
Agora disponível no Firefox, chegando no Chrome e no Edge ainda este ano
Lembrar de senhas cada vez mais complexas é difícil e escrevê-las nem sempre é a melhor ideia. Digite o padrão WebAuthn , criado pela W3C e FIDO Alliance, para eliminar a necessidade de autenticação baseada em senha.
Depois de mais de dois anos de desenvolvimento, os principais navegadores estão trazendo suporte para o WebAuthn. O Mozilla Firefox agora suporta o padrão. O Google Chrome e o Microsoft Edge irão adicionar suporte nos próximos meses. Não houve nenhum compromisso oficial da Apple em implementar o padrão no Safari, embora o suporte seja esperado, já que a Apple faz parte do grupo W3C que trabalha com o padrão.
Credenciais biométricas e tokens de hardware poderão substituir ou substituir completamente as senhas tradicionais. Reconhecimento facial, leitores de impressões digitais, varredura de íris e análise de voz podem ser usados para verificar a identidade de um usuário.
Uma das principais considerações na promoção da adoção generalizada é tornar o WebAuthn fácil para pequenas empresas e sites da Web implementarem. Bibliotecas prontamente disponíveis ajudarão a tornar mais fácil para qualquer um se afastar dos formulários de login baseados em senha e alternar para métodos de autenticação biométricos ou baseados em hardware.
Durante o processo de autenticação, não há uma única cadeia de validação que concederá acesso a um usuário. Uma prova de conhecimento zero permite que um site identifique que um usuário é a pessoa adequada sem transmitir qualquer informação que seria prejudicial se interceptada. A implementação do Firefox abaixo descreve o processo.
O phishing ainda é um problema para as organizações que armazenam dados confidenciais. O uso do padrão FIDO elimina quase completamente a ameaça de ataques de spear-phishing. Observe que nenhuma informação pessoal ou sensível é transmitida durante o processo de autenticação.
Sem a necessidade de compartilhar informações com sites que possam ser usados para fins maliciosos, não há como os ataques convencionais de phishing funcionarem. No entanto, o roubo de chaves de hardware ainda pode representar uma ameaça para aqueles sem fortes métodos alternativos de autenticação de dois fatores.