Sexta-feira, 29 de março de 2024
Por Redação O Sul | 8 de março de 2019
O W3C (World Wide Web Consortium) anunciou nesta semana que o WebAuthn (Web Authentication API) se tornou um padrão oficial da internet. O recurso permite que usuários realizem login em sites com biometria, chaves de segurança ou aparelhos eletrônicos, dispensando a digitação da senha.
A tecnologia foi criada pelo W3C e pela FIDO Alliance e começou a ser divulgada ainda em novembro de 2015. Apesar das nomenclaturas complicadas, você provavelmente é adepto ao recurso, comum em sites da Google, Airbnb, Alibaba, Apple, IBM, Intel, Microsoft, Mozilla e PayPal.
O WebAuthn também é suportado pelo Android e Windows 10. Desde dezembro, a Apple também passou a incluir o recurso em versões do navegador Safari.
Adeus, senhas
O WebAuthn também está disponível em sites como o Dropbox, Facebook, GitHub eTwitter. Agora que é um padrão oficial, a expectativa é de que outros sites passem a utilizar o recurso.
“Agora é a hora de serviços e empresas adotarem o WebAuthn para ir além das senhas vulneráveis e ajudar os usuários a melhorarem a segurança de suas experiências online”, disse o CEO do W3C, Jeff Jaffe, em comunicado.
A FIDO não quer acabar com as senhas apenas na internet. Há anos a empresa trabalha para reduzir a dependência de senhas, modernizando a autentificação de pessoas.
“É de conhecimento comum que as senhas não são mais eficazes. Além de serem roubadas ou fracas, elas também são um desperdício de tempo e recursos. De acordo com um recente estudo da Yubico, os usuários gastam 10,9 horas por ano digitando ou redefinindo senhas, o que custa às empresas uma média de US$ 5,2 milhões por ano”, afirmou a parceria em comunicado.
As duas entidades completam dizendo que os códigos por SMS representam uma camada adicional de segurança, mas ainda são vulneráveis a ataques de phishing.
FIDO2
A recomendação WebAuthn da W3C é um componente central do conjunto de especificações FIDO2 da FIDO Alliance .
O FIDO2 é um padrão que suporta criptografia de chave pública e autenticação multifator – especificamente, os protocolos UAF (Universal Authentication Framework) e U2F (Universal Second Factor). Para ajudar a estimular a adoção, a FIDO Alliance fornece ferramentas de teste e um programa de certificação .
O FIDO2 tenta abordar os problemas de autenticação tradicionais de quatro maneiras:
Segurança: As credenciais de login criptográfico do FIDO2 são únicas em todos os sites; A biometria ou outros segredos, como senhas, nunca saem do dispositivo do usuário e nunca são armazenados em um servidor. Esse modelo de segurança elimina os riscos de phishing, todas as formas de roubo de senhas e ataques de repetição; Conveniência: os usuários fazem login com métodos simples, como leitores de impressão digital, câmeras, chaves de segurança FIDO ou seu dispositivo móvel pessoal; Privacidade: Como as chaves FIDO são exclusivas para cada site, elas não podem ser usadas para rastrear usuários em sites; Escalabilidade: os sites da Web podem ativar o FIDO2 por meio de uma chamada de API em todos os navegadores e plataformas compatíveis com bilhões de dispositivos que os consumidores usam todos os dias.
“O componente Web Authentication do FIDO2 é agora um padrão oficial da Web do W3C, uma conquista importante que representa muitos anos de colaboração no setor para desenvolver uma solução prática para autenticação resistente a phishing na web”, disse o diretor executivo da FIDO Alliance, Brett McDowell. declaração.”Com este marco, estamos nos movendo para a próxima fase de nossa missão compartilhada de fornecer autenticação mais simples e mais forte para todos que usam a Internet hoje e nos próximos anos”.