Protocolos de Autenticação das Chaves YubiKey
FIDO2/WebAuthn
O FIDO2 é o padrão de autenticação mais moderno e sem senha, composto por dois componentes principais: WebAuthn e CTAP2[1][2].
Como funciona
O FIDO2 utiliza criptografia de chave pública em vez de senhas para validar identidades[1]. Quando um usuário se registra em um serviço compatível com FIDO2, o dispositivo cliente gera um par de chaves único que funciona apenas para esse aplicativo ou site específico. A chave pública é compartilhada com o serviço, enquanto a chave privada permanece segura no dispositivo do usuário[1].
Durante a autenticação, o processo funciona da seguinte forma:
- O servidor apresenta um desafio único para o cliente
- O cliente usa o dispositivo YubiKey para assinar a solicitação com a chave privada
- O servidor valida a resposta usando a chave pública correspondente[1]
Componentes principais
- WebAuthn: API JavaScript implementada em navegadores que permite autenticação FIDO2[1]
- CTAP2: Protocolo que permite comunicação entre autenticadores externos (como YubiKeys) e navegadores via USB, NFC ou Bluetooth[1]
Exemplos de uso
- Login sem senha no Google, Microsoft, Facebook
- Autenticação em aplicações corporativas
- Acesso a sistemas bancários online
- Integração com gerenciadores de senhas
FIDO U2F
O FIDO U2F (Universal Second Factor) é um protocolo de segundo fator de autenticação que reforça a segurança baseada em senha[3][4].
Como funciona
O U2F requer que o usuário forneça uma combinação válida de nome de usuário e senha como primeiro fator, seguida do uso de um dispositivo físico (YubiKey) como segundo fator[1]. O processo envolve:
- Registro: O usuário conecta a YubiKey e pressiona o botão para gerar um par de chaves específico para o serviço
- Autenticação: O servidor envia um desafio, a YubiKey assina digitalmente o desafio e transmite a resposta assinada[3]
Vantagens
- Proteção contra phishing: Impossível de interceptar ou reutilizar
- Sem drivers necessários: Funciona como um dispositivo HID padrão
- Compatibilidade ampla: Suportado por navegadores modernos[4]
Exemplos de uso
- Segundo fator para Gmail, Facebook, Twitter
- Proteção de contas corporativas
- Acesso a VPNs empresariais
Yubico OTP
O Yubico OTP é um protocolo proprietário que gera senhas únicas de 44 caracteres quando a YubiKey é tocada[5][6].
Como funciona
A YubiKey gera uma senha única composta por:
- 12 primeiros caracteres: ID público constante da YubiKey
- 32 caracteres restantes: Senha única gerada a partir de contadores de sessão, timestamps e outros dados aleatórios[7]
O OTP é criptografado com uma chave AES de 128 bits e usa caracteres ModHex (subset de caracteres latinos) para compatibilidade com diferentes layouts de teclado[6][7].
Validação
A validação ocorre através do YubiCloud da Yubico, que verifica se o OTP é válido e não foi usado anteriormente[8]. O serviço compara os valores dos contadores para evitar ataques de repetição[7].
Exemplos de uso
- Autenticação em sistemas legados
- Integração com WordPress, phpBB, PAM
- Autenticação de fator único ou como segundo fator[8]
OATH (TOTP/HOTP)
O OATH (Open Authentication) define padrões para senhas de uso único baseadas em tempo (TOTP) ou contador (HOTP)[9][10].
TOTP (Time-based OTP)
- Baseado em tempo: Códigos que expiram em intervalos regulares (normalmente 30-90 segundos)
- Sincronização: Tanto o dispositivo quanto o servidor usam o mesmo relógio
- Maior segurança: Janela de tempo limitada reduz oportunidade de ataques[9]
HOTP (Hash-based OTP)
- Baseado em contador: Códigos válidos até serem usados
- Sem expiração: Permanecem válidos indefinidamente até o uso
- Usado em SMS/email: Comum em códigos enviados por canais externos[9]
Exemplos de uso
- Aplicativos como Google Authenticator, Authy
- Autenticação em dois fatores para serviços online
- Integração com Microsoft Entra ID, sistemas corporativos[10]
Smart Card (PIV)
O PIV (Personal Identity Verification) é um padrão para cartões inteligentes usado principalmente por órgãos governamentais[11][12].
