04 e 05
de outubro
São Paulo - Brasil
< Voltar ao blog

Autenticação e criptografia: tornando a Web mais segura

9 de outubro de 2017

Hoje em dia, a Web está muito mais segura se comparada há alguns anos atrás. Ainda assim, ainda ocorrem vazamentos de senhas, acessos não autorizado a sistemas e várias práticas de fraudes e phishing. É preciso criar soluções unificadas para padronizar algumas formas de autenticação e criptografia para prevenir brechas de segurança. Mas o que exatamente está sendo feito para aprimorar a segurança na Web?
Existem vários trabalhos (ativos e outros que já viraram recomendações) do W3C (World Wide Web Consortium) para tornar a Web mais segura. Uma das áreas-chave quando se fala de segurança é a autenticação na Web, quando os dados do usuário (como login e senha) são comparados com os que estão no servidor. Se um login é invadido, a culpa não é necessariamente do usuário: por que o cadastro deixou ele estabelecer uma senha fraca? Por que não houve proteção contra um ataque de força bruta? A senha dele estava devidamente criptografada?
O principal projeto de autenticação no W3C é o Grupo de Trabalho de Autenticação na Web, que visa criar recomendações e, em vários projetos, diminuir a dependência na autenticação baseada em senhas. Com uma autenticação segura e fácil de ser implementada, é possível resolver vários problemas de vazamentos de senhas ou phishing que assolam a Web. É muito importante que esses ataques sejam reduzidos sem muita complicação para o usuário final.
O Grupo de Trabalho de Autenticação na Web também é responsável por trazer as especificações da FIDO Alliance para a Web, por meio das APIs Web FIDO 2.0. Dessa forma, você consegue fazer operações criptográficas fortes direto no navegador da pessoa, sem precisar ficar preso à senha. Por exemplo, é possível que alguém autorize o login em um site no próprio celular, tocando em uma notificação. Por trás dos panos, vários processos de autorização e criptografia acontecem para assegurar que o login seja legítimo.
Outro grande marco para a segurança na Web é o Web Cryptography Working Group. A partir deste outro grupo de trabalho, foi desenvolvida a recomendação que contém a WebCrypto API, que permite a implementação de protocolos de segurança no mesmo nível das aplicações da Web. É possível, por exemplo, manipular e armazenar chaves criptográficas privadas e secretas sem que o cliente tenha acesso aos bits internos das chaves.
É esperado que a adoção da WebCrypto traga muito mais segurança em diversas operações, uma vez que os desenvolvedores não precisam mais criar suas próprias bibliotecas para primitivas criptográficas, ou seja, algoritmos para codificar/decodificar chaves, estabelecer assinaturas digitais e funções hash. Tudo isso rodando na própria Web.
Existem vários cenários nos quais a WebCrypto pode ser útil. Por exemplo, ela permite que duas pessoas conversem em tempo real e de forma totalmente criptografada direto no navegador, ainda com a possibilidade de enviar fotos e outros tipos de mídia. Cada uma dessas pessoas têm chaves públicas e privadas diferentes e podem confirmar suas chaves públicas para confirmar que a conversa é segura. Cada mensagem enviada envolve todo um processo de autenticação e troca de chaves sem a interferência de um terceiro.
Operações bancárias também ficam mais seguras (e práticas), uma vez que bancos podem gerar, direto no navegador, chaves públicas e privadas e armazenar no computador do cliente, sem que essas informações sejam guardadas no servidor – sem precisar instalar programas adicionais! O banco também pode assinar digitalmente um documento, o que pode ser verificado com a chave pública. Além disso, essa chave também serve para descriptografar os documentos enviados, caso a assinatura digital seja válida. O próprio usuário do banco também consegue assinar documentos digitalmente e autorizar pagamentos sem ter problemas com segurança ou muita burocracia, em um cenário ideal.
O Web Cryptography Working Group já encerrou seus trabalhos, pois a WebCrypto API foi elevada com sucesso a uma recomendação do W3C. Os esforços para a segurança continuam no Web Security Interest Group, além do Grupo de Trabalho de Autenticação na Web, que continua publicando rascunhos de seus trabalhos com a intenção de consolidar outras recomendações.
Aprenda mais sobre segurança no workshop de programação segura na Web, realizada por Dionathan Nakamura, analista de Projetos de Segurança no CERT.br/NIC.br. O workshop está dentro da programação da conferência Web.br 2017, um dos principais eventos de desenvolvimento Web do Brasