O Consórcio World Wide Web e a Fido Alliance Anunciam o WebAuth: O Que Isso Significa?

WebAuthn - an Official Web Standard

Normalmente, você não terá muitas opções quando estiver criando uma nova conta online. Você obviamente precisa criar uma senha, e para a maioria das pessoas, isso significa tomar uma ou duas rotas - uma senha simples, fácil de lembrar, e/ou uma reutilizada que põe as suas contas em risco; ou uma senha longa e difícil de adivinhar, que é chata de digitar e ruim de lembrar. Deveria ser óbvio que ambas as opções não são exatamente as ideais. Então, há algo que poderia mudar o jeito de como as coisas estão no momento? Bem, há, e isso pode estar mesmo indo a algum lugar.

WebAuthn - a alternativa sem senha

O WebAuthn, abreviação para Web Authentication, é um padrão não privativo que facilita a comunicação entre websites e um dispositivo de segurança. Dois consórcios online, o World Wide Web Consortium (W3C) e a FIDO Alliance, têm trabalhado nisso pelos últimos anos, mas o conceito pode traçar as suas raízes até a API da Universal Authentication Factor (UAF) da FIDO Alliance de 2014.

A meta de ambos WebAuthn e UAF é prover uma nova, segura maneira de entrar nas contas online sem a necessidade de lembrar ou digitar uma senha. Por uma variedade de razões complicadas, a UAF falhou em causar efeito nas nossas vidas diárias, mas parece que com a WebAuthn pode ser diferente.

Na segunda-feira, o W3C e a FIDO anunciaram que o WebAuthn é agora um padrão oficial da Web. Em termos mais simples, isso significa que os especialistas estão confiantes o suficiente para começar a aconselhar os desenvolvedores de sites e de aplicativos móveis a implementarem os seus produtos. Para entender como tudo isso afetará a todos nós, precisamos olhar como o WebAuthn funciona.

Como o WebAuthn funciona?

Da perspectiva do usuário, as coisas são bem diretas. A ideia é, ao invés de fornecer um nome de usuário e uma senha, você usa mecanismos biométricos de autenticação no seu computador ou smartphone, ou utiliza um token de hardware que pode ser levado em um chaveiro e funciona com USB, NFC, Bluetooth, ou um protocolo de comunicação similar. Não há nenhuma credencial de login, o que pode soar como um conceito atraente. Mas, e quanto ao aspecto da segurança?

Enquanto o processo é simples à primeira vista, por trás, um login com o WebAuthn é uma operação um tanto quanto complexa. Tudo é baseado na criptografia de uma chave pública (também conhecida como assimétrica), o que significa que duas chaves estão envolvidas - a pública e a privada. Cada uma das suas contas ganha um par de chaves as quais o seu computador ou token geram após o cadastro. A chave pública é enviada ao provedor de serviço, e a chave privada é armazenada no seu dispositivo. Quando você estiver tentando logar-se, o provedor envia um desafio do qual o seu dispositivo assina e criptografa com a sua chave privada. O único meio de descriptografar esse desafio e ver a assinatura é com a sua chave pública, que é como o provedor sabe que você é quem você alega ser.

Há mais alguns benefícios de segurança nesse esquema. Primeiro de tudo, logar requer duas chaves armazenadas em dois locais diferentes. Mesmo se os estelionatários conseguirem roubar ou interceptar a sua chave pública, eles não têm nenhuma maneira de entrar sem a sua chave privada, que como você deve lembrar, nunca deixa o seu dispositivo.

Além disso, diferentemente das senhas, as chaves criptográficas não podem ser adivinhadas stuffed, reutilizadas, ou phished. Em outras palavras, a maioria dos ataques que tradicionalmente funcionam com as senhas não são efetivos contra o esquema do WebAuthn.

O novo padrão da Web é incrível porque é um dos poucos exemplos de uma inovação tecnológica que não apenas melhora a usabilidade mas também resulta em uma segurança melhorada.

Então, as senhas estão mortas, certo?

Enquanto isso é, certamente, algo para se ansiar, nós reconhecemos que a morte das senhas ainda está bem longe. Não há dúvidas na mente das pessoas de que a tecnologia por trás do WebAuthn seja boa, mas há ainda alguns obstáculos a superar.

Um deles é que o WebAuthn é um padrão da Web, e por mais bobo que possa soar, a palavra “padrão” no seu senso clássico é um tabu no mundo online. Veja as senhas, por exemplo. Nós as temos usado como o nosso mecanismo primário de login por um bom tempo, mas até agora, depois de décadas após a sua primeira aparição, nós ainda não podemos concordar com o que é e o que não é uma senha forte. Da mesma maneira, apesar das vantagens óbvias, os vendedores não aparentam estar de acordo quando se trata do quão rápido o WebAuthn deveria ser implementado.

O Google Chrome foi o primeiro navegador a ter suporte para o WebAuthn, mas não foi até poucos meses depois que o Firefox, outro grande nome na indústria, o implementou. A Microsoft levou muito tempo incorporando o WebAuthn no Edge, e a Apple ainda está experimentando o suporte para o Safari. A situação não é muito diferente na área móvel. Na semana passada, a FIDO anunciou que muito em breve todos os telefones e tablets rodando o Android 7.0 ou posterior serão certificados pela FIDO. O WebAuthn está no núcleo do protocolo FIDO2, significando que esses dispositivos irão suportar efetivamente o login sem senha. Infelizmente, nós ainda estamos para ver quaisquer informações de quando o padrão será incorporado ao iOS da Apple. E mesmo que todos os vendedores abraçarem o WebAuthn para os seus mais novos dispositivos, você não pode ignorar a montanha de legados dos sistemas que foram deixados para trás.

É claro que, após todos os vendedores de hardware o adotarem, os desenvolvedores de sites e de aplicativos irão precisar implementá-lo como um mecanismo de login. Em outras palavras, o WebAuthn provavelmente não substituirá a senha muito em breve. E até que isso aconteça, você precisa ter certeza de que as suas contas estão tão protegidas quanto possível.

Usando um aplicativo de gerenciamento de senhas como o Gerenciador de Senhas do Cyclonis é o melhor meio para fazer isso. Com ele, você pode criar senhas longas e complexas sem se preocupar em lembrá-las. Nos dias de hoje, contando com o seu cérebro para fazer isso é simplesmente uma má ideia, e a melhor coisa ao deixar o Gerenciador de Senhas do Cyclonis fazer todo o trabalho para você é que as funcionalidades de auto-preenchimento e login automático da extensão do navegador trarão uma conveniência adicional.

March 22, 2019

Deixe uma Resposta

IMPORTANTE! Para poder prosseguir, você precisa resolver a seguinte conta.
Please leave these two fields as is:
O que é 9 + 5 ?