Como funciona
O PIV utiliza um chip criptográfico que armazena certificados digitais e chaves privadas protegidas por PIN. O protocolo suporta:
- Autenticação forte: Usando certificados X.509
- Assinatura digital: Para documentos e transações
- Criptografia: Para proteção de dados sensíveis[12]
Processo de autenticação
- Usuário insere o cartão PIV no leitor
- Sistema solicita PIN do usuário
- Chip valida o PIN e libera acesso às chaves privadas
- Sistema utiliza as chaves para autenticação ou assinatura[12]
Exemplos de uso
- Acesso a sistemas federais americanos
- Autenticação em redes governamentais
- Assinatura digital de documentos oficiais
- Controle de acesso físico a instalações[13]
OpenPGP
O OpenPGP é um padrão de criptografia de código aberto que utiliza chaves públicas e privadas para comunicação segura[14][15].
Como funciona
O OpenPGP usa criptografia assimétrica onde:
- Chave pública: Compartilhada com outros para criptografia e verificação de assinaturas
- Chave privada: Mantida em segredo para descriptografia e criação de assinaturas digitais[14]
Operações principais
- Criptografia: Usando a chave pública do destinatário
- Descriptografia: Usando a chave privada do destinatário
- Assinatura digital: Usando a chave privada do remetente
- Verificação: Usando a chave pública do remetente[14]
Exemplos de uso
- Criptografia de emails
- Assinatura digital de arquivos
- Proteção de documentos confidenciais
- Comunicação segura entre desenvolvedores[15]
Challenge-Response
O Challenge-Response é um mecanismo de autenticação que utiliza desafios dinâmicos para verificar identidade[16][17].
Como funciona
- Desafio: Servidor envia um valor aleatório para o cliente
- Processamento: Cliente combina o desafio com sua chave secreta usando algoritmo de hash
- Resposta: Cliente envia o resultado calculado de volta
- Verificação: Servidor compara com sua própria computação do resultado esperado[16]
Vantagens
- Proteção contra replay attacks: Cada desafio é único
- Sem transmissão de senhas: Apenas a resposta calculada é enviada
- Autenticação mútua: Ambos os lados podem se autenticar[17]
Exemplos de uso
- Protocolos como CHAP (Challenge Handshake Authentication Protocol)
- Autenticação em pontos de acesso Wi-Fi
- Sistemas de OTP (One-Time Password)
- Protocolos de rede seguros[17]
Cada protocolo oferece diferentes níveis de segurança e compatibilidade, permitindo que as YubiKeys sejam usadas em uma ampla gama de aplicações, desde autenticação básica até sistemas críticos de segurança governamental e corporativa.
[1] https://www.microsoft.com/pt-br/security/business/security-101/what-is-fido2 [2] https://www.identityacademy.com.br/post/passwordless-voc%C3%AA-conhece-o-passkey-o-padr%C3%A3o-fido2 [3] https://www.lockeet.com/insights/blog/como-funcionam-os-protocolos-fido2-e-fido-u2f—suportados-por-chaves-de-seguranca [4] https://tuta.com/pt-br/blog/why-u2f-is-important [5] https://trustness.com.br/glossario/o-que-e-yubico-otp-tecnologia-seguranca/ [6] https://docs.yubico.com/yesdk/users-manual/application-otp/yubico-otp.html [7] https://developers.yubico.com/OTP/OTPs_Explained.html [8] https://developers.yubico.com/OTP/ [9] https://www.identityacademy.com.br/post/o-que-%C3%A9-o-protocolo-otp-e-qual-a-diferen%C3%A7a-entre-totp-e-hotp [10] https://learn.microsoft.com/pt-br/entra/identity/authentication/concept-authentication-oath-tokens [11] https://docs.citrix.com/pt-br/citrix-virtual-apps-desktops/director/install-and-configure/configure-smart-card.html [12] https://www.ibm.com/docs/pt-br/gdp/12.x?topic=portal-enabling-smart-card-authentication [13] https://www.hidglobal.com/pt/solutions/personal-identity-verification-piv-solutions [14] https://www.vpnunlimited.com/pt/help/cybersecurity/openpgp [15] https://trustness.com.br/glossario/o-que-e-openpgp-criptografia-segura/ [16] https://microblink.com/pt-br/resources/glossary/challenge-response-authentication/ [17] https://www.f5.com/pt_br/glossary/challenge-response-authentication [18] https://tecnoblog.net/responde/o-que-e-e-como-usar-uma-chave-fisica-u2f-fido-2/ [19] https://www.aware.com/pt/biometrico/fido-suite/ [20] https://pt.wikipedia.org/wiki/WebAuthn [21] https://www.ibm.com/docs/pt-br/sva/11.0.0?topic=authentication-configuring-fido-universal-2nd-factor-mechanism [22] https://blogs.manageengine.com/pt-br/2024/05/30/o-que-e-fido2.html [23] https://kriptobr.com/produto/2fa-fisico-fido-fido2-pronta-entrega/ [24] https://genuimentor.com/pt/zero-trust-2/yubikey-como-funciona/ [25] https://learn.microsoft.com/pt-br/windows/security/identity-protection/hello-for-business/webauthn-apis [26] https://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/id_credentials_mfa_fido_supported_configurations.html [27] https://www.reddit.com/r/yubikey/comments/1kjp9fg/is_there_still_a_purpose_to_the_44_character/?tl=pt-br [28] https://deviniciative.wordpress.com/2025/01/17/fido-entendendo-o-que-e-webauthn/ [29] https://www.reddit.com/r/yubikey/comments/1gxrihc/what_is_the_difference_between_fido_and_fido2/?tl=pt-br [30] https://docs.dinamonetworks.io/hsm/arch/oath/ [31] https://learn.microsoft.com/pt-br/windows/security/identity-protection/smart-cards/smart-card-group-policy-and-registry-settings [32] https://docs.nitrokey.com/pt/nitrokeys/features/openpgp-card/openpgp-keygen-gpa [33] https://auth0.com/pt/intro-to-iam/what-is-openid-connect-oidc [34] https://support.microsoft.com/pt-br/topic/kb5005408-a-autentica%C3%A7%C3%A3o-de-cart%C3%A3o-inteligente-pode-causar-falhas-de-impress%C3%A3o-e-verifica%C3%A7%C3%A3o-514f0bc5-ecde-4e5e-8c5a-2a776d7fb89a [35] https://pantheon.ufrj.br/bitstream/11422/5969/1/ICMiranda.pdf [36] https://biblioteca.inatel.br/cict/acervo%20publico/sumarios/Artigos%20de%20TCC/TCC_Pos%20Gradua%C3%A7%C3%A3o/SDMCC%20-%20Desenvolvimento%20de%20aplica%C3%A7%C3%B5es%20para%20dispositivos%20m%C3%B3veis%20e%20cloud%20computing/2019/TCC_Conceitos%20envolvendo%20TOTP%20como%20segundo%20fator%20de%20autentica%C3%A7%C3%A3o.pdf [37] https://cryptoid.com.br/criptografia-identificacao-digital-id-biometria/smartcard-para-certificado-digital-como-funciona-e-principais-cuidados/ [38] https://riseup.net/pt/security/message-security/openpgp/gpg-best-practices [39] https://www.iperiusbackup.net/pt-br/entendendo-a-diferenca-entre-otp-totp-e-hotp/ [40] http://www.documentador.pr.gov.br/documentador/pub.do?action=d&uuid=2e183a36-6ac6-4cc4-acf4-b461fe3a033a [41] https://www.codia.com.br/glossario/o-que-e-openpgp/ [42] https://www.kaspersky.com.br/blog/2fa-practical-guide/11223/ [43] https://docs.keeper.io/en/keeper-connection-manager/authentication/piv-cac-smart-cards [44] https://cpl.thalesgroup.com/pt-pt/access-management/idprime-piv-card [45] https://pt.wikipedia.org/wiki/Challenge-Handshake_Authentication_Protocol [46] https://www.webpontual.com.br/leitor-de-cartao-smart-card-certificado-digital-kld-sd989 [47] https://pt.linkedin.com/advice/0/how-can-you-prevent-replay-attacks-challenge-response-yrh3e?lang=pt&lang=pt [48] https://support.apple.com/pt-br/guide/deployment/depc705651a9/web [49] https://wraycastle.com/pt/blogs/glossario-de-termos-de-tecnologia-de-telecomunicacoes/challenge-handshake-authentication-protocol [50] https://kriptobr.com/10-coisas-que-voce-esta-se-perguntando-sobre-fido2-webauthn-e-um-mundo-sem-senha/ [51] https://www.esptecnologia.com.br/smart-card-para-certificado-digital-layout-exclusivo/prod-6216505/ [52] https://www.techtarget.com/searchsecurity/definition/challenge-response-system [53] https://docs.citrix.com/pt-br/citrix-virtual-apps-desktops/2305/secure/fido2.html [54] https://www.casasbahia.com.br/leitor-de-cartao-smart-card-certificado-digital-kld-sd989/p/1566371826 [55] https://www.arkoselabs.com/explained/challenge-response-authentication/ [56] https://developers.google.com/codelabs/webauthn-reauth