This is the Trace Id: bce199c8b2d5f4bf8a938872857c8086
Avançar para o conteúdo principal
Microsoft Security

O que é a FIDO2?

Aprenda as noções básicas da autenticação sem palavra-passe FIDO2, incluindo como funciona e ajuda a proteger indivíduos e organizações contra ataques online.

Reduza o risco com a autenticação sem palavra-passe

Definição da FIDO2

A FIDO2 (Fast IDentity Online 2) é uma norma aberta para a autenticação de utilizadores que visa reforçar a forma como as pessoas iniciam sessão em serviços online para aumentar a confiança geral. A FIDO2 reforça a segurança e protege indivíduos e organizações de cibercrimes, ao utilizar credenciais criptográficas resistentes a phishing para validar as identidades dos utilizadores.

A FIDO2 é a mais recente norma de autenticação aberta desenvolvida pela FIDO Alliance, um consórcio da indústria composto pela Microsoft e por outras organizações tecnológicas, comerciais e governamentais. A aliança lançou as normas de autenticação FIDO 1.0 - que Apresentamos a autenticação multifator (MFA) resistente a phishing - em 2014 e a mais recente norma de autenticação sem palavra-passe - FIDO2 (também designada FIDO 2.0 ou FIDO 2) - em 2018.

O que são chaves de acesso e qual é a sua relação com a FIDO2?

Independentemente do seu comprimento ou complexidade, ou da frequência com que são alteradas, as palavras-passe podem ser comprometidas se forem partilhadas voluntariamente ou não. Mesmo com uma solução de proteção de palavra-passe segura, todas as organizações correm algum risco de phishing, hacking e outros ciberataques em que as palavras-passe são roubadas. Uma vez nas mãos erradas, as palavras-passe podem ser utilizadas para obter acesso não autorizado a contas online, dispositivos e ficheiros.

As chaves de acesso são credenciais de início de sessão FIDO2 que são criadas ao utilizar criptografia de chave pública. Um substituto eficaz para as palavras-passe, aumentam acibersegurança ao mesmo tempo que tornam o início de sessão em aplicações Web e sites suportados mais fácil de utilizar do que os métodos tradicionais.

A autenticação sem palavra-passe FIDO2 baseia-se em algoritmos criptográficos para gerar um par de chaves de acesso privadas e públicas - números longos e aleatórios que estão matematicamente relacionados. O par de chaves é utilizado para efetuar a autenticação do utilizador diretamente no dispositivo de um utilizador final, seja um computador de secretária, portátil, telemóvel ou chave de segurança. Uma chave de acesso pode ser vinculada a um único dispositivo do utilizador ou sincronizada automaticamente entre os vários dispositivos de um utilizador através de um serviço cloud.

Como é que a autenticação FIDO2 funciona?

A autenticação sem palavra-passe FIDO2 funciona geralmente ao utilizar chaves de acesso como o primeiro e principal fator para autenticação da conta. De forma resumida, quando um utilizador se regista num serviço online suportado por FIDO2, o dispositivo cliente registado para efetuar a autenticação gera um par de chaves que funciona apenas para essa aplicação web ou site.

A chave pública é encriptada e partilhada com o serviço, mas a chave privada permanece em segurança no dispositivo do utilizador. Em seguida, cada vez que o utilizador tenta iniciar sessão no serviço, o serviço apresenta um desafio exclusivo ao cliente. O cliente ativa o dispositivo de chave de acesso para assinar o pedido com a chave privada e devolvê-la. Isto torna o processo criptograficamente protegido contra phishing.

Tipos de autenticadores FIDO2

Antes de o dispositivo poder gerar um conjunto exclusivo de chaves de acesso FIDO2, tem de confirmar que o utilizador que está a pedir acesso não é um utilizador não autorizado ou um tipo de malware. Para tal, utiliza um autenticador, que é um dispositivo que pode aceitar um PIN, dados biométricos ou outro gesto do utilizador.

