso criminoso. Os padrões também melhoram a experiência do cliente online e podem ajudar a aumentar a fidelidade do cliente, tornando a autenticação forte mais fácil de usar.

Conformidade

Os padrões FIDO são compatíveis com os regulamentos para autenticação de usuário mais forte. A FIDO foi projetada para atender aos requisitos das Especificações Técnicas Regulatórias (RTS) revisadas da Diretiva de Serviços de Pagamento da União Europeia (PSD2) porque a autenticação do cliente deve ser baseada em dois ou mais fatores, incluindo senhas ou PIN, tokens ou dispositivos móveis ou biometria.

Os padrões FIDO também são projetados para conformidade com:

  • O Regulamento Geral de Proteção de Dados (GDPR): Todas as organizações que operam, armazenam ou processam dados de cidadãos da UE estão sujeitas aos requisitos do GDPR. Usar um PIN ou dados biométricos para verificar se alguém é de fato quem diz ser é um exemplo de autenticação multifator exigida pelo GDPR.
  • A Força-Tarefa de Ação Financeira (FATF): A orientação de identidade digital do FATF declara que “a abordagem baseada em risco recomendada por esta orientação depende de um conjunto de fontes abertas, estruturas de garantia orientadas por consenso e padrões técnicos para sistemas de identificação digital”.
  • Regulamentos de segurança cibernética do Departamento de Serviços Financeiros de Nova York (NYDFS): O maior regulador estadual do estado de Nova York é o NYDFS. O NYDFS introduziu os Requisitos de Segurança Cibernética para Empresas de Serviços Financeiros, que exigem o uso de MFA “para proteção contra acesso não autorizado a Informações ou Sistemas de Informação não públicos” - com informações não públicas sendo informações privadas do indivíduo.
  • O Instituto Nacional de Padrões e Tecnologia (NIST): A autenticação FIDO foi projetada para cumprir os requisitos definidos pelo NIST, para autenticar usuários em suas redes, pois atende às diretrizes do NIST para autenticação forte.

Entre em contato conosco

Entre em contato com um de nossos especialistas em segurança para saber mais sobre como nossas soluções podem ajudar com suas necessidades de segurança digital