WebAuthn
O que é WebAuthn?
WebAuthnAPI JavaScript padrão do W3C que permite às aplicações web registar e autenticar utilizadores com credenciais de chave pública guardadas em autenticadores de plataforma ou itinerantes.
Web Authentication (WebAuthn) é a metade de FIDO2 exposta ao navegador. Disponibiliza dois métodos, navigator.credentials.create() e navigator.credentials.get(), que permitem à parte confiante gerar um novo par de chaves no autenticador do utilizador e mais tarde pedir uma asserção (um desafio assinado) para verificar a posse. O padrão suporta autenticadores de plataforma (Touch ID, Windows Hello, Android), itinerantes (chaves USB, NFC e Bluetooth) e passkeys sincronizadas. Como a assinatura está ligada à origem da parte confiante, o WebAuthn resiste a phishing, ataques MITM e reutilização de credenciais. A adoção é ampla entre navegadores e fornecedores de identidade, sendo a base da MFA sem palavra-passe e resistente a phishing na web.
● Exemplos
- 01
A página de início de sessão de um banco chama navigator.credentials.get() para autenticar um cliente com a sua passkey.
- 02
Registar uma chave de segurança na consola de programador através do fluxo de registo do WebAuthn.
● Perguntas frequentes
O que é WebAuthn?
API JavaScript padrão do W3C que permite às aplicações web registar e autenticar utilizadores com credenciais de chave pública guardadas em autenticadores de plataforma ou itinerantes. Pertence à categoria Identidade e acesso da cibersegurança.
O que significa WebAuthn?
API JavaScript padrão do W3C que permite às aplicações web registar e autenticar utilizadores com credenciais de chave pública guardadas em autenticadores de plataforma ou itinerantes.
Como se defender contra WebAuthn?
As defesas contra WebAuthn costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para WebAuthn?
Nomes alternativos comuns: Web Authentication.