Existem dois tipos de autenticadores FIDO:

Autenticadores itinerantes (ou multiplataforma)

Estes autenticadores são dispositivos de hardware portáteis que estão separados dos dispositivos cliente dos utilizadores. Os autenticadores itinerantes incluem chaves de segurança, smartphones, tablets, wearables e outros dispositivos que se ligam a dispositivos clientes através do protocolo USB ou comunicação de campo próximo (NFC) e tecnologia sem fios Bluetooth. Os utilizadores verificam as suas identidades de várias formas, por exemplo, ao ligar uma chave FIDO e premir um botão, ou ao fornecer dados biométricos, como uma impressão digital, no respetivo smartphone. Os autenticadores itinerantes também são conhecidos como autenticadores multiplataforma porque permitem que os utilizadores se autentiquem em vários computadores, a qualquer hora e em qualquer lugar.

Autenticadores de plataforma (ou vinculados)

Estes autenticadores estão incorporados nos dispositivos cliente dos utilizadores, quer se trate de um computador de secretária, portátil, tablet ou smartphone. Ao incluírem capacidades biométricas e chips de hardware para proteger chaves de acesso, os autenticadores de plataforma exigem que o utilizador inicie sessão em serviços suportados pelo FIDO com o respetivo dispositivo cliente e, em seguida, se autentique através do mesmo dispositivo, geralmente com dados biométricos ou um PIN.

Alguns exemplos de autenticadores de plataforma que utilizam dados biométricos incluem o Microsoft Windows Hello, o Touch ID e Face ID da Apple e a Impressão Digital do Android.

Como registar e iniciar sessão em serviços suportados pela FIDO2:

Para tirar partido da segurança acrescida que a autenticação FIDO2 oferece, siga estes passos básicos:

Como registar-se num serviço suportado por FIDO2:

  • Passo 1: Ao registar-se num serviço, ser-lhe-á pedido que escolha um método de autenticação FIDO suportado.

  • Passo 2: Ative o autenticador FIDO com um simples gesto suportado pelo autenticador, seja ao introduzir um PIN, ao tocar num leitor de impressões digitais ou ao inserir uma chave de segurança FIDO2.

  • Passo 3: Assim que o autenticador for ativado, o seu dispositivo irá gerar um par de chaves públicas e privadas que é exclusivo para o seu dispositivo, conta e serviço.

  • Passo 4: O seu dispositivo local armazena de forma segura a chave privada e quaisquer informações confidenciais relativas ao método de autenticação, tais como os seus dados biométricos. A chave pública é encriptada e, juntamente com uma ID de credenciais gerada aleatoriamente, registada no serviço e armazenada no seu servidor de autenticação.

Como iniciar sessão num serviço suportado por FIDO2:

  • Passo 1: O serviço emite um desafio criptográfico para confirmar a sua presença.

  • Passo 2: Quando lhe for pedido, execute o mesmo gesto de autenticação utilizado durante o registo da conta. Depois de ter confirmado a sua presença com o gesto, o seu dispositivo irá utilizar a chave privada armazenada localmente no seu dispositivo para assinar o desafio.

  • Passo 3: O seu dispositivo envia o desafio assinado de volta para o serviço, que o verifica com a chave pública registada de forma segura.

  • Passo 4: Uma vez terminado este processo, a sua sessão será iniciada.

Quais são os benefícios da autenticação FIDO2?

Os benefícios da autenticação sem palavra-passe FIDO2 incluem maior segurança e privacidade, uma experiência simplificada e escalabilidade melhorada. A FIDO2 também reduz as cargas de trabalho e os custos associados à gestão de acessos.

