Este documento fornece uma visão geral das especificações FIDO para autenticação moderna, discutindo os problemas com senhas, como o FIDO funciona para fornecer conveniência e segurança, e os componentes do ecossistema FIDO.

1. All Rights Reserved | FIDO Alliance | Copyright 20191
ESPECIFICAÇÕES FIDO
VISÃO GERAL
Gabriel Prado
CoffeeBean Technology

2. 2 All Rights Reserved | FIDO Alliance | Copyright 2019
AUTENTICAÇÃO - ESTAMOS SEGUROS?

3. All Rights Reserved | FIDO Alliance | Copyright 20193
Ataques que requerem ações físicas → não escaláveis
Soluções nunca serão 100% seguras, então atente para o nível
adequado de segurança.
Priorize defesas contra ataques em larga escala.
Ataques em escala
AUTENTICAÇÃO - ESTAMOS SEGUROS?

4. All Rights Reserved | FIDO Alliance | Copyright 20194
ESCOPO DA FIDO
Identidade física-digital
Gerenciamento de
usuários
Autenticação
Federação
Single
Sign-On
Senhas
Baseada em
risco
Forte
Autenticação moderna

5. All Rights Reserved | FIDO Alliance | Copyright 20195
DispositivoAlguma ação Autenticação
Análise de risco
Internet
AUTENTICAÇÃO NA NUVEM

6. All Rights Reserved | FIDO Alliance | Copyright 20196
PROBLEMAS COM SENHAS
DispositivoAlguma ação Autenticação
Internet
Senhas podem ser
roubadas do servidor
1Senhas podem ser inseridas
em aplicações e sites não
confiáveis (“phishing”)
2
Muitas senhas para lembrar
(>reuso / abandono de carrinho)
3
Inconvenientes de
digitar em smartphones
4

7. All Rights Reserved | FIDO Alliance | Copyright 20197
COMO FIDO FUNCIONA?

8. All Rights Reserved | FIDO Alliance | Copyright 20198
COMO FIDO FUNCIONA?
DispositivoVerificação de usuário Autenticação FIDO
Autenticador

9. All Rights Reserved | FIDO Alliance | Copyright 20199
AutenticadorVerificação de usuário Autenticação FIDO
Requer uma ação do usuário
antes de utilizar a chave
privada
Desafio
Resposta (Assinada)
Chave privada
exclusiva para cada
conta e aplicação Chave pública
exclusiva para cada
conta e aplicação
COMO FIDO FUNCIONA?

10. All Rights Reserved | FIDO Alliance | Copyright 201910
Verificação de usuário Autenticador Autenticação FIDO
Mesmo autenticador
cadastrado anteriormente?
Mesmo usuário cadastrado
anteriormente?
Consegue reconhecer o usuário
(i.e. verificação de usuário),
mas não conhece seus
atributos de identificação.
COMO FIDO FUNCIONA?

11. All Rights Reserved | FIDO Alliance | Copyright 201911
Associação de identidade
não está no escopo da
FIDO: Este é “João Silva
com identificador X”.
Verificação de usuário Autenticador Autenticação FIDO
Mesmo autenticador
cadastrado anteriormente?
Mesmo usuário cadastrado
anteriormente?
Consegue reconhecer o usuário
(i.e. verificação de usuário),
mas não conhece seus
atributos de identificação.
COMO FIDO FUNCIONA?

12. All Rights Reserved | FIDO Alliance | Copyright 201912
ECOSSISTEMA FIDO
AutenticadorVerificação de usuário Autenticação FIDO
… …SE

13. All Rights Reserved | FIDO Alliance | Copyright 201913
Como a chave privada
está protegida?
(TPM, SE, TEE, …)?
Qual método de verificação
de usuário foi utilizado?
AutenticadorVerificação de usuário Autenticação FIDO
… …SE
ECOSSISTEMA FIDO

14. All Rights Reserved | FIDO Alliance | Copyright 201914
ATESTADO + METADADOS
Chave privada
do atestado
Objeto de Atestado Assinado
Metadados
Recupera características de
segurança do autenticador
através dos Metadados obtidos
em mds.fidoalliance.org
Registro FIDO
Verificado utilizando âncoras de
confiança incluídas nos Metadados
Podem ser armazenados
para auditoria

15. All Rights Reserved | FIDO Alliance | Copyright 201915
AUTENTICADORES FIDO
Existem Autenticadores “Integrados”
i.e. autenticadores que estão presentes
em um smartphone ou laptop
Existem Autenticadores “Externos”,
i.e. autenticadores que podem ser conectados
a diferentes dispositivos utilizando CTAP
Em ambas categorias, encontramos suporte a
diferentes modalidades
Verificação
de usuário
Verificação de
presença

16. All Rights Reserved | FIDO Alliance | Copyright 201916
COMPONENTES FIDO
Autenticador
(Externo)
DISPOSITIVO DO USUÁRIO
Cliente FIDO
Autenticador
(Integrado)
ASM
Aplicação (RP) Autenticação FIDO
Servidor de Aplicação
(RP)
Servidor FIDO
Metadados

