O padrão FIDO2 promete eliminar as senhas tradicionais da internet. Mas como ele funciona, quão seguro realmente é e o que acontece se você perder seu dispositivo de autenticação?
O FIDO2 WebAuthn é um conjunto de padrões abertos desenvolvido pela FIDO Alliance em parceria com empresas como Microsoft, Google e W3C. Seu objetivo é substituir a autenticação baseada em senhas — historicamente vulnerável — por um modelo que usa criptografia de chave pública assimétrica e dispositivos físicos de hardware para verificar a identidade do usuário.
A proposta não é apenas técnica. É uma mudança estrutural na forma como bilhões de pessoas acessam serviços online. Mas, como toda nova especificação, o FIDO2 gera muitas dúvidas. Abaixo, respondemos as dez perguntas mais frequentes sobre o padrão, baseadas em material técnico da Yubico e da própria FIDO Alliance.
FIDO2 e WebAuthn são a mesma coisa?
Não exatamente. O FIDO2 é o padrão guarda-chuva, composto por dois componentes distintos que precisam funcionar em conjunto: a API Web (WebAuthn), especificada pelo W3C, e o protocolo CTAP (Client to Authenticator Protocol), que define como o navegador ou sistema operacional se comunica com o autenticador físico.
O protocolo FIDO U2F, padrão anterior amplamente usado como segundo fator de autenticação, foi formalmente incorporado ao FIDO2 como CTAP1. O novo protocolo, chamado de CTAP2, é o que viabiliza a experiência de login completamente sem senha.
API implementada nos navegadores que permite que sites solicitem autenticação via dispositivo de hardware sem depender de senhas tradicionais.
Protocolo que define a comunicação entre o cliente (browser/SO) e o autenticador físico. É o componente que habilita o login verdadeiramente sem senha.
Versão anterior do protocolo, renomeada dentro do FIDO2. Garante que autenticadores legados continuem funcionando como segundo fator em serviços compatíveis com WebAuthn.
Chrome, Firefox, Edge e Safari já implementaram suporte à WebAuthn API. Serviços como Dropbox, Microsoft e Google foram pioneiros na adoção do padrão em produção.
FIDO2 é fator único, 2FA ou multifator?
Essa é uma das perguntas mais frequentes — e a resposta é: os três, dependendo de como a implementação é configurada. Um autenticador de hardware com suporte FIDO2, como as chaves físicas disponíveis na categoria de 2FA físicos da KriptoBR (YubiKey, SecuX PUFido, Key-ID), pode operar de três formas distintas:
- ✅ Fator único sem senha — O dispositivo de hardware substitui completamente o par usuário/senha. Nenhuma credencial textual é necessária.
- ✅ Dois fatores (2FA) — A chave física é usada como segundo fator após uma senha convencional, exatamente como no modelo FIDO U2F anterior.
- ✅ Multifator (MFA) — O autenticador de hardware é combinado com um PIN local ou gesto biométrico, criando um fluxo de múltiplos fatores altamente seguro.
- ✗ Não recomendado — Usar apenas SMS como segundo fator. O FIDO2 de fator único é considerado mais seguro do que o 2FA via SMS, por não transmitir segredos pela rede.
FIDO2 WebAuthn é mais seguro que 2FA convencional?
Em termos práticos, sim — especialmente quando comparado ao 2FA baseado em SMS ou aplicativos de código temporário (TOTP). A diferença central está na ausência de segredos transmitidos pela rede: durante o login com FIDO2, nenhuma senha, código ou credencial estática trafega entre o cliente e o servidor.
O padrão usa criptografia assimétrica com verificação de origem, o que significa que mesmo que um atacante intercepte a comunicação ou crie um site de phishing idêntico ao legítimo, o autenticador simplesmente recusará assinar a requisição — porque a origem não corresponde ao domínio registrado durante o cadastro da chave.
Por que FIDO2 resiste a phishing?
Quando uma chave de segurança FIDO2 é registrada em um serviço, ela grava o domínio exato desse serviço. Na autenticação, o autenticador verifica se o domínio da requisição corresponde ao registrado. Se um atacante cria um site falso em outro domínio — mesmo visualmente idêntico —, a chave nega a autenticação automaticamente, sem qualquer ação do usuário.
PIN versus senha: qual é a diferença real?
A confusão é compreensível: se o FIDO2 permite usar um PIN, não estamos simplesmente trocando uma senha por outra? A resposta técnica é não. A distinção fundamental está em onde e como cada credencial é processada.
Uma senha é enviada pela rede até o servidor do serviço para validação remota — e pode ser interceptada, vazada em brechas ou capturada por phishing. Um PIN no modelo FIDO2, por outro lado, é armazenado e verificado localmente no próprio dispositivo de hardware. Ele nunca sai do autenticador e nunca trafega pela rede.
Isso tem implicações práticas significativas: o PIN pode ser mais curto, mais simples e não precisa ser trocado periodicamente com a frequência exigida por políticas de senhas corporativas. Seu único propósito é desbloquear o autenticador físico, não autenticar o usuário perante um servidor remoto.
