Já comentamos o WebAuthn (web authentication, ou autenticação web) aqui no site em duas ocasiões: quando o padrão alcançou o patamar de recomendação e quando o Safari Technology Preview (a versão de testes do Safari) implementou suporte inicial à API1Application programming interface, ou interface de programação de aplicações..
A ideia do WebAuthn é basicamente substituir a senha tradicional por soluções mais seguras como o Touch/Face ID e chaves de segurança USB (como os dispositvos da Yubico). Nesta semana, o WebAuthn foi aprovado pelo W3C (World Wide Web Consortium, principal organização de padronização da internet) como um padrão da web para logins.
A boa notícia é que o padrão já é suportado pelos navegadores Chrome, Firefox, Edge e Safari (ainda em versão beta), além de já ser suportado pelos sistemas Windows 10 e Android. Segundo o VentureBeat, o WebAuthn é apoiado por colaboradores do W3C como Airbnb, Alibaba, Apple, Google, IBM, Intel, Microsoft, Mozilla, PayPal, SoftBank, Tencent e Yubico, e já foi implementado em sites de serviços como Dropbox, Facebook, GitHub, Salesforce, Stripe e Twitter.
Tecnicamente falando, o WebAuthn é um componente essencial do conjunto de especificações FIDO2, da FIDO Alliance. O FIDO2 é um padrão que suporta criptografia de chave pública e autenticação multifator — especificamente, os protocolos UAF (universal authentication framework) e U2F (universal second factor).
O FIDO2 tenta abordar os tradicionais problemas de autenticação de quatro maneiras:
- Segurança: as credenciais de login criptográfico do FIDO2 são únicas em todos os sites. A biometria ou outros segredos, como senhas, nunca saem do dispositivo do usuário (normalmente uma pendrive e nunca são armazenados em um servidor). Esse modelo de segurança elimina os riscos de phishing, todas as formas de roubo de senhas e ataques de repetição.
- Conveniência: usuários fazem login utilizando métodos simples, como leitores de impressão digital, câmeras, chaves de segurança FIDO ou seu próprio dispositivo móvel (como um iPhone dotado de Face ID).
- Privacidade: como as chaves FIDO são exclusivas para cada site, elas não podem ser usadas para rastrear usuários em sites.
- Escalabilidade: sites podem ativar o suporte ao FIDO2 por meio de uma API em todos os navegadores e plataformas compatíveis com bilhões de smartphones e dispositivos.
Vamos torcer para mais e mais empresas/serviços adotarem o padrão, tornando o uso de senhas cada vez menor — e, ao mesmo tempo, aumentando a segurança do usuário.
Notas de rodapé
- 1Application programming interface, ou interface de programação de aplicações.
