Protocolos de Autenticação das Chaves YubiKey

FIDO2/WebAuthn

O FIDO2 é o padrão de autenticação mais moderno e sem senha, composto por dois componentes principais: WebAuthn e CTAP2[1][2].

Como funciona

O FIDO2 utiliza criptografia de chave pública em vez de senhas para validar identidades[1]. Quando um usuário se registra em um serviço compatível com FIDO2, o dispositivo cliente gera um par de chaves único que funciona apenas para esse aplicativo ou site específico. A chave pública é compartilhada com o serviço, enquanto a chave privada permanece segura no dispositivo do usuário[1].

Durante a autenticação, o processo funciona da seguinte forma:

  1. O servidor apresenta um desafio único para o cliente
  2. O cliente usa o dispositivo YubiKey para assinar a solicitação com a chave privada
  3. O servidor valida a resposta usando a chave pública correspondente[1]

Componentes principais

  • WebAuthn: API JavaScript implementada em navegadores que permite autenticação FIDO2[1]
  • CTAP2: Protocolo que permite comunicação entre autenticadores externos (como YubiKeys) e navegadores via USB, NFC ou Bluetooth[1]

Exemplos de uso

  • Login sem senha no Google, Microsoft, Facebook
  • Autenticação em aplicações corporativas
  • Acesso a sistemas bancários online
  • Integração com gerenciadores de senhas

FIDO U2F

O FIDO U2F (Universal Second Factor) é um protocolo de segundo fator de autenticação que reforça a segurança baseada em senha[3][4].

Como funciona

O U2F requer que o usuário forneça uma combinação válida de nome de usuário e senha como primeiro fator, seguida do uso de um dispositivo físico (YubiKey) como segundo fator[1]. O processo envolve:

  1. Registro: O usuário conecta a YubiKey e pressiona o botão para gerar um par de chaves específico para o serviço
  2. Autenticação: O servidor envia um desafio, a YubiKey assina digitalmente o desafio e transmite a resposta assinada[3]

Vantagens

  • Proteção contra phishing: Impossível de interceptar ou reutilizar
  • Sem drivers necessários: Funciona como um dispositivo HID padrão
  • Compatibilidade ampla: Suportado por navegadores modernos[4]

Exemplos de uso

  • Segundo fator para Gmail, Facebook, Twitter
  • Proteção de contas corporativas
  • Acesso a VPNs empresariais

Yubico OTP

O Yubico OTP é um protocolo proprietário que gera senhas únicas de 44 caracteres quando a YubiKey é tocada[5][6].

Como funciona

A YubiKey gera uma senha única composta por:

  • 12 primeiros caracteres: ID público constante da YubiKey
  • 32 caracteres restantes: Senha única gerada a partir de contadores de sessão, timestamps e outros dados aleatórios[7]

O OTP é criptografado com uma chave AES de 128 bits e usa caracteres ModHex (subset de caracteres latinos) para compatibilidade com diferentes layouts de teclado[6][7].

Validação

A validação ocorre através do YubiCloud da Yubico, que verifica se o OTP é válido e não foi usado anteriormente[8]. O serviço compara os valores dos contadores para evitar ataques de repetição[7].

Exemplos de uso

  • Autenticação em sistemas legados
  • Integração com WordPress, phpBB, PAM
  • Autenticação de fator único ou como segundo fator[8]

OATH (TOTP/HOTP)

O OATH (Open Authentication) define padrões para senhas de uso único baseadas em tempo (TOTP) ou contador (HOTP)[9][10].

TOTP (Time-based OTP)

  • Baseado em tempo: Códigos que expiram em intervalos regulares (normalmente 30-90 segundos)
  • Sincronização: Tanto o dispositivo quanto o servidor usam o mesmo relógio
  • Maior segurança: Janela de tempo limitada reduz oportunidade de ataques[9]

HOTP (Hash-based OTP)

  • Baseado em contador: Códigos válidos até serem usados
  • Sem expiração: Permanecem válidos indefinidamente até o uso
  • Usado em SMS/email: Comum em códigos enviados por canais externos[9]

Exemplos de uso

  • Aplicativos como Google Authenticator, Authy
  • Autenticação em dois fatores para serviços online
  • Integração com Microsoft Entra ID, sistemas corporativos[10]

Smart Card (PIV)

O PIV (Personal Identity Verification) é um padrão para cartões inteligentes usado principalmente por órgãos governamentais[11][12].