Impacto nas políticas corporativas de senhas
A adoção corporativa do FIDO2 WebAuthn elimina, na prática, a necessidade de políticas de renovação de senhas a cada 90 dias — um procedimento que a própria pesquisa de segurança já questiona há anos por criar hábitos previsíveis nos usuários.
Quando combinado com CTAP2 e um PIN, o modelo FIDO2 reduz consideravelmente a carga de suporte de TI para redefinição e recuperação de credenciais. Para organizações que buscam conformidade com frameworks como NIST 800-63 ou ISO 27001, a autenticação baseada em hardware FIDO2 atende aos requisitos de autenticação de alta garantia.
Profissionais de segurança corporativa interessados em implementar esse modelo podem aprofundar o conhecimento no Curso de Segurança e Privacidade da KriptoBR, que cobre autenticação forte, gestão de credenciais e boas práticas de proteção digital.
O FIDO U2F vai ficar obsoleto?
A transição é gradual e retrocompatível. O WebAuthn suporta autenticadores FIDO U2F legados via CTAP1, portanto chaves de segurança certificadas anteriormente continuam funcionando como segundo fator em qualquer serviço compatível com o novo padrão.
A diferença prática é que dispositivos mais antigos — como o YubiKey NEO ou a série YubiKey 4 — não suportam CTAP2 e, portanto, não habilitam o login completamente sem senha. Para essa funcionalidade, é necessário um autenticador com suporte completo à especificação CTAP2, como os modelos disponíveis na linha de chaves físicas 2FA da KriptoBR, que inclui YubiKey, SecuX PUFido e Key-ID.
A tendência, segundo a FIDO Alliance, é que o FIDO2 progressivamente englobe e substitua o FIDO U2F como padrão dominante — mas sem forçar uma migração abrupta de dispositivos já em uso.
📚 Leitura recomendada
Para uma introdução detalhada ao padrão, incluindo como registrar e usar uma chave física em serviços compatíveis, consulte o guia completo sobre chaves de segurança FIDO2 da KriptoBR.
Quais serviços já suportam FIDO2 WebAuthn?
A adoção cresceu significativamente desde que Google Chrome, Firefox e Microsoft Edge passaram a suportar a API WebAuthn. O Dropbox foi um dos primeiros serviços de consumo a implementar o fluxo WebAuthn para login.
Hoje, plataformas como Microsoft 365, Google Workspace, GitHub, Twitter/X e dezenas de outros serviços corporativos e de consumo oferecem suporte ao padrão — seja como segundo fator ou, em implementações mais recentes, como método de login completamente sem senha.
O que acontece se eu perder a chave de segurança?
A recomendação padrão da indústria é manter pelo menos uma chave de backup registrada nos serviços mais críticos. A perda de um dispositivo físico não representa, por si só, um risco imediato: a chave não armazena informações identificáveis sobre o proprietário nem sobre em quais contas está registrada.
Para que um atacante utilize uma chave encontrada ou roubada, precisaria saber em quais serviços ela está cadastrada — e, nos casos em que o PIN ou biometria está habilitado como fator adicional, também teria que fornecer esse segundo elemento.
O principal vetor de ataque não é físico
Segundo a Yubico, a grande maioria dos ataques a contas ocorre de forma remota: roubo de credenciais, phishing e ataques man-in-the-middle. O FIDO2 é projetado especificamente para neutralizar esses vetores. O risco de um atacante obter fisicamente sua chave e usá-la com sucesso é estatisticamente muito inferior ao risco de uma senha ser comprometida remotamente.
O crescimento do ecossistema de padrões abertos significa que o número de implementações compatíveis é ilimitado. Com os principais navegadores e serviços já embarcados, a infraestrutura para um mundo de autenticação sem senha baseada em FIDO2 WebAuthn está, em grande medida, construída. O que falta é adoção em maior escala — tanto por parte de serviços quanto de usuários finais.
Proteja suas contas com autenticação de hardware
A KriptoBR, integrante do mesmo grupo do KriptoHoje, é a maior e mais antiga revenda oficial de hardware wallets do mundo. Trezor, Ledger, SecuX, Yubico e Key-ID.
Mais de 600 mil clientes atendidos em 32 países. Envio direto do Brasil, garantia do fabricante, suporte técnico em português.
Importante: não damos recomendação de investimento
Este conteúdo tem caráter exclusivamente informativo e educacional. O KriptoHoje não é consultor de investimentos e não recomenda a compra, venda ou manutenção de qualquer ativo. Investimento em criptoativos envolve risco elevado de perda total.
Leituras relacionadas
🔒 O que é autenticação de dois fatores (2FA)?Entenda a diferença entre SMS, TOTP e autenticação por hardware, e por que cada método oferece níveis distintos de proteção.
🛡️ Phishing resistente: como proteger suas contas em 2024Análise das principais técnicas de ataque por phishing e os mecanismos de defesa mais eficazes disponíveis atualmente.