# Introdução A senha tão difamada e frequentemente hackeada, roubada ou comprometida não é mais um limite de segurança na Web de hoje. Seu substituto é a especificação emergente de Autenticação da Web (WebAuthn), uma API de gerenciamento de credenciais desenvolvida pelo World Wide Web Consortium (W3C) e padronizada para atender às necessidades de computação online segura e moderna. Aqui obteremos um breve histórico de por que as senhas falharam e, em seguida, começaremos quebrar a definição de WebAuthn para aprendermos por partes. Eventualmente usaremos essas partes para construir um ambiente de servidor WebAuthn que incorpora os recursos do lado do cliente, do servidor e do autenticador, que são a base da WebAuthn. O trabalho para criar a API de autenticação da Web começou em fevereiro de 2016 dentro do W3C, e está gerando muito interesse para inovação em torno da autenticação e segurança. Agora, Yubico e o W3C se uniram para criar um curso introdutório que descreve a próxima descoberta em autenticação segura e reúne a comunidade de desenvolvedores para dar-lhe vida. Este curso e seu trabalho árduo foram elaborados para atingir esse objetivo. A autenticação da Web (WebAuthn), foi desenvolvida para atender às necessidades de segurança da autenticação online moderna. Ele combina segurança apoiada por hardware com uma experiência de usuário simples e fácil. O resultado é a redefinição do acesso seguro, incluindo a primeira inovação legítima em autenticação sem senha. Esses avanços e o trabalho que define a API estão contidos neste curso, incluindo conceitos básicos como registro, autenticação e infraestrutura de servidor, juntamente com outros blocos de construção para a criação de um ambiente Web Authn. O W3C, os voluntários de suas empresas-membro e os especialistas convidados são os administradores da comunidade internacional do W3C dedicada a construir padrões abertos para a World Wide Web. Mais de 450 membros contribuem ativamente para construir e manter uma série de especificações e diretrizes. Os padrões W3C definem uma plataforma Web aberta para desenvolvimento de aplicativos que inclui HTML5, CSS e a API de gerenciamento de credenciais, que é o coração da autenticação da Web. O WebAuthn representa a primeira tecnologia de credencial de chave pública baseada na Web a oferecer uma alternativa segura aos logins de senha sub-padrão atuais e à tecnologia obsoleta de vários fatores. O WebAuthn não depende de um repositório centralizado de segredos compartilhados. A API é compatível [com navegadores da Web comumente usados](https://caniuse.com/webauthn) , como Google Chrome, Microsoft Edge, Mozilla Firefox e Apple Safari - todos os quais servem como clientes da Web front-end. Em abril de 2021, o W3C [WebAuthn Working Group](https://www.w3.org/blog/webauthn/) concluiu a segunda versão de sua API - conhecida como WebAuthn Nível 2 - para coincidir com uma onda crescente de interesse nos recursos de segurança da tecnologia, incluindo setores de mercado como bancos e pagamentos eletrônicos e avanços técnicos, nomeadamente resistência ao phishing. A especificação é regida pela política de patentes livre de royalties do W3C, que a torna disponível gratuitamente para qualquer pessoa. A versão mais recente das especificações WebAuthn estão disponíveis [aqui](https://www.w3.org/TR/webauthn-2/) e é uma tarefa de leitura para este curso. O conceito de um padrão WebAuthn foi originalmente criado pela [FIDO Alliance](https://fidoalliance.org), uma associação aberta da indústria com uma missão focada em padrões de autenticação que ajudam a reduzir a dependência mundial excessiva de senhas. A Alliance desenvolveu duas especificações - o Universal Authentication Framework (UAF) e o protocolo Universal Second Factor (U2F), que introduziu autenticadores apoiados por hardware baseados em criptografia de chave pública assimétrica - hoje geralmente conhecidos como Chaves de Segurança. Por insistência da Microsoft e de outros, o U2F se tornou a base do WebAuthn, com o objetivo de oferecer suporte à autenticação segura da web para consumidores individuais, bem como para empresas e governos. Hoje, a FIDO adicionou o protocolo cliente para autenticador (CTAP), que junto com o WebAuthn define o FIDO2. As senhas são um único ponto de falha. Hoje, a ameaça número um à segurança cibernética são as senhas fracas e reutilizadas. Por exemplo, os ataques geralmente começam com o aproveitamento de senhas comprometidas de outros serviços para obter acesso a outras contas de destino que uma vítima possa estar usando. As senhas são o elo mais fraco nesses cenários, pois são segredos compartilhados, fáceis de quebrar e muitas vezes fáceis de adivinhar e, uma vez conhecidas, podem ser usadas em qualquer lugar. Por exemplo, em 2020, a [PC Magazine relatou](https://www.pcmag.com/news/2020s-most-common-passwords-are-laughably-insecure) que "123456" era a senha mais popular e reutilizada, tendo sido violada mais de 23 milhões de vezes. O roubo de credenciais também é uma ameaça, pois os invasores usam a engenharia social, na qual usam informações postadas publicamente nas redes sociais ou em outras fontes para apresentar uma máscara de aparência legítima, para enganar vítimas bem-intencionadas para que exponham suas senhas. Esses ataques podem variar de se passar por um colega pedindo informações a e-mails que parecem oficiais de entidades governamentais ameaçando agir, todos com o objetivo de manipular a vítima para fornecer ao invasor sua senha. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.guiseek.dev/webauthn/introducao.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.