Como funciona

O PIV utiliza um chip criptográfico que armazena certificados digitais e chaves privadas protegidas por PIN. O protocolo suporta:

  • Autenticação forte: Usando certificados X.509
  • Assinatura digital: Para documentos e transações
  • Criptografia: Para proteção de dados sensíveis[12]

Processo de autenticação

  1. Usuário insere o cartão PIV no leitor
  2. Sistema solicita PIN do usuário
  3. Chip valida o PIN e libera acesso às chaves privadas
  4. Sistema utiliza as chaves para autenticação ou assinatura[12]

Exemplos de uso

  • Acesso a sistemas federais americanos
  • Autenticação em redes governamentais
  • Assinatura digital de documentos oficiais
  • Controle de acesso físico a instalações[13]

OpenPGP

O OpenPGP é um padrão de criptografia de código aberto que utiliza chaves públicas e privadas para comunicação segura[14][15].

Como funciona

O OpenPGP usa criptografia assimétrica onde:

  • Chave pública: Compartilhada com outros para criptografia e verificação de assinaturas
  • Chave privada: Mantida em segredo para descriptografia e criação de assinaturas digitais[14]

Operações principais

  • Criptografia: Usando a chave pública do destinatário
  • Descriptografia: Usando a chave privada do destinatário
  • Assinatura digital: Usando a chave privada do remetente
  • Verificação: Usando a chave pública do remetente[14]

Exemplos de uso

  • Criptografia de emails
  • Assinatura digital de arquivos
  • Proteção de documentos confidenciais
  • Comunicação segura entre desenvolvedores[15]

Challenge-Response

O Challenge-Response é um mecanismo de autenticação que utiliza desafios dinâmicos para verificar identidade[16][17].

Como funciona

  1. Desafio: Servidor envia um valor aleatório para o cliente
  2. Processamento: Cliente combina o desafio com sua chave secreta usando algoritmo de hash
  3. Resposta: Cliente envia o resultado calculado de volta
  4. Verificação: Servidor compara com sua própria computação do resultado esperado[16]

Vantagens

  • Proteção contra replay attacks: Cada desafio é único
  • Sem transmissão de senhas: Apenas a resposta calculada é enviada
  • Autenticação mútua: Ambos os lados podem se autenticar[17]

Exemplos de uso

  • Protocolos como CHAP (Challenge Handshake Authentication Protocol)
  • Autenticação em pontos de acesso Wi-Fi
  • Sistemas de OTP (One-Time Password)
  • Protocolos de rede seguros[17]

Cada protocolo oferece diferentes níveis de segurança e compatibilidade, permitindo que as YubiKeys sejam usadas em uma ampla gama de aplicações, desde autenticação básica até sistemas críticos de segurança governamental e corporativa.

