O padrão Fast Identity Online (FIDO) avançou esta semana ao ganhar apoio da Apple. Ele serve para autenticar navegadores reduzindo a dependência de senhas para acessar aplicativos e dispositivos
A Apple acaba de se tornar membro do conselho da FIDO, a aliança que já reúne Amazon, ARM, American Express, Facebook, Google, Intel, Lenovo, Microsoft, PayPal, Samsung, Visa e Mastercard. A aliança, o Fast Identity Online, autentica navegadores e seu acessp a aplicativos e dispositivos sem senha. A expectativa é que a Apple habilite a autenticação FaceID / TouchID para FIDO através do navegador Safari.
Rolf Lindemann, co-presidente do Grupo de Trabalho sobre Requisitos de Segurança da Aliança FIDO e vice-presidente de produtos da Nok Nok Labs, disse que a Apple representa uma peça que faltava em uma longa campanha para eliminar a necessidade de senhas com uma abordagem mais robusta para autenticação de dois fatores.
O padrão FIDO existe desde 2013 e a Nok Nok habilita a autenticação de dois fatores da FIDO em dispositivos iOS desde 2014. No ano passado, a empresa lançou seu kit de desenvolvimento de software (Nok Nok App SDK) para o Smart Watch. Lindemann , no entanto, disse que ainda há muito trabalho a ser feito para que os provedores de serviços de aplicativos em nuvem e de endpoints adotem a autenticação de dois fatores no formato FIDO.
A proposta da Fido Alliance é que dispositivos confiáveis não usem mais senhas. Isso funcionaria da mesma maneira que a autenticação de dois fatores da Apple (2FA) em dispositivos Apple. Ao se tentar entrar em um novo dispositivo Apple com o ID Apple, a empresa envia um código para um dispositivo confiável e a pessoa insere esse código. Com o sistema Apple, essa é uma etapa adicional. Mas o que a Fido Alliance deseja é uma abordagem semelhante a essa para substituir senhas – e ninguém precisaria inserir um código. Um exemplo prático seria tentar fazer login em um site usando um iPhone. A pessoa digitaria apenas o seu nome de usuário. Em em seguida, o site envia uma solicitação de autenticação para um dos dispositivos registrados. Como por exemplo um Apple Watch, que pediria ao usuário simplesmente um toque para autorizar. Da mesma forma, ao acessar um serviço por meio de um Mac o pedido de autorização poderá seguir para o iPhone da pessoa.
Pode parecer uma segurança mais fraca mas não é. Somente um dos dispositivos confiáveis da pessoa pode fazer uma solicitação de autenticação, e apenas um outro dispositivo confiável pode aprovar essa solicitação. Um invasor que desejasse se passar pelo usuário precisaria estar na posse física de dois dispositivos confiáveis e ao mesmo estar logado nos dois.
