O protocolo FIDO2 armazena a chave de autenticação apenas no dispositivo do usuário em condições offline. Portanto, é muito mais seguro, confiável e fácil de usar.
Atualização 2 (13/08/19 às 9h50 ET): O Google está lançando a autenticação sem senha FIDO2 para contas do Google em dispositivos Android.
Atualização 1 (07/05/19 às 13h31 horário do leste dos EUA): O Google tem anunciado a disponibilidade geral deste novo recurso, permitindo que você use seu telefone como chave de segurança para autenticação em duas etapas.
Viver em um mundo sem senha é o futuro com o qual muitos entusiastas da tecnologia sonham. Não há ETA ou barra de progresso sobre o pico de avanço desta tecnologia, mas a sua chegada é inevitável. As senhas são desatualizadas, facilmente esquecíveis e muitas vezes inseguras, mesmo quando você toma medidas adicionais como autenticação de dois fatores. Como muitas tendências importantes que estão por vir, o Google também desempenha um papel importante nesta. Isso não deveria ser surpreendente, considerando que esta empresa possui o sistema operacional móvel, o navegador da web e o mecanismo de pesquisa mais populares. O Google tem trabalhado no desenvolvimento desta tecnologia com parceiros como a Microsoft e outros gigantes da tecnologia nos últimos anos. Ontem, a empresa deu mais um grande passo em direção ao recurso sem senha.
A Aliança FIDO anunciado ontem no Mobile World Congress que o Android agora tem certificação FIDO2. Se você nunca ouviu falar deles, a FIDO Alliance é uma associação que trabalha e define os padrões de autenticação sem senha. Alguns dos membros da aliança são Google, Facebook, GitHub, Dropbox, eBay e muitos mais. Juntamente com parceiros de todo o mundo, a FIDO Alliance tem trabalhado na certificação FIDO2 nos últimos dois anos.
Além das melhorias óbvias de conveniência e usabilidade em relação às senhas datadas normais, o protocolo FIDO2 também oferece segurança muito melhor. Veja bem, tradicionalmente a autenticação via senha funcionava assim: tanto o usuário quanto o serviço possuíam uma chave secreta armazenada no servidor e no dispositivo. Durante o processo de autenticação, o usuário envia a senha ao servidor, onde ela é criptografada e verificada com a chave armazenada. Se as chaves corresponderem, o usuário obtém acesso à sua conta/conteúdo. Agora, esse método tem uma grande falha: as chaves de autenticação ficam armazenadas em dois locais diferentes, o que as torna 2 vezes mais vulneráveis a ataques. É verdade que existem métodos, como a criptografia de ponta a ponta, para evitá-los, mas os hackers estão sempre criando novas maneiras de explorar essas falhas óbvias.
O protocolo FIDO2 armazena a chave de autenticação apenas no dispositivo do usuário em condições offline. Portanto, é muito mais seguro, confiável e fácil de usar. A certificação FIDO2 agora está disponível em todos os dispositivos móveis com Android 7.0 Nougat ou posterior. Os desenvolvedores de aplicativos móveis e web já podem usar as APIs para implementar o recurso em seus próprios serviços.
Atualização 2: Contas do Google
O Google começou a implementar a autenticação sem senha FIDO2 para contas do Google em dispositivos Android 7+, começando hoje com dispositivos Pixel. Os usuários podem usar sua impressão digital ou método de bloqueio de tela em vez de digitar sua senha ao visitar determinados serviços do Google. Isso significa que um usuário pode registrar seu dedo uma vez e usá-lo para vários serviços nativos e da web. A impressão digital nunca é enviada aos servidores do Google.
Para experimentar agora mesmo, vá para senhas.google.com, escolha um site para visualizar ou gerenciar uma senha salva e siga as instruções para confirmar sua identidade.
Fonte: Google