O que é Fast Identity Online (FIDO)?

Fast Identity Online, ou FIDO, é um conjunto de especificações de segurança para autenticação forte. Desenvolvido pela FIDO Alliance, um consórcio de empresas líderes em tecnologia, estas especificações têm como objetivo tornar a autenticação online mais segura, mais simples e mais escalável. Os protocolos FIDO utilizam técnicas de criptografia de chave pública padrão para fornecer uma autenticação mais forte. Estes protocolos foram concebidos para serem utilizados em conjunto com outras tecnologias, como a biometria e os dispositivos de segundo fator, para fornecer uma autenticação multifactor.

A FIDO Alliance foi criada em 2012 para resolver a falta de interoperabilidade entre dispositivos de autenticação forte e os problemas que os utilizadores enfrentam ao criar e recordar vários nomes de utilizador e palavras-passe. A missão da FIDO Alliance é mudar a natureza da autenticação online através do desenvolvimento de especificações que definam um conjunto de mecanismos abertos, escaláveis e interoperáveis que reduzam a dependência de palavras-passe para autenticar os utilizadores.

Compreender a FIDO

Os protocolos FIDO são concebidos para proteger a privacidade do utilizador e proteger os dados do utilizador utilizando técnicas de criptografia de chave pública padrão. Os protocolos não se baseiam em dados biométricos armazenados centralmente ou noutras informações sensíveis, que podem ser um alvo para os piratas informáticos. Em vez disso, utilizam dispositivos locais, tais como smartphones ou chaves de segurança, para verificar a identidade do utilizador.

Os protocolos FIDO foram concebidos para serem fáceis de utilizar, com uma experiência de utilizador simples que é consistente em todos os dispositivos e plataformas. Isto é conseguido através da utilização de tecnologias Web padrão e de um conjunto comum de protocolos que podem ser implementados por qualquer sítio Web ou aplicação.

Componentes do FIDO

As especificações FIDO definem dois componentes principais: o Universal Authentication Framework (UAF) e o Universal Second Fator (U2F). O UAF é um protocolo de autenticação sem palavra-passe que permite aos utilizadores autenticarem-se com o seu dispositivo utilizando biometria, como uma impressão digital ou reconhecimento facial. O U2F é um protocolo de autenticação de segundo fator que exige que os utilizadores apresentem um segundo dispositivo, como uma chave de segurança, depois de terem introduzido o nome de utilizador e a palavra-passe.

Tanto o protocolo UAF como o U2F utilizam criptografia de chave pública para proteger o processo de autenticação. Quando um utilizador se regista num sítio Web ou numa aplicação, é gerado um novo par de chaves. A chave privada é armazenada de forma segura no dispositivo do utilizador e a chave pública é registada no sítio Web ou na aplicação. Quando o utilizador tenta autenticar-se, o sítio Web ou a aplicação desafia o dispositivo do utilizador a assinar um desafio aleatório com a chave privada. O sítio Web ou a aplicação pode então verificar a assinatura com a chave pública registada.

Benefícios da FIDO

Os protocolos FIDO oferecem várias vantagens em relação aos métodos de autenticação tradicionais. Em primeiro lugar, proporcionam uma segurança mais forte através da utilização de criptografia de chave pública, que é resistente a ataques phishing, man-in-the-middle e replay. Em segundo lugar, oferecem uma experiência de utilizador mais simples, eliminando a necessidade de os utilizadores se lembrarem e introduzirem palavras-passe complexas. Em terceiro lugar, são escaláveis e podem ser utilizados por qualquer sítio Web ou aplicação, independentemente da dimensão ou complexidade da base de utilizadores.

Além disso, uma vez que os protocolos FIDO não dependem de dados sensíveis armazenados centralmente, oferecem uma melhor proteção da privacidade aos utilizadores. Os protocolos foram concebidos para garantir que os dados biométricos e outras informações sensíveis nunca são partilhados com o sítio Web ou a aplicação, reduzindo o risco de violações de dados e roubo de identidade.