Aumenta a segurança

A autenticação sem palavra-passe FIDO2 aumenta significativamente a segurança do início de sessão ao basear-se em chaves de acesso exclusivas. Com a FIDO2, os hackers não conseguem aceder facilmente a estas informações confidenciais através de phishing, ransomware e outros atos comuns de roubo informático. As chaves biométricas e FIDO2 também ajudam a eliminar vulnerabilidades nos métodos tradicionais de autenticação multifator, como o envio de códigos de acesso monouso (OTPs) através de mensagens de texto.

Melhora a privacidade do utilizador

A autenticação FIDO reforça a privacidade do utilizador, ao armazenar de forma segura chaves criptográficas privadas e dados biométricos nos dispositivos dos utilizadores. Além disso, como este método de autenticação gera pares de chaves exclusivos, ajuda a evitar que os fornecedores de serviços monitorizem os utilizadores através dos sites. Em resposta às preocupações dos consumidores relativamente à potencial utilização indevida de dados biométricos, os governos estão também a aprovar leis de privacidade que impedem as organizações de vender ou partilhar informações biométricas.

Promove a facilidade de utilização

Com a autenticação FIDO, os indivíduos podem autenticar as suas identidades de forma rápida e conveniente ao utilizar chaves FIDO2, aplicações de autenticação ou leitores de impressões digitais ou câmaras incorporadas nos respetivos dispositivos. Embora os utilizadores tenham de executar um segundo ou mesmo terceiro passo de segurança (como quando é necessário outro método para além dos dados biométricos para a verificação de identidade), poupam o tempo e o incómodo associados à criação, memorização, gestão e reposição de palavras-passe.

Melhora a escalabilidade

O FIDO2 é uma norma aberta e sem licença que habilita as empresas e outras organizações a dimensionarem métodos de autenticação sem palavra-passe em todo o mundo. Com a FIDO2, pode fornecer experiências de início de sessão seguras e otimizadas a todos os colaboradores, clientes e parceiros, independentemente do browser e plataforma escolhidos.

Simplifica a gestão do acesso

As equipas de TI já não precisam de implementar e gerir políticas e infraestruturas de palavras-passe, reduzindo os custos e libertando-as para se concentrarem em atividades de maior valor. Além disso, a produtividade do pessoal do suporte técnico aumenta, uma vez que não têm de suportar pedidos baseados em palavras-passe, como a reposição de palavras-passe.

O que são WebAuthn e CTAP2?

O conjunto de definições FIDO2 tem dois componentes: Autenticação Web (WebAuthn) e Protocolo 2 de Cliente para Autenticador (CTAP2). O componente principal, WebAuthn, é uma API JavaScript que é implementada em browsers e plataformas conforme para que os dispositivos registados possam realizar a autenticação FIDO2. O World Wide Web Consortium (W3C), a organização internacional de normas para a World Wide Web, desenvolveu o WebAuthn em parceria com a FIDO Alliance. O WebAuthn tornou-se uma norma Web formal do W3C em 2019.

O segundo componente, CTAP2, desenvolvido pela FIDO Alliance, permite que os autenticadores itinerantes, como as chaves de segurança e os dispositivos móveis FIDO2, comuniquem com os browsers e as plataformas suportadas pela FIDO2.

O que são FIDO U2F e FIDO UAF?

A FIDO2 evoluiu a partir da FIDO 1.0, as primeiras especificações de autenticação FIDO lançadas pela aliança em 2014. Estas especificações originais incluíam o protocolo FIDO Universal Second Fator (FIDO U2F) e o protocolo FIDO Universal Authentication Framework (FIDO UAF).

Tanto a FIDO U2F como a FIDO UAF são formas de autenticação multifator, que requer duas ou três provas (ou fatores) para validar um utilizador. Estes fatores podem ser algo que apenas o utilizador conhece (como um código de acesso ou PIN), possui (como uma chave FIDO ou uma aplicação de autenticação num dispositivo móvel), ou uma característica física (como dados biométricos).

