Este documento apresenta um webinar introdutório sobre autenticação FIDO. Ele inclui informações sobre os palestrantes, boas-vindas, introdução à autenticação FIDO, especificações FIDO, como a autenticação FIDO funciona e como ela fornece segurança e conveniência.
1. All Rights Reserved | FIDO Alliance | Copyright 20191
INTRODUÇÃO À
AUTENTICAÇÃO FIDO
O WEBINAR COMEÇARÁ EM BREVE
2. All Rights Reserved | FIDO Alliance | Copyright 20192
INTRODUÇÃO À
AUTENTICAÇÃO FIDO
GABRIEL PRADO, SOFTWARE ENGINEER, COFFEEBEAN TECHNOLOGY
MARCELO LANDI, GLOBAL VP OF SALES AND ALLIANCES, COFFEEBEAN
TECHNOLOGY
ANDREW SHIKIAR – EXECUTIVE DIRECTOR AND CMO,
FIDO ALLIANCE
11 DE SETEMBRO, 2019
3. 3
PALESTRANTES
All Rights Reserved | FIDO Alliance | Copyright 2019
Andrew Shikiar
Executive Director & CMO
FIDO Alliance
Gabriel Prado
Software Engineer
CoffeeBean Technology
Marcelo Landi
Global VP of Sales and
Alliances
CoffeeBean Technology
4. 4
BEM-VINDOS
All Rights Reserved | FIDO Alliance | Copyright 2019
• Todos os participantes estão no modo de apenas escuta
• As perguntas podem ser feitas a qualquer momento usando a
ferramenta do GoToWebinar
• As questões serão respondidas no fim do webinar
• O webinar está sendo gravado
• A gravação e os slides do webinar serão enviados por e-mail e
postados em fidoalliance.org
• Por favor, continue conectado para participar da pesquisa após a
conclusão do webinar
5. 5
INTRODUÇÃO À
AUTENTICAÇÃO FIDO
All Rights Reserved | FIDO Alliance | Copyright 2019
Marcelo Landi
Global VP of Sales and
Alliances
CoffeeBean Technology
6. 6
CoffeeBean Technology
All Rights Reserved | FIDO Alliance | Copyright 2019
CoffeeBean Tech é membro da FIDO Alliance. A nossa solução de
CIAM e IAM utiliza os protocolos FIDO para passwordless e MFA.
8. 8
UM MOVIMENTO DA INDÚSTRIA PARA
RESOLVER O PROBLEMA DE SENHAS
All Rights Reserved | FIDO Alliance | Copyright 2019
+ Membros patrocinadores + Membros associados + Membros colaboradores
9. 9
DENTRO DO PROBLEMA
All Rights Reserved | FIDO Alliance | Copyright 2019
credenciais
roubadas somente
em 2017
(Shape Security)
2.3 bilhões
custo para as
empresas dos
EUA a cada ano
(Shape Security)
$5 bilhões
aumento
de36%
em ataques
de phishing
em 2018
(Webroot)
1.244
vazamentos de dados em 2018, um
aumento de 126% em registros expostos
contendo informações pessoais
(Identity Theft Resource Center 2018 Breach Report)
51%
de senhas são
reutilizadas em
diferentes serviços
(University of Oxford)
coletivamente gasto por
seres humanos a cada dia
digitando senhas
(Microsoft)
1.300 anos
das tentativas de login
em e-commerces são
comprometidas por
preenchimento de
formulário (Shape Security)
80-90%
Taxa de abandono de
carrinho por senha
(Visa)
49%
Dos líderes de TI
reutilizam uma única
senha (Sailpoint)
55%
De chamadas de helpdesk são
para redefinições de senha
(Forrester)
20-50%
10. 10
IMPERATIVO DA INDÚSTRIA:
SIMPLES E MAIS FORTE
All Rights Reserved | FIDO Alliance | Copyright 2019
Segurança
Usabilidade
Ruim Boa
FracaForte
=
Único Gesto
Autenticação Baseada em Posse
Padrões abertos para
autenticação mais simples e
mais forte usando
criptografia de chave pública
11. 11
SUPORTADO POR CERTIFICAÇÃO
All Rights Reserved | FIDO Alliance | Copyright 2019
• Garante conformidade e interoperabilidade
• Crescimento rápido (mais de 600 soluções certificadas) mostra a aderência
de fornecedores em torno da FIDO
• Ajuda os prestadores de serviços a obter benefícios dos padrões abertos
12. All Rights Reserved | FIDO Alliance | Copyright 201912
FIDO NO ECOSSISTEMA
DE HOJE
13. 13 All Rights Reserved | FIDO Alliance | Copyright 2019
Hello
FIDO2 SUPORTE MULTI-PLATAFORMA
14. 14
NOVOS PROGRAMAS DE CERTIFICAÇÃO
All Rights Reserved | FIDO Alliance | Copyright 2019
Certificação de
Segurança
Certificação
Biométrica
Garante que os segredos dos
autenticadores estejam seguros em
todos os tipos de implementação dos
protocolos FIDO com base na verificação
de requisitos de segurança da FIDO por
parte de laboratórios terceiros, em
coordenação com programas de
segurança já existentes.
