Porque é que o U2F é importante: Como funciona e porque é que precisa dele.

O FIDO U2F é importante para assegurar o seu processo de autenticação. Ele protege a sua conta de take-over malicioso, incluindo phishing. Assegure-se de nunca perder o acesso à sua identidade online!

2023-02-27
Why U2F is important: Protect your login credentials.
Como especialistas em segurança, recomendamos que proteja as suas contas com autenticação de dois factores U2F. Utiliza uma chave para trancar a sua porta da frente ou o seu carro. Da mesma forma, deve usar uma chave para trancar as suas contas online, pois estas são igualmente valiosas e necessitam da mesma protecção. Para proteger as suas contas digitais com uma chave de hardware U2F é a opção mais segura para proteger as suas credenciais de login! Neste post, explicamos porque é que a U2F é importante e como funciona.

FIDO U2F explicado

tl;dr: U2F é importante porque é a opção mais segura para proteger as suas contas. Activem-no sempre que possível.

De facto, o U2F é tão importante que todos os serviços de correio electrónico devem apoiá-lo.

A razão é simples: A sua conta de correio electrónico é a porta para a sua identidade online. Serviços como a Amazon, Twitter, PayPal e outros estão ligados à sua conta de correio electrónico, e as palavras-passe para estes serviços podem ser facilmente reiniciadas se um atacante malicioso tiver obtido acesso à sua caixa de correio.

É disso que o FIDO U2F o protege. Se activado na sua conta de correio electrónico, por exemplo na Tutanota, será quase impossível para os atacantes maliciosos tomarem conta da sua caixa de correio.

O que é o FIDO U2F (Universal 2nd Factor)? - Definição

U2F é uma norma de autenticação aberta que utiliza uma chave para múltiplos serviços. Simplifica e eleva a segurança proporcionada pelo 2FA (autenticação de dois factores), uma vez que não são necessários controladores ou software cliente.

A autenticação universal de segundo factor refere-se a um dispositivo separado que detém uma chave secreta e extra necessária para iniciar sessão na(s) sua(s) conta(s) digital(ais). Em vez de introduzir um determinado código (OTP), só precisa de ligar um dispositivo como segundo factor.

Quais são as vantagens do U2F?

  1. Autenticação rápida: Diminuir o tempo para autenticar
  2. Forte Segurança: Nenhuma tomada de controlo quando totalmente implantada
  3. Múltiplas Escolhas: Acesso a quase 1.000 aplicações e serviços

Quais são as desvantagens?

Existe uma desvantagem significativa das soluções U2F em comparação com TOTP (que utiliza um segredo partilhado): Para o U2F não há opção de fazer cópias de segurança dos códigos de recuperação de segredos partilhados.

Se uma chave de hardware for perdida, tornar-se-á impossível entrar nos serviços e aplicações que foram originalmente assegurados com esta chave de hardware. Assim, a maioria dos serviços oferece uma forma de reiniciar as credenciais de início de sessão para recuperar o acesso.

Por exemplo, Tutanota oferece um código de recuperação que deve ser introduzido juntamente com a palavra-passe correcta para reiniciar (neste caso: remover) uma chave de hardware U2F perdida. Além disso, é possível em Tutanota registar múltiplas chaves de hardware. Se uma se perder, os utilizadores ainda podem iniciar sessão com uma das outras chaves U2F registadas.

Porque é que a U2F é importante?

Tutanota supports two-factor authentication with FIDO U2F as this is the most secure option tp protect your login credentials.

Segurança U2F

U2F - autenticação de segundo factor com uma chave de segurança de hardware - é a forma mais segura de proteger as suas contas online contra ataques maliciosos.

É também mais seguro do que a autenticação de segundo factor via OTP ou TOTP, razão pela qual nós na Tutanota recomendamos vivamente que active uma chave de hardware para proteger a sua caixa de correio encriptada.

Como é que o U2F protege contra o phishing?

U2F endurece as suas credenciais de login, o que garante que ninguém pode assumir as suas contas - nem mesmo após um ataque de phishing bem sucedido.