Saiba mais sobre estas especificações:

FIDO U2F

A FIDO U2F reforça as normas de autorização baseadas em palavra-passe com autenticação de dois fatores (2FA), que valida o utilizador com duas provas. O protocolo FIDO U2F requer que um indivíduo forneça uma combinação válida de nome de utilizador e palavra-passe como primeiro fator e, em seguida, utilize um dispositivo USB, NFC ou Bluetooth como segundo fator, autenticando geralmente ao premir um botão ou introduzir uma OTP sensível em matéria de tempo.

A FIDO U2F é a sucessora da CTAP 1 e a antecessora da CTAP2, que permite aos indivíduos utilizar dispositivos móveis para além das chaves FIDO como dispositivos de segundo fator.

FIDO UAF

A FIDO UAF facilita a autenticação multifator sem palavra-passe. Requer que um indivíduo inicie sessão com um dispositivo cliente registado na FIDO - que confirma a presença do utilizador com uma verificação biométrica, como uma impressão digital ou análise facial, ou com um PIN - como primeiro fator. O dispositivo gera então o par de chaves exclusivo como um segundo fator. Um site ou aplicação também pode utilizar um terceiro fator, como dados biométricos ou a localização geográfica de um utilizador.

A FIDO UAF é a antecessora da autenticação sem palavra-passe FIDO2.

Como implementar a FIDO2

A implementação da norma FIDO2 em sites e aplicações requer que a sua organização tenha hardware e software modernos. Felizmente, todas as principais plataformas Web, incluindo Microsoft Windows, Apple iOS e MacOS, e sistemas Android, e todos os principais browsers Web, incluindo Microsoft Edge, Google Chrome, Apple Safari e Mozilla Firefox, suportam FIDO2. A sua solução de gestão de identidades e acessos (IAM) também tem de suportar a autenticação FIDO2.

Em geral, a implementação da autenticação FIDO2 em sites e aplicações novas ou existentes implica estes passos importantes:

  1. Defina a experiência de início de sessão do utilizador e os métodos de autenticação, e defina políticas de controlo de acesso.
  2. Crie páginas de registo e de início de sessão novas ou modifique as existentes com as especificações adequadas do protocolo FIDO.
  3. Configure um servidor FIDO para autenticar os pedidos de registo e autenticação FIDO. O servidor FIDO pode ser um servidor autónomo, integrado com um servidor Web ou de aplicações, ou fornecido como um módulo IAM.
  4. Crie novos fluxos de trabalho de autenticação ou modifique os existentes.

FIDO2 e autenticação biométrica

A autenticação biométrica utiliza as características biológicas ou comportamentais únicas de uma pessoa para confirmar que o indivíduo é quem diz ser. Os dados biométricos são recolhidos e convertidos em modelos biométricos que só são acessíveis com um algoritmo secreto. Quando o indivíduo tenta iniciar sessão, o sistema recaptura a informação, converte-a e compara-a com a biometria armazenada.

Alguns exemplos de autenticação biométrica são os seguintes:

Biológica

  • Análise de impressões digitais
  • Análise da retina
  • Reconhecimento de voz
  • Correspondência de ADN
  • Análise de veias

Comportamental

  • Utilização do ecrã tátil
  • Velocidade de digitação
  • Atalhos de teclado
  • Atividade do rato

A autenticação biométrica é uma realidade nos atuais locais de trabalho híbridos e digitais. Os colaboradores gostam do facto de lhes dar flexibilidade para se autenticarem de forma rápida e segura onde quiserem. As empresas gostam do facto de reduzir significativamente a sua superfície de ataque, desencorajando os cibercrimes que, de outra forma, poderiam visar os seus dados e sistemas.

No entanto, a autenticação biométrica não é totalmente à prova de hackers. Por exemplo, os atores mal-intencionados podem utilizar os dados biométricos de outra pessoa, como uma foto ou uma impressão digital de silicone, para usurpar a identidade dessa pessoa. Em alternativa, podem combinar várias digitalizações de impressões digitais para criar uma digitalização principal que lhes dê acesso a várias contas de utilizador.