17. All Rights Reserved | FIDO Alliance | Copyright 2019
Especificações da FIDO
FIDO UAF
FIDO U2F
(@FIDO)
CTAP
(@FIDO)
WebAuthn
(@W3C)
17
FIDO2

18. All Rights Reserved | FIDO Alliance | Copyright 201918
COMPONENTES FIDO
Autenticador
(Externo)
DISPOSITIVO DO USUÁRIO
Navegador
Autenticador
(Integrado)
Plataforma
Aplicação (RP) Autenticação FIDO
Servidor de Aplicação
(RP)
Servidor FIDO
Metadados
Web
Authentication
JS API
CTAP2

19. WEB AUTHENTICATION
Disponível em:
API JavaScript que possibilita
Autenticação FIDO diretamente em navegadores web
All Rights Reserved | FIDO Alliance | Copyright 201919

20. All Rights Reserved | FIDO Alliance | Copyright 201920
FIDO - REGISTRO
accountInfo, challenge, [cOpts]
rpId, ai, hash(clientData), cryptoP, [exts]verificação
de usuário
gera:
chave kpub
chave kpriv
credencial c
c,kpub,clientData,ac,cdh,rpId,cntr,AAGUID[,exts],
signature(tbs)
c,kpub,clientData,ac,tbs, s
armazena:
chave kpub
credencial c
s
Autenticador
seleciona Autenticador de acordo com cOpts;
determina rpId, obtém tlsData;
clientData := {challenge, origin, rpId, hAlg, tlsData}
cOpts: crypto params, credential black list,
extensions
cdh
ai
tbs
ac: attestation certificate chain
Servidor FIDOCliente FIDO

21. verificação
de usuário
busca
chave kpriv
cntr++;
processa exts
All Rights Reserved | FIDO Alliance | Copyright 201921
FIDO - AUTENTICAÇÃO
Autenticador Servidor FIDO
rpId, [c,] hash(clientData)
seleciona Autenticador de acordo com politícas;
verifica rpId, obtém tlsData (i.e. channel id, etc.);
busca key handle h;
clientData := {challenge, rpId, tlsData}
clientData,cntr,[exts],signature(cdh,cntr,exts)
clientData, cntr, exts, s
busca
chave kpub
no BD
verifica:
exts +
signature
usando
chave kpub
s
cdh
challenge, [aOpts]
Cliente FIDO

22. All Rights Reserved | FIDO Alliance | Copyright 201922
AUTENTICAÇÃO FIDO:
SEGURANÇA & CONVENIÊNCIA

23. All Rights Reserved | FIDO Alliance | Copyright 201923
CONVENIÊNCIA & SEGURANÇA
Segurança
Conveniência
Senhas
Segurança
Conveniência
81% dos vazamentos de dados
em 2016 envolveram senhas
padrões, fracas ou roubadas
-Verizon 2017 Data Breach Report
Para os usuários, elas são
complicadas, difíceis de
lembrar, e precisam ser
alteradas constantemente
SENHAS

24. All Rights Reserved | FIDO Alliance | Copyright 201924
CONVENIÊNCIA & SEGURANÇA
Segurança
Conveniência
Senhas + OTP
Senhas
SMS SÃO POUCO
CONFIÁVEIS
PORTE DE TOKENS
FÍSICOS
USUÁRIOS
CONFUSOS
VULNERÁVEIS A
“PHISHING”
OTPs
Segurança
Conveniência

25. All Rights Reserved | FIDO Alliance | Copyright 201925
FIDO
Com FIDO
• Mesmo método de verificação de
usuário para todos servidores
Com FIDO: Diversas modalidades de
verificação de usuário são suportadas
(+ elas são interoperáveis)
Segurança
Conveniência
Senhas + OTP
Senhas
CONVENIÊNCIA & SEGURANÇA

26. All Rights Reserved | FIDO Alliance | Copyright 201926
FIDO
Com FIDO: Níveis de segurança
podem ser reforçados
dependendo da implementação
de cada Autenticador
Com FIDO:
• Apenas chaves públicas nos servidores
• Resistentes a “phishing”
CONVENIÊNCIA & SEGURANÇA
Segurança
Conveniência
Senhas + OTP
Senhas

27. All Rights Reserved | FIDO Alliance | Copyright 201927
CONCLUSÕES
• Casos de uso distintos levam a requisitos distintos de
autenticação
• FIDO separa verificação do usuário e autenticação, suportando
assim todos os tipos de verificação de usuário
• FIDO oferece conveniência e segurança em escala
• Dados de verificação do usuário são conhecidos e armazenados
apenas pelos autenticadores
• FIDO complementa federação

28. All Rights Reserved | FIDO Alliance | Copyright 201928
ESPECIFICAÇÕES FIDO
VISÃO GERAL
Gabriel Prado, CoffeeBean Technology
Obrigado!