O primeiro programa a validar
soluções de biometria empiricamente
por meio de laboratórios terceiros e
garantir que elas identifiquem
corretamente os usuários,
independentemente da modalidade
biométrica, em todos os tipos de
implementação dos protocolos FIDO.Certificação
FIDO2
Avalia a conformidade e garante a
interoperabilidade entre produtos e serviços
que suportam FIDO2.
16. 16
NOVAS ÁREAS DE TRABALHO
All Rights Reserved | FIDO Alliance | Copyright 2019
MISSÃO:
Fornecer orientação confiável e programas de certificação para procedimentos de
verificação de identidade baseados em posse. Isso inclui (mas não se limita a)
autenticação de documentos de identidade emitidos pelo governo e correspondência
biométrica de “selfies”.
ATIVIDADES:
O IDWG irá:
• Definir critérios de desempenho das soluções
• Colaborar com o Grupo de Trabalho de Certificação FIDO (CWG)
e a Secretaria de Certificação para implantar um programa
para apoiar a adoção desses critérios
• Produzir as melhores práticas e consciencializar o mercado.
Grupo de Trabalho de Verificação e Vinculação de Identidade (IDWG)
17. 17
NOVAS ÁREAS DE TRABALHO
All Rights Reserved | FIDO Alliance | Copyright 2019
MISSÃO:
Fornecer uma estrutura de autenticação abrangente para dispositivos IoT, de acordo com a
missão fundamental da FIDO Alliance - autenticação sem senhas.
ATIVIDADES:
Desenvolver casos de uso, arquiteturas e especificações cobrindo os seguintes tópicos:
• Perfis de atestado/autenticação de dispositivos IoT para possibilitar interoperabilidade entre empresas
envolvidas e dispositivos IoT
• Onboarding automatizado e vinculação de aplicativos e/ou usuários a dispositivos IoT
• Autenticação e provisionamento de dispositivos IoT por meio de roteadores inteligentes e hubs de IoT
• Análise de lacunas e extensões/modificações (quando necessário) das especificações existentes da FIDO
relacionadas a autenticação, plataformas e protocolos de IoT
Grupo de Trabalho Técnico IoT (IoT TWG)
18. 18 All Rights Reserved | FIDO Alliance | Copyright 2019
O Futuro da Autenticação de Usuários
Autenticação FIDO é a resposta das empresas para o problema de senhas
SUPORTE DAS
EMPRESAS
A FIDO representa os
esforços de algumas
das maiores empresas
do mundo, cujos
negócios dependem de
uma melhor
autenticação do usuário
MILHARES DE
HORAS DE
DESENVOLVIMENTO
Agora refletidas em
produtos sendo usados
todos os dias
INOVAÇÃO EM
ANDAMENTO
Especificações,
programas de
certificação e grupos
de trabalho
estabelecendo as
melhores práticas de
implementação
ATIVAÇÃO
Provedores de serviço
líderes que
representam bilhões de
identidades de usuários
já estão habilitando
FIDO em seus processos
de autenticação
20. All Rights Reserved | FIDO Alliance | Copyright 201920
DispositivoAlguma ação Autenticação
Análise de risco
Internet
AUTENTICAÇÃO NA NUVEM
21. All Rights Reserved | FIDO Alliance | Copyright 201921
PROBLEMAS COM SENHAS
DispositivoAlguma ação Autenticação
Internet
Senhas podem ser
roubadas do servidor
1Senhas podem ser inseridas
em aplicações e sites não
confiáveis (“phishing”)
2
Muitas senhas para lembrar
(>reuso / abandono de carrinho)
3
Inconvenientes de
digitar em smartphones
4
23. All Rights Reserved | FIDO Alliance | Copyright 201923
COMO FIDO FUNCIONA?
