Início » Antivírus e Segurança » O que é e como usar uma chave física U2F/FIDO 2

O que é e como usar uma chave física U2F/FIDO 2

Alguns sites já trabalham com U2F/FIDO 2 e você pode fazer login com uma chavinha

Melissa Cruz Cossetti Por
1 ano atrás

O Google afirmou convicto que seus 85 mil funcionários não sofreram roubos de credenciais e senhas em ataques hacker desde 2017. O sucesso se dá em razão de um único motivo: a substituição de autenticação em duas etapas (2FA, ou two-factor authentication) via software — com aplicativos como o próprio Google Authenticator — por chaves físicas e de baixo custo baseadas em USB para PCs (e celulares via NFC).

De lá para cá, o Google passou a usar um sistema chamado Segundo Fator Universal (U2F, ou universal 2nd factor), um padrão emergente de autenticação de código aberto.

security-key-iphone-yubico

Alguns sites já trabalham com U2F/FIDO 2 e você pode fazer login dessa maneira no Twitter, no Facebook, no Gmail, no GitHub, no Dropbox, no Salesforce e em outros serviços do Google. Gerenciadores de senhas também (Dashlane, Keepass e LastPass).

Uma fabricante oferece uma lista de todos os sistemas compatíveis com Security Keys.

Para funcionar em outros sites e dispensar a necessidade de digitar constantemente logins e senhas (deixando o acesso vulnerável a variados métodos de roubo de passwords, como phishing e man-in-the-middle), os desenvolvedores devem incorporar a Web Authentication API — também conhecida como WebAuthn. Esse padrão foi lançado pelo World Wide Web Consortium e a FIDO (Fast IDentity Online) Alliance.

O que é e como funciona o U2F?

As formas mais comuns de fazer login usando 2FA exigem que o usuário informe a sua senha e um código único enviado para celular por meio de mensagem de texto ou de um aplicativo como Authy ou Google Authenticator. O uso de SMS e chamadas telefônicas para receber os códigos é apontado por especialistas como "menos seguro" do que usar um aplicativo de token porque é possível interceptar essa comunicação.

Mais segura que os aplicativos, no entanto, é a chave física. A ideia por trás da autenticação em dois fatores usando essa estratégia é a de que, mesmo que invasores consigam roubar login e senha, não poderão acessar contas ou arquivos a menos que também possuam esse segundo fator físico que está em posse somente do usuário.

A security key trabalha com outra forma de autenticação conhecida como Segundo Fator Universal (U2F, ou universal 2nd factor), que permite ao usuário concluir o processo de login inserindo uma chave USB e pressionando um botão, como se estivesse abrindo um cofre. O processo acontece sem que seja necessário drivers.

Depois que uma chave é cadastrada em um site específico (e que suporta U2F), o usuário não precisa mais digitar sua senha se estiver usando o mesmo dispositivo.

Em quais navegadores eu posso usar U2F?

O U2F/FIDO 2 é suportado pelo Google Chrome, Firefox e Opera Browser. No caso da Mozilla, funciona tanto no Firefox quanto no Quantum. Mas o U2F não está ativado por padrão no Panda Vermelho. Digite "about: config" na barra do navegador e cole o seguinte, sem aspas: "security.webauth.u2f". E altere a preferência de "false" para "true".

securitykey-laptop

É aguardado que o navegador Microsoft Edge, do Windows, ganhe suporte ao U2F até ofinal deste ano. A Apple ainda não detalhou quando ou se vai implementá-lo no Safari.

Quem fabrica chaves U2F, quanto custa e como comprar?

O fabricante mais popular da Security Keys é a Yubico, que vende uma chave U2F básica por US$ 20. A empresa oferece Security Keys para portas de USB-A comuns e USB-C. A Yubikey vende ainda chaves menores e mais caras, orientadas para dispositivos móveis como iPhone e iPads (iOS) e smartphones e tablets com Android e também Windows 10.

A fabricante oferece packs corporativos com duas (US$ 36), dez (US$ 180) ou cinquenta (US$ 900) chaves físicas U2F e também sugere que é bom sempre ter uma chave de segurança de backup. Se você perder uma, poderá acessar suas contas com o backup.

security-key-agua

Uma boa notícia é que elas são resistentes a impacto e água, não usam baterias nem tem partes removíveis. Ou seja, se você cuidar bem, há chances de não ter problemas.

Você também encontra chaves da Yubico (no formato de pendrives) na Amazon e em outras varejistas online. No Brasil, elas ainda não são muito comuns nas lojas. Além da Yubico, você também vai encontrar outras marca como Thetis, HyperFIDO e Feitian.