Existem outras desvantagens na autenticação biométrica. Alguns sistemas de reconhecimento facial, por exemplo, têm um preconceito inerente contra mulheres e pessoas de cor. Além disso, algumas organizações optam por armazenar dados biométricos em servidores de bases de dados em vez de em dispositivos de utilizador final, o que levanta questões sobre segurança e privacidade. Ainda assim, a autenticação biométrica multifator continua a ser um dos métodos mais seguros disponíveis atualmente para verificar as identidades dos utilizadores.

Exemplos de autenticação FIDO2

Os requisitos logísticos e de segurança para a verificação de identidade variam dentro e entre organizações. Seguem-se formas comuns de as organizações de diferentes indústrias implementarem a autenticação FIDO2.

Banca, serviços financeiros e seguros

Para proteger dados comerciais e de clientes confidenciais, os colaboradores que trabalham em escritórios empresariais utilizam frequentemente computadores de secretária ou portáteis fornecidos pela empresa com autenticadores de plataforma. A política da empresa proíbe-os de utilizar estes dispositivos para uso pessoal. Os colaboradores das sucursais e centros de atendimento no local utilizam frequentemente dispositivos partilhados e verificam as suas identidades ao utilizar autenticadores itinerantes.

Aviação e companhias aéreas

As organizações nestas indústrias também têm de acomodar indivíduos que trabalham em diferentes cenários e que têm responsabilidades variadas. Os executivos, os recursos humanos e outros colaboradores baseados no escritório utilizam frequentemente computadores de secretária e portáteis dedicados e autenticam-se com autenticadores de plataforma ou itinerantes. Os operadores de portas de embarque de aeroportos, mecânicos de aviões e membros da tripulação utilizam frequentemente chaves de segurança de hardware ou aplicações de autenticação nos seus smartphones pessoais para se autenticarem em tablets ou estações de trabalho partilhadas.

Fabrico

Para garantir a segurança física das instalações de fabrico, os colaboradores autorizados e outros indivíduos utilizam autenticadores itinerantes - tais como smartcards ativados por FIDO2 e chaves FIDO2 - ou smartphones pessoais registados com autenticadores de plataforma para desbloquear portas. Além disso, as equipas de design de produtos utilizam frequentemente computadores de secretária ou portáteis dedicados com autenticadores de plataforma para aceder a sistemas de design online que contêm informações proprietárias.

Serviços de emergência

As agências governamentais e outros fornecedores de serviços de emergência nem sempre podem autenticar paramédicos e outras equipas de primeiros socorros com análises de impressões digitais ou da íris. Muitas vezes, estes indivíduos usam luvas ou protetores oculares mas, ainda assim, precisam de aceder rapidamente a serviços online. Nestes casos, são identificados através de sistemas de reconhecimento de voz. Também pode utilizar tecnologias emergentes de análise das formas dos ouvidos com smartphones.

Garanta segurança e tranquilidade com a FIDO2

A autenticação sem palavra-passe está a tornar-se rapidamente uma prática recomendada para a IAM. Ao adotar a FIDO2, sabe que está a utilizar uma norma de confiança para se certificar de que os utilizadores são quem dizem ser.

Para começar a utilizar a FIDO2, avalie cuidadosamente os seus requisitos específicos organizacionais e da indústria para a verificação de identidade. Em seguida, otimize a implementação da FIDO2 com o Microsoft Entra ID (anteriormente conhecido como Azure Active Directory). O assistente de métodos sem palavra-passe no   Microsoft Entra ID simplifica a gestão do Windows Hello for Business, da aplicação Microsoft Authenticator e das chaves de segurança FIDO2.

Saiba mais sobre o Microsoft Security

Microsoft Entra ID (anteriormente conhecido como Azure Active Directory)

Proteja o acesso a recursos e dados através de autenticação forte e de acesso adaptável baseado em risco.

