Nova Proposta da FIDO
16 de Outubro de 2024

A Fast IDentity Online (FIDO) Alliance publicou um rascunho de uma nova especificação que visa permitir a transferência segura de passkeys entre diferentes provedores.

Passkeys são um método de autenticação sem senha que utiliza criptografia de chave pública para autenticar usuários sem exigir que lembrem ou gerenciem longas sequências de caracteres.

A FIDO relata que as autenticações com passkeys se tornaram 75% mais rápidas e 20% mais bem-sucedidas do que as autenticações baseadas em senhas, destacando os benefícios dessa nova tecnologia.

Embora conveniente e resistente a phishing, um dos principais desafios com passkeys é que não existe uma maneira segura de transferi-los entre diferentes plataformas e provedores de serviço.

Por exemplo, usuários que criaram passkeys no Gerenciador de Senhas do Google não podiam transferi-los de forma segura para o iCloud Keychain da Apple ao trocar de dispositivos, criando uma espécie de 'trava de fornecedor' ou até mesmo 'trava de dispositivo'.

Portanto, ao invés de proporcionar mais liberdade, passkeys criaram uma fragmentação indesejada na experiência do usuário e introduziram riscos de segurança ao tentar portá-los para uma plataforma diferente.

A nova especificação que a FIDO propõe aborda essencialmente a falta de padrões seguros amplamente aceitos para a transferência de credenciais, eliminando as complicações ou limitações práticas ao mudar de provedores.

As especificações são apresentadas em dois rascunhos separados, nomeadamente o Protocolo de Troca de Credenciais (Credential Exchange Protocol - CXP) e o Formato de Troca de Credenciais (Credential Exchange Format - CXF).

O CXP define um método para transferir de forma segura credenciais entre diferentes provedores usando a troca de chaves Diffie-Hellman e criptografia híbrida de chave pública (HPKE), de modo que os dados fiquem seguros durante a transmissão.

O CXF define uma estrutura padronizada para a transferência segura de credenciais entre provedores durante a migração, garantindo interoperabilidade e integridade de dados.

Os formatos propostos incluem JSON dentro de ZIP, com cada parte sendo criptografada conforme especificado pelo CXP.

Os rascunhos foram desenvolvidos com a contribuição de especialistas de membros associados da FIDO e partes interessadas como Dashlane, Bitwarden, 1Password, NordPass e Google.

A FIDO Alliance, que é composta por líderes no espaço tecnológico como Google, Microsoft, Apple, Visa, Mastercard, PayPal, Intel, Samsung, Meta e Amazon, espera que a nova especificação impulsione a adoção de passkeys, que hoje são usados para proteger mais de 12 bilhões de contas online.

As especificações propostas estão atualmente em forma de rascunho e sujeitas a alterações.

Aqueles interessados em participar da formulação das especificações podem fornecer seu feedback por meio desta página no GitHub.

Os rascunhos serão gradualmente atualizados para refletir adições e mudanças até que se solidifiquem, mas nenhum cronograma para isso foi fornecido até o momento.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...