DispositivoVerificação de usuário Autenticação FIDO
Autenticador
24. All Rights Reserved | FIDO Alliance | Copyright 201924
AutenticadorVerificação de usuário Autenticação FIDO
Requer uma ação do usuário
antes de utilizar a chave
privada
Desafio
Resposta (Assinada)
Chave privada
exclusiva para cada
conta e aplicação Chave pública
exclusiva para cada
conta e aplicação
COMO FIDO FUNCIONA?
25. All Rights Reserved | FIDO Alliance | Copyright 201925
Verificação de usuário Autenticador Autenticação FIDO
Mesmo autenticador
cadastrado anteriormente?
Mesmo usuário cadastrado
anteriormente?
Consegue reconhecer o usuário
(i.e. verificação de usuário),
mas não conhece seus
atributos de identificação.
COMO FIDO FUNCIONA?
26. All Rights Reserved | FIDO Alliance | Copyright 201926
Associação de identidade
não está no escopo da FIDO:
Este é “João Silva com
identificador X”.
Verificação de usuário Autenticador Autenticação FIDO
Mesmo autenticador
cadastrado anteriormente?
Mesmo usuário cadastrado
anteriormente?
Consegue reconhecer o usuário
(i.e. verificação de usuário),
mas não conhece seus
atributos de identificação.
COMO FIDO FUNCIONA?
27. All Rights Reserved | FIDO Alliance | Copyright 201927
ECOSSISTEMA FIDO
AutenticadorVerificação de usuário Autenticação FIDO
… …SE
28. All Rights Reserved | FIDO Alliance | Copyright 201928
Como a chave privada
está protegida?
(TPM, SE, TEE, …)?
Qual método de verificação
de usuário foi utilizado?
AutenticadorVerificação de usuário Autenticação FIDO
… …SE
ECOSSISTEMA FIDO
29. All Rights Reserved | FIDO Alliance | Copyright 201929
ATESTADO + METADADOS
Chave privada do
atestado
Objeto de Atestado Assinado
Metadados
Recupera características de
segurança do autenticador
através dos Metadados obtidos
em mds.fidoalliance.org
Registro FIDO
Verificado utilizando âncoras de
confiança incluídas nos Metadados
Podem ser armazenados
para auditoria
30. All Rights Reserved | FIDO Alliance | Copyright 201930
AUTENTICADORES FIDO
Existem Autenticadores “Integrados”
i.e. autenticadores que estão presentes
em um smartphone ou laptop
Existem Autenticadores “Externos”,
i.e. autenticadores que podem ser conectados
a diferentes dispositivos utilizando CTAP
Em ambas categorias, encontramos suporte a
diferentes modalidades
Verificação
de usuário
Verificação de
presença
31. All Rights Reserved | FIDO Alliance | Copyright 201931
COMPONENTES FIDO
Autenticador
(Externo)
DISPOSITIVO DO USUÁRIO
Cliente FIDO
Autenticador
(Integrado)
ASM
Aplicação (RP) Autenticação FIDO
Servidor de Aplicação
(RP)
Servidor FIDO
Metadados
32. All Rights Reserved | FIDO Alliance | Copyright 2019
Especificações da FIDO
32
FIDO2
FIDO UAF
FIDO U2F
(@FIDO)
CTAP
(@FIDO)
WebAuthn
(@W3C)
33. All Rights Reserved | FIDO Alliance | Copyright 201933
COMPONENTES FIDO
Autenticador
(Externo)
DISPOSITIVO DO USUÁRIO
Navegador
Autenticador
(Integrado)
Plataforma
Aplicação (RP) Autenticação FIDO
Servidor de Aplicação
(RP)
Servidor FIDO
Metadados
Web
Authentication
JS API
CTAP2
34. WEB AUTHENTICATION
Disponível em:
API JavaScript que possibilita
Autenticação FIDO diretamente em navegadores web
All Rights Reserved | FIDO Alliance | Copyright 201934
35. All Rights Reserved | FIDO Alliance | Copyright 201935
FIDO - REGISTRO
accountInfo, challenge [,cOpts]
rpId, ai, hash(clientData), cryptoP [,exts]verificação
de usuário