Saiba mais sobre o Microsoft Entra ID

Microsoft Entra Identity Governance

Aumente a produtividade e reforce a segurança através da automatização do acesso a aplicações e serviços.

Saiba mais

ID Verificada do Microsoft Entra

Atribua e verifique com confiança as credenciais do local de trabalho e outras credenciais com uma solução de normas abertas.

Saiba mais

ID de carga de trabalho Microsoft Entra

Reduza o risco ao conceder a aplicações e serviços acesso condicional a recursos cloud, tudo num único local.

Saiba mais sobre o Microsoft Entra ID

Perguntas mais frequentes

  • FIDO2 significa "Fast IDentity Online 2", a mais recente norma de autenticação aberta lançada pela FIDO Alliance. Composta pela Microsoft e por outras organizações tecnológicas, comerciais e governamentais, a aliança procura eliminar a utilização de palavras-passe na World Wide Web.

    As especificações FIDO2 incluem a Autenticação Web (WebAuthn), uma API Web que permite que os serviços online comuniquem com os autenticadores da plataforma FIDO2 (tais como tecnologias de reconhecimento facial e de impressões digitais incorporadas em browsers e plataformas Web). Desenvolvida pelo World Wide Web Consortium (W3C) em parceria com a FIDO Alliance, a WebAuthn é uma norma formal do W3C.

    A FIDO2 também inclui o Client-to-Authenticator Protocol 2 (CTAP2), desenvolvido pela aliança. O CTAP2 liga autenticadores itinerantes (tais como chaves de segurança FIDO2 externas e dispositivos móveis) a dispositivos clientes FIDO2 através de USB, BLE ou NFC.

  • A FIDO2 é uma norma aberta e sem licença para autenticação multifator sem palavra-passe em dispositivos móveis e computadores de secretária. A FIDO2 funciona ao utilizar criptografia de chave pública em vez de palavras-passe para validar as identidades dos utilizadores, contrariando as intenções dos cibercriminosos que tentam roubar as credenciais dos utilizadores através de phishing, malware e de outros ataques baseados em palavras-passe.

  • Os benefícios da autenticação FIDO2 incluem maior segurança e privacidade, uma experiência simplificada e escalabilidade melhorada. A FIDO2 também simplifica o controlo de acesso para equipas de TI e pessoal de suporte técnico, reduzindo as cargas de trabalho e os custos associados à gestão de nomes de utilizador e palavras-passe.

  • Uma chave FIDO2, também denominada chave de segurança FIDO2, é um dispositivo de hardware físico necessário para autenticação de dois fatores e multifator. Ao funcionar como um autenticador FIDO itinerante, esta norma utiliza USB, NFC ou Bluetooth para ligar a um dispositivo cliente FIDO2, permitindo que os utilizadores se autentiquem em vários computadores, quer estejam no escritório, em casa ou noutro espaço.

    O dispositivo cliente verifica a identidade do utilizador pedindo-lhe que utilize a chave FIDO2 para fazer um gesto, tal como tocar num leitor de impressões digitais, premir um botão ou introduzir um PIN. As chaves FIDO2 incluem chaves plug-in, smartphones, tablets, dispositivos utilizáveis e outros dispositivos.

  • As organizações implementam métodos de autenticação FIDO2 com base nos seus requisitos exclusivos de segurança, logística e indústria.

    Por exemplo, os bancos e os fabricantes centrados na investigação exigem frequentemente que os colaboradores que trabalham no escritório e noutros locais utilizem computadores de secretária e portáteis fornecidos pela empresa, apenas para uso profissional, com autenticadores de plataforma. As organizações com pessoas em viagem, como as tripulações das companhias aéreas e as equipas de resposta a emergências, acedem frequentemente a tablets ou estações de trabalho partilhadas e, em seguida, procedem à autenticação através de chaves de segurança ou aplicações de autenticação nos respetivos smartphones.

Siga o Microsoft Security