Os e-mails de phishing estão a tornar-se cada vez mais sofisticados, o que aumenta o risco de cair em tais ataques. O remetente do e-mail de phishing normalmente tenta fazê-lo clicar num link onde é suposto introduzir a sua palavra-passe. Se isto acontecer, o atacante pode então roubar facilmente a sua palavra-passe e tomar conta da sua conta.

No entanto, se um segundo factor como U2F tiver sido activado na sua conta, a senha será inútil para o atacante e a sua conta estará segura.

Além disso, um login de utilizador com U2F está ligado à origem; isto significa que apenas o verdadeiro site pode autenticar-se com a chave (segundo factor). A autenticação falhará em qualquer site de phishing falso, mesmo que o utilizador tenha sido enganado a pensar que era real.

Por que razão se deve activar um segundo factor?

  1. U2F aumenta a protecção das suas contas (tais como e-mail, drive, contas de redes sociais).
  2. O U2F é a versão mais segura de autenticação de dois factores.
  3. Um dispositivo U2F cria uma chave criptográfica para desbloquear a sua conta.
  4. Os ataques de phishing tornam-se quase impossíveis com o U2F.

Como é que o U2F funciona?

Para o utilizador, o U2F é realmente simples. Pode activar a mesma chave de hardware U2F em todas as suas contas, tais como Tutanota, Amazon, ou Twitter. Ao iniciar sessão, introduz o seu nome de utilizador e palavra-passe, e depois basta introduzir a chave de hardware do tipo USB no seu dispositivo e tocar nela para concluir o processo de autenticação.

Do ponto de vista técnico, o processo é muito mais complexo. A Fido Alliance explica o processo desta forma:

"O dispositivo U2F e o protocolo precisam de garantir a privacidade e segurança do utilizador. No núcleo do protocolo, o dispositivo U2F tem uma capacidade (idealmente, incorporada num elemento seguro) que cunha um par de chaves públicas/privadas específicas da origem. O dispositivo U2F dá a chave pública e um par de chaves ao serviço online de origem ou website durante a etapa de registo do utilizador".

"Mais tarde, quando o utilizador executa uma autenticação, o serviço ou website de origem em linha envia a Chave de mão de volta ao dispositivo U2F através do navegador. O dispositivo U2F utiliza o Key Handle para identificar a chave privada do utilizador, e cria uma assinatura que é enviada de volta à origem para verificar a presença do dispositivo U2F. Assim, o Key Handle é simplesmente um identificador de uma determinada chave no dispositivo U2F".

"O par de chaves criado pelo dispositivo U2F durante o registo é específico da origem. Durante o registo, o navegador envia ao dispositivo U2F um hash da origem (combinação de protocolo, hostname e porta). O dispositivo U2F devolve uma chave pública e um cabo de chave. Muito importante, o dispositivo U2F codifica a origem do pedido no Key Handle".

"Mais tarde, quando o utilizador tenta autenticar, o servidor envia o Key Handle do utilizador de volta para o browser. O navegador envia este Key Handle e o hash da origem que está a pedir a autenticação. O dispositivo U2F garante que emitiu este Key Handle para esse hash de origem particular antes de realizar qualquer operação de assinatura. Se houver um descasamento, nenhuma assinatura é devolvida. Esta verificação de origem assegura que as chaves públicas e os Porta-Chaves emitidos por um dispositivo U2F para um determinado serviço online ou website não podem ser exercidos por um serviço online ou website diferente (ou seja, um website com um nome diferente num certificado SSL válido). Esta é uma propriedade crítica de privacidade - assumindo que o navegador está a funcionar como deveria, um site pode verificar fortemente a identidade com o dispositivo U2F de um utilizador apenas com uma chave que tenha sido emitida para esse site em particular por esse dispositivo U2F em particular. Se esta verificação de origem não estivesse presente, uma chave pública e uma chave emitida por um dispositivo U2F poderia ser utilizada como um 'supercookie' que permite a múltiplos sítios de conluio verificar e correlacionar fortemente a identidade de um determinado utilizador".

"O utilizador é capaz de utilizar o mesmo dispositivo em múltiplos sítios na web -- serve assim como chaveiro físico da web do utilizador com múltiplas chaves (virtuais) para vários sítios fornecidos a partir de um dispositivo físico. Utilizando a norma U2F aberta, qualquer origem poderá utilizar qualquer navegador (ou SO) que tenha suporte U2F para falar com qualquer dispositivo compatível com U2F apresentado pelo utilizador para permitir uma autenticação forte".