Implementação da FIDO

A implementação dos protocolos FIDO requer alterações tanto no lado do cliente como no lado do servidor de um site ou aplicação. No lado do cliente, o dispositivo do utilizador deve ser capaz de gerar e armazenar uma chave privada e de realizar as operações criptográficas necessárias para o processo de autenticação. Isto pode ser conseguido através da utilização de um dispositivo compatível com FIDO, como um smartphone ou uma chave de segurança, ou através da utilização de um browser compatível com FIDO.

No lado do servidor, o sítio Web ou a aplicação deve ser capaz de registar e armazenar chaves públicas e de verificar assinaturas. Isto pode ser conseguido através da utilização de um servidor compatível com FIDO, ou através da utilização de um servidor de autenticação compatível com FIDO.

Implementação do lado do cliente

No lado do cliente, o dispositivo do utilizador deve ser capaz de gerar e armazenar uma chave privada e de realizar as operações criptográficas necessárias para o processo de autenticação. Isto pode ser conseguido através da utilização de um dispositivo compatível com FIDO, como um smartphone ou uma chave de segurança, ou através da utilização de um browser compatível com FIDO.

Os protocolos FIDO foram concebidos para serem fáceis de utilizar, com uma experiência de utilizador simples que é consistente em todos os dispositivos e plataformas. Isto é conseguido através da utilização de tecnologias Web padrão e de um conjunto comum de protocolos que podem ser implementados por qualquer sítio Web ou aplicação.

Implementação no lado do servidor

No lado do servidor, o sítio Web ou a aplicação deve ser capaz de registar e armazenar chaves públicas e de verificar assinaturas. Isto pode ser conseguido através da utilização de um servidor compatível com FIDO, ou através da utilização de um servidor de autenticação compatível com FIDO.

Os protocolos FIDO foram concebidos para serem escaláveis e podem ser utilizados por qualquer sítio Web ou aplicação, independentemente da dimensão ou complexidade da base de utilizadores. Isto é conseguido através da utilização de um conjunto comum de protocolos e de uma arquitetura escalável que pode lidar com um grande número de utilizadores e dispositivos.

Desafios e limitações da FIDO

Embora os protocolos FIDO ofereçam muitas vantagens, também apresentam alguns desafios e limitações. Um dos principais desafios é a necessidade de os utilizadores terem um dispositivo compatível com FIDO. Embora muitos smartphones e computadores modernos sejam compatíveis com FIDO, nem todos os dispositivos o são, e os utilizadores podem ter de comprar uma chave de segurança separada.

Outro desafio é a necessidade de os sítios Web e as aplicações suportarem os protocolos FIDO. Embora a FIDO Alliance inclua muitas das principais empresas de tecnologia do mundo, nem todos os sites e aplicações implementaram os protocolos. Os utilizadores podem descobrir que podem utilizar a autenticação FIDO em alguns sites e aplicações, mas não noutros.

Compatibilidade de dispositivos

Um dos principais desafios do FIDO é a necessidade de os utilizadores terem um dispositivo compatível com o FIDO. Embora muitos smartphones e computadores modernos sejam compatíveis com FIDO, nem todos os dispositivos o são, e os utilizadores podem ter de comprar uma chave de segurança separada. Isto pode ser um obstáculo à adoção, especialmente para os utilizadores que não têm um dispositivo compatível ou que não querem comprar um dispositivo separado.

No entanto, a FIDO Alliance está a trabalhar para aumentar a compatibilidade dos dispositivos através do desenvolvimento de novas especificações e da colaboração com os fabricantes de dispositivos. O objetivo é tornar a autenticação FIDO disponível no maior número possível de dispositivos, para que seja mais fácil para os utilizadores adoptarem os protocolos.

Suporte a sítios Web e aplicações

Outro desafio da FIDO é a necessidade de os sítios Web e as aplicações suportarem os protocolos. Embora a FIDO Alliance inclua muitas das principais empresas de tecnologia do mundo, nem todos os sites e aplicações implementaram os protocolos. Os utilizadores podem descobrir que podem utilizar a autenticação FIDO em alguns sites e aplicações, mas não noutros.

