Introdução

A senha tão difamada e frequentemente hackeada, roubada ou comprometida não é mais um limite de segurança na Web de hoje. Seu substituto é a especificação emergente de Autenticação da Web (WebAuthn), uma API de gerenciamento de credenciais desenvolvida pelo World Wide Web Consortium (W3C) e padronizada para atender às necessidades de computação online segura e moderna.

Aqui obteremos um breve histórico de por que as senhas falharam e, em seguida, começaremos quebrar a definição de WebAuthn para aprendermos por partes.

Eventualmente usaremos essas partes para construir um ambiente de servidor WebAuthn que incorpora os recursos do lado do cliente, do servidor e do autenticador, que são a base da WebAuthn.

O trabalho para criar a API de autenticação da Web começou em fevereiro de 2016 dentro do W3C, e está gerando muito interesse para inovação em torno da autenticação e segurança.

Agora, Yubico e o W3C se uniram para criar um curso introdutório que descreve a próxima descoberta em autenticação segura e reúne a comunidade de desenvolvedores para dar-lhe vida. Este curso e seu trabalho árduo foram elaborados para atingir esse objetivo.

A autenticação da Web (WebAuthn), foi desenvolvida para atender às necessidades de segurança da autenticação online moderna. Ele combina segurança apoiada por hardware com uma experiência de usuário simples e fácil. O resultado é a redefinição do acesso seguro, incluindo a primeira inovação legítima em autenticação sem senha.

Esses avanços e o trabalho que define a API estão contidos neste curso, incluindo conceitos básicos como registro, autenticação e infraestrutura de servidor, juntamente com outros blocos de construção para a criação de um ambiente Web Authn.

O W3C, os voluntários de suas empresas-membro e os especialistas convidados são os administradores da comunidade internacional do W3C dedicada a construir padrões abertos para a World Wide Web.

Mais de 450 membros contribuem ativamente para construir e manter uma série de especificações e diretrizes. Os padrões W3C definem uma plataforma Web aberta para desenvolvimento de aplicativos que inclui HTML5, CSS e a API de gerenciamento de credenciais, que é o coração da autenticação da Web.

O WebAuthn representa a primeira tecnologia de credencial de chave pública baseada na Web a oferecer uma alternativa segura aos logins de senha sub-padrão atuais e à tecnologia obsoleta de vários fatores. O WebAuthn não depende de um repositório centralizado de segredos compartilhados. A API é compatível com navegadores da Web comumente usados , como Google Chrome, Microsoft Edge, Mozilla Firefox e Apple Safari - todos os quais servem como clientes da Web front-end.

Em abril de 2021, o W3C WebAuthn Working Group concluiu a segunda versão de sua API - conhecida como WebAuthn Nível 2 - para coincidir com uma onda crescente de interesse nos recursos de segurança da tecnologia, incluindo setores de mercado como bancos e pagamentos eletrônicos e avanços técnicos, nomeadamente resistência ao phishing.

A especificação é regida pela política de patentes livre de royalties do W3C, que a torna disponível gratuitamente para qualquer pessoa. A versão mais recente das especificações WebAuthn estão disponíveis aqui e é uma tarefa de leitura para este curso.

O conceito de um padrão WebAuthn foi originalmente criado pela FIDO Alliance, uma associação aberta da indústria com uma missão focada em padrões de autenticação que ajudam a reduzir a dependência mundial excessiva de senhas.

A Alliance desenvolveu duas especificações - o Universal Authentication Framework (UAF) e o protocolo Universal Second Factor (U2F), que introduziu autenticadores apoiados por hardware baseados em criptografia de chave pública assimétrica - hoje geralmente conhecidos como Chaves de Segurança.

Por insistência da Microsoft e de outros, o U2F se tornou a base do WebAuthn, com o objetivo de oferecer suporte à autenticação segura da web para consumidores individuais, bem como para empresas e governos. Hoje, a FIDO adicionou o protocolo cliente para autenticador (CTAP), que junto com o WebAuthn define o FIDO2.

As senhas são um único ponto de falha. Hoje, a ameaça número um à segurança cibernética são as senhas fracas e reutilizadas.

Por exemplo, os ataques geralmente começam com o aproveitamento de senhas comprometidas de outros serviços para obter acesso a outras contas de destino que uma vítima possa estar usando. As senhas são o elo mais fraco nesses cenários, pois são segredos compartilhados, fáceis de quebrar e muitas vezes fáceis de adivinhar e, uma vez conhecidas, podem ser usadas em qualquer lugar.

Por exemplo, em 2020, a PC Magazine relatou que "123456" era a senha mais popular e reutilizada, tendo sido violada mais de 23 milhões de vezes. O roubo de credenciais também é uma ameaça, pois os invasores usam a engenharia social, na qual usam informações postadas publicamente nas redes sociais ou em outras fontes para apresentar uma máscara de aparência legítima, para enganar vítimas bem-intencionadas para que exponham suas senhas. Esses ataques podem variar de se passar por um colega pedindo informações a e-mails que parecem oficiais de entidades governamentais ameaçando agir, todos com o objetivo de manipular a vítima para fornecer ao invasor sua senha.