[1] https://www.microsoft.com/pt-br/security/business/security-101/what-is-fido2 [2] https://www.identityacademy.com.br/post/passwordless-voc%C3%AA-conhece-o-passkey-o-padr%C3%A3o-fido2 [3] https://www.lockeet.com/insights/blog/como-funcionam-os-protocolos-fido2-e-fido-u2f—suportados-por-chaves-de-seguranca [4] https://tuta.com/pt-br/blog/why-u2f-is-important [5] https://trustness.com.br/glossario/o-que-e-yubico-otp-tecnologia-seguranca/ [6] https://docs.yubico.com/yesdk/users-manual/application-otp/yubico-otp.html [7] https://developers.yubico.com/OTP/OTPs_Explained.html [8] https://developers.yubico.com/OTP/ [9] https://www.identityacademy.com.br/post/o-que-%C3%A9-o-protocolo-otp-e-qual-a-diferen%C3%A7a-entre-totp-e-hotp [10] https://learn.microsoft.com/pt-br/entra/identity/authentication/concept-authentication-oath-tokens [11] https://docs.citrix.com/pt-br/citrix-virtual-apps-desktops/director/install-and-configure/configure-smart-card.html [12] https://www.ibm.com/docs/pt-br/gdp/12.x?topic=portal-enabling-smart-card-authentication [13] https://www.hidglobal.com/pt/solutions/personal-identity-verification-piv-solutions [14] https://www.vpnunlimited.com/pt/help/cybersecurity/openpgp [15] https://trustness.com.br/glossario/o-que-e-openpgp-criptografia-segura/ [16] https://microblink.com/pt-br/resources/glossary/challenge-response-authentication/ [17] https://www.f5.com/pt_br/glossary/challenge-response-authentication [18] https://tecnoblog.net/responde/o-que-e-e-como-usar-uma-chave-fisica-u2f-fido-2/ [19] https://www.aware.com/pt/biometrico/fido-suite/ [20] https://pt.wikipedia.org/wiki/WebAuthn [21] https://www.ibm.com/docs/pt-br/sva/11.0.0?topic=authentication-configuring-fido-universal-2nd-factor-mechanism [22] https://blogs.manageengine.com/pt-br/2024/05/30/o-que-e-fido2.html [23] https://kriptobr.com/produto/2fa-fisico-fido-fido2-pronta-entrega/ [24] https://genuimentor.com/pt/zero-trust-2/yubikey-como-funciona/ [25] https://learn.microsoft.com/pt-br/windows/security/identity-protection/hello-for-business/webauthn-apis [26] https://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/id_credentials_mfa_fido_supported_configurations.html [27] https://www.reddit.com/r/yubikey/comments/1kjp9fg/is_there_still_a_purpose_to_the_44_character/?tl=pt-br [28] https://deviniciative.wordpress.com/2025/01/17/fido-entendendo-o-que-e-webauthn/ [29] https://www.reddit.com/r/yubikey/comments/1gxrihc/what_is_the_difference_between_fido_and_fido2/?tl=pt-br [30] https://docs.dinamonetworks.io/hsm/arch/oath/ [31] https://learn.microsoft.com/pt-br/windows/security/identity-protection/smart-cards/smart-card-group-policy-and-registry-settings [32] https://docs.nitrokey.com/pt/nitrokeys/features/openpgp-card/openpgp-keygen-gpa [33] https://auth0.com/pt/intro-to-iam/what-is-openid-connect-oidc [34] https://support.microsoft.com/pt-br/topic/kb5005408-a-autentica%C3%A7%C3%A3o-de-cart%C3%A3o-inteligente-pode-causar-falhas-de-impress%C3%A3o-e-verifica%C3%A7%C3%A3o-514f0bc5-ecde-4e5e-8c5a-2a776d7fb89a [35] https://pantheon.ufrj.br/bitstream/11422/5969/1/ICMiranda.pdf [36] https://biblioteca.inatel.br/cict/acervo%20publico/sumarios/Artigos%20de%20TCC/TCC_Pos%20Gradua%C3%A7%C3%A3o/SDMCC%20-%20Desenvolvimento%20de%20aplica%C3%A7%C3%B5es%20para%20dispositivos%20m%C3%B3veis%20e%20cloud%20computing/2019/TCC_Conceitos%20envolvendo%20TOTP%20como%20segundo%20fator%20de%20autentica%C3%A7%C3%A3o.pdf [37] https://cryptoid.com.br/criptografia-identificacao-digital-id-biometria/smartcard-para-certificado-digital-como-funciona-e-principais-cuidados/ [38] https://riseup.net/pt/security/message-security/openpgp/gpg-best-practices [39] https://www.iperiusbackup.net/pt-br/entendendo-a-diferenca-entre-otp-totp-e-hotp/ [40] http://www.documentador.pr.gov.br/documentador/pub.do?action=d&uuid=2e183a36-6ac6-4cc4-acf4-b461fe3a033a [41] https://www.codia.com.br/glossario/o-que-e-openpgp/ [42] https://www.kaspersky.com.br/blog/2fa-practical-guide/11223/ [43] https://docs.keeper.io/en/keeper-connection-manager/authentication/piv-cac-smart-cards [44] https://cpl.thalesgroup.com/pt-pt/access-management/idprime-piv-card [45] https://pt.wikipedia.org/wiki/Challenge-Handshake_Authentication_Protocol [46] https://www.webpontual.com.br/leitor-de-cartao-smart-card-certificado-digital-kld-sd989 [47] https://pt.linkedin.com/advice/0/how-can-you-prevent-replay-attacks-challenge-response-yrh3e?lang=pt&lang=pt [48] https://support.apple.com/pt-br/guide/deployment/depc705651a9/web [49] https://wraycastle.com/pt/blogs/glossario-de-termos-de-tecnologia-de-telecomunicacoes/challenge-handshake-authentication-protocol [50] https://kriptobr.com/10-coisas-que-voce-esta-se-perguntando-sobre-fido2-webauthn-e-um-mundo-sem-senha/ [51] https://www.esptecnologia.com.br/smart-card-para-certificado-digital-layout-exclusivo/prod-6216505/ [52] https://www.techtarget.com/searchsecurity/definition/challenge-response-system [53] https://docs.citrix.com/pt-br/citrix-virtual-apps-desktops/2305/secure/fido2.html [54] https://www.casasbahia.com.br/leitor-de-cartao-smart-card-certificado-digital-kld-sd989/p/1566371826 [55] https://www.arkoselabs.com/explained/challenge-response-authentication/ [56] https://developers.google.com/codelabs/webauthn-reauth