W3C aprova WebAuthn, um novo padrão de autenticação para logins sem senha

Se você não consegue se lembrar ou criar senhas fortes, vai adorar que o World Wide Web Consortium (W3C) aprovou ontem a Autenticação da Web (WebAuthn), um novo padrão de autenticação para logins sem senha que já é suportado pelos principais navegadores.

De acordo com o anúncio, a especificação WebAuthn agora é um padrão oficial da Web.

O WebAuthn permite que as pessoas acessem as contas da Internet com seu dispositivo preferido. Ele tira proveito de um protocolo chamado Client to Authenticator Protocol (CTAP2), também chamado FIDO2, usado para gerar pares de chaves criptográficas privadas e públicas para autenticação em um site.

O comunicado de imprensa lista os seguintes recursos principais do WebAuthn:

  • SegurançaAs credenciais de login criptográficas FIDO2 são únicas em todos os sites, biometria ou outros segredos como senhas nunca saem do dispositivo do usuário e nunca são armazenados em um servidor. Esse modelo de segurança elimina os riscos de phishing, todas as formas de roubo de senha e ataques de repetição.
  • Conveniência: Os usuários efetuam login com métodos convenientes, como leitores de impressões digitais, câmeras, chaves de segurança FIDO ou seu dispositivo móvel pessoal.
  • Privacidade: Como as chaves FIDO são exclusivas para cada site da Internet, elas não podem ser usadas para rastrear você nos sites.
  • Escalabilidade: Os sites podem ativar o FIDO2 por meio de uma simples chamada de API em todos os navegadores e plataformas suportados em bilhões de dispositivos que os consumidores usam todos os dias.

Em outras palavras, o WebAuthn poderia proteger as pessoas contra ataques de violação ou phishing.

Para iniciantes, é muito mais seguro do que as senhas fracas que muitas pessoas usam para proteger suas contas online ou os códigos de acesso únicos que podem ser interceptados. Com o WebAuthn, um invasor armado com uma senha correta também exigiria acesso físico à sua chave de segurança física ou dispositivo móvel com funções biométricas suportadas antes de obter acesso.

TUTORIAL: Como visualizar, pesquisar e editar senhas do Safari

Atualmente, o WebAuthn é suportado nos navegadores Chrome, Firefox, Edge e Safari, bem como no Windows 10 e Android. O suporte ao Safari apareceu pela primeira vez na versão Safari Technology Preview da Apple 71, lançada para os desenvolvedores em 5 de dezembro.

O WebAuthn deve funcionar com dispositivos Yubico.

O Yubico produz chaves de segurança física baseadas em NFC para login sem senha e autenticação de dois fatores. Em janeiro, a empresa lançou sua primeira chave de segurança física aprovada pela Apple que funciona com dispositivos iOS baseados em Lightning e Macs com uma porta USB-C.

YubiKey, a primeira chave de segurança física aprovada pela Apple, funciona com dispositivos iOS e macOS.

Os principais produtos de chave de segurança baseados em NFC da Yubico funcionam imediatamente com centenas de serviços web que suportam os protocolos de autenticação FIDO U2F e FIDO2.

Os protocolos de autenticação WebAuthn e FIDO2 / FIDO U2F já são suportados pelo Dropbox, Facebook, GitHub, Salesforce, Stripe e Twitter, com outros sites populares que deverão integrar o suporte para esses padrões nos próximos meses.