gera:
chave kpub
chave kpriv
credencial c
c,kpub,clientData,ac,cdh,rpId,cntr,AAGUID[,exts],
signature(tbs)
c,kpub,clientData,ac,tbs,s
armazena:
chave kpub
credencial c
s
Autenticador
seleciona Autenticador de acordo com cOpts;
determina rpId, obtém tlsData;
clientData := {challenge, origin, rpId, hAlg, tlsData}
cOpts: crypto params, credential black list,
extensions
cdh
ai
tbs
ac: attestation certificate chain
Servidor FIDOCliente FIDO
36. verificação
de usuário
busca
chave kpriv
cntr++;
processa exts
All Rights Reserved | FIDO Alliance | Copyright 201936
FIDO - AUTENTICAÇÃO
Autenticador Servidor FIDO
rpId [,c], hash(clientData)
seleciona Autenticador de acordo com politícas;
verifica rpId, obtém tlsData (i.e. channel id, etc.);
busca credencial c;
clientData := {challenge, rpId, tlsData}
clientData,cntr[,exts],signature(cdh,cntr,exts)
clientData, cntr [,exts], s
busca
chave kpub
no BD
verifica:
exts +
signature
usando
chave kpub
s
cdh
challenge [,aOpts]
Cliente FIDO
37. All Rights Reserved | FIDO Alliance | Copyright 201937
AUTENTICAÇÃO FIDO:
SEGURANÇA & CONVENIÊNCIA
38. All Rights Reserved | FIDO Alliance | Copyright 201938
CONVENIÊNCIA & SEGURANÇA
Segurança
Conveniência
Senhas
Segurança
Conveniência
81% dos vazamentos de dados
em 2016 envolveram senhas
padrões, fracas ou roubadas
-Verizon 2017 Data Breach Report
Para os usuários, elas são
complicadas, difíceis de
lembrar, e precisam ser
alteradas constantemente
SENHAS
39. All Rights Reserved | FIDO Alliance | Copyright 201939
CONVENIÊNCIA & SEGURANÇA
Segurança
Conveniência
Senhas + OTP
Senhas
SMS SÃO POUCO
CONFIÁVEIS
PORTE DE TOKENS
FÍSICOS
USUÁRIOS
CONFUSOS
VULNERÁVEIS A
“PHISHING”
OTPs
Segurança
Conveniência
40. All Rights Reserved | FIDO Alliance | Copyright 201940
FIDO
Com FIDO
• Mesmo método de verificação de
usuário para todos servidores
Com FIDO: Diversas modalidades de
verificação de usuário são suportadas
(+ elas são interoperáveis)
Segurança
Conveniência
Senhas + OTP
Senhas
CONVENIÊNCIA & SEGURANÇA
41. All Rights Reserved | FIDO Alliance | Copyright 201941
FIDO
Com FIDO: Níveis de segurança
podem ser reforçados
dependendo da implementação
de cada Autenticador
Com FIDO:
• Apenas chaves públicas nos servidores
• Resistentes a “phishing”
CONVENIÊNCIA & SEGURANÇA
Segurança
Conveniência
Senhas + OTP
Senhas
42. All Rights Reserved | FIDO Alliance | Copyright 201942
CONCLUSÕES
• Casos de uso distintos levam a requisitos distintos de
autenticação
• FIDO separa verificação do usuário e autenticação, suportando
assim todos os tipos de verificação de usuário
• FIDO oferece conveniência e segurança em escala
• Dados de verificação do usuário são conhecidos e armazenados
apenas pelos autenticadores
• FIDO complementa federação
43. All Rights Reserved | FIDO Alliance | Copyright 201943
Q & A
Andrew Shikiar
Executive Director & CMO
FIDO Alliance
Gabriel Prado
Software Engineer
CoffeeBean Technology
Marcelo Landi
Global VP of Sales and
Alliances
CoffeeBean Technology
44. 44
OBRIGADO
• Se não tivemos tempo para responder à sua pergunta, entre em contato
conosco em help@fidoalliance.org
• A gravação e os slides do webinar serão enviados por e-mail e postados
em fidoalliance.org
• Por favor, continue conectado para participar da pesquisa após a
conclusão do webinar
All Rights Reserved | FIDO Alliance | Copyright 2019