Histórico

Universal 2nd Factor (U2F) é um padrão aberto que reforça e simplifica a autenticação de dois factores (2FA) utilizando dispositivos especializados de Barramento Série Universal (USB) ou de comunicação próximo do campo (NFC). É sucedido pelo Projecto FIDO2, que inclui o padrão W3C Web Authentication (WebAuthn) e o Client to Authenticator Protocol 2 (CTAP2) da FIDO Alliance.

Embora inicialmente desenvolvido pela Google e Yubico, com a contribuição da NXP Semiconductors, o padrão é agora alojado apenas pela FIDO Alliance.

Encontrará aqui uma lista de todos os serviços que suportam chaves U2F.

Objectivo: Autenticação Forte e Privacidade para a web

O ecossistema U2F foi concebido para fornecer uma autenticação forte aos utilizadores na web, preservando ao mesmo tempo a privacidade do utilizador.

O utilizador transporta um "dispositivo U2F" como segundo factor que o regista nas suas contas em linha. Desta forma, estas contas podem ser mantidas em segurança, também contra ataques de phishing.

As chaves de hardware U2F são um grande feito, pois garantem que as pessoas e as suas contas online são mantidas em segurança na web.

Comparação de diferentes opções para autenticação de dois factores (2FA)

Dispositivo de segurança: U2F

  • opção mais segura
  • a chave privada é armazenada localmente no dispositivo U2F
  • garante protecção contra ataques de homem no meio (MITM) e phishing
  • requer um dispositivo de hardware (a aplicação Yubico funcionará como ficha de software no futuro)
  • só funciona em Cromo & Ópera, próximo apoio para Firefox & Edge
  • não é necessária entrada manual

Aplicação autentica: TOTP

  • um aplicativo gera códigos que só são válidos por um curto período de tempo (Google Authenticator, Authy, etc.)
  • entrada manual requerida em cada login
  • não requer nenhum dispositivo de hardware
  • não protege o login do dispositivo móvel porque a aplicação no dispositivo móvel gera um segundo factor

Aplicação autentica: HOTP

  • um aplicativo gera códigos válidos para sempre (Google Authenticator, Authy, etc.)
  • os códigos precisam de ser armazenados em segurança
  • entrada manual requerida em cada login
  • não requer nenhum dispositivo de hardware
  • não protege o login do dispositivo móvel porque a aplicação no dispositivo móvel gera um segundo factor

código SMS

  • o código é enviado via SMS
  • entrada manual requerida em cada login
  • menos seguro como o SMS pode ser facilmente interceptado
  • não requer nenhum dispositivo de hardware
  • não protege o login do dispositivo móvel porque o SMS no dispositivo móvel contém um segundo factor
CRIAR CONTA
Author
Black and white picture of Hanna being shocked a bit.
Hanna makes Tutanota come to life. Her credo: Every one of us has the right to express any idea freely, or to keep it secret. Encryption is a great tool to achieve the latter.
Emails mais lidos
Porquê escolher os clientes desktop Tutanota?
Whitelabel a sua caixa de correio segura de Tutanota para uso comercial.
Dia Mundial da Criptografia: Qualquer porta traseira faria mais mal do que bem.
Qual é o serviço de correio electrónico mais seguro?
O e-mail verde é o futuro: A Tutanota usa 100% de energia renovável.
Encriptação de e-mail: O último guia para enviar um e-mail criptografado em segundos.
Latest posts
O Gmail está a matar o correio electrónico independente?
DMA: Implicações para a segurança das novas leis anti-trust da UE
O algoritmo do Twitter passa a ser de código aberto.
Correio electrónico anónimo: Criar um endereço de correio electrónico sem número de telefone.
Encerrar assinatura
Empresa
Você & Nós
Team
Empregos
Termos
Privacidade
Aviso legal
Desenvolvimento
Registro de alterações
Mapa do percurso
Segurança
criptografia
Open Source
Github
Recursos
Secure Email
Agenda Criptografada
Negócios
Whistleblower System
Suporte
FAQ
Fórum
Contato
Imprensa
Idioma
Português, BR
Traduzir