No entanto, a FIDO Alliance está a trabalhar para aumentar o apoio aos protocolos através do desenvolvimento de novas especificações e do trabalho com os criadores de websites e aplicações. O objetivo é tornar a autenticação FIDO disponível no maior número possível de sites e aplicações, para que seja mais fácil para os utilizadores adoptarem os protocolos.

Futuro da FIDO

A FIDO Alliance está continuamente a trabalhar para melhorar os protocolos FIDO e aumentar a sua adoção. A Aliança está a desenvolver novas especificações, como o Projeto FIDO2, que tem como objetivo tornar a autenticação FIDO ainda mais segura e fácil de utilizar. O Projeto FIDO2 inclui a especificação WebAuthn, que está a ser desenvolvida em colaboração com o World Wide Web Consortium (W3C), e o Client to Authenticator Protocol (CTAP), que está a ser desenvolvido pela FIDO Alliance.

A FIDO Alliance está também a trabalhar para aumentar a adoção dos protocolos FIDO, trabalhando com fabricantes de dispositivos, programadores de sites e aplicações e outras partes interessadas. A Alliance está a promover os benefícios da autenticação FIDO, fornecendo orientações de implementação e oferecendo programas de certificação para garantir a interoperabilidade de dispositivos e servidores compatíveis com FIDO.

Projeto FIDO2

O Projeto FIDO2 é uma iniciativa importante da FIDO Alliance que tem como objetivo tornar a autenticação FIDO ainda mais segura e fácil de utilizar. O projeto inclui a especificação WebAuthn, que está a ser desenvolvida em colaboração com o World Wide Web Consortium (W3C), e o Client to Authenticator Protocol (CTAP), que está a ser desenvolvido pela FIDO Alliance.

A especificação WebAuthn define uma API Web padrão que permite que sites e aplicações utilizem a autenticação FIDO. A especificação CTAP define um protocolo padrão para comunicação entre um dispositivo cliente, como um smartphone ou computador, e um autenticador, como uma chave de segurança. Em conjunto, estas especificações permitirão aos utilizadores utilizar a autenticação FIDO em qualquer site ou aplicação, com qualquer dispositivo.

Adoção e promoção da FIDO

A FIDO Alliance está a trabalhar para aumentar a adoção dos protocolos FIDO, trabalhando com fabricantes de dispositivos, programadores de websites e aplicações, e outras partes interessadas. A Alliance está a promover os benefícios da autenticação FIDO, fornecendo orientações de implementação e oferecendo programas de certificação para garantir a interoperabilidade de dispositivos e servidores compatíveis com FIDO.

A FIDO Alliance está também a trabalhar para educar o público sobre os benefícios da autenticação FIDO e para encorajar os utilizadores a adotar os protocolos. A Alliance está a realizar campanhas de sensibilização do público, a oferecer recursos educativos e a organizar eventos para promover a autenticação FIDO.

Conclusão

Em conclusão, Fast Identity Online (FIDO) é um conjunto de especificações de segurança que tem como objetivo tornar a autenticação em linha mais segura, mais simples e mais escalável. Os protocolos FIDO utilizam técnicas de criptografia de chave pública padrão para fornecer uma autenticação mais forte e foram concebidos para serem utilizados em conjunto com outras tecnologias, como a biometria e os dispositivos de segundo fator, para fornecer uma autenticação multifactor.

Embora os protocolos FIDO ofereçam muitos benefícios, eles também têm alguns desafios e limitações. No entanto, a FIDO Alliance está continuamente a trabalhar para melhorar os protocolos e aumentar a sua adoção. Com o desenvolvimento contínuo de novas especificações e o apoio crescente dos fabricantes de dispositivos, dos criadores de sites e aplicações e de outras partes interessadas, o futuro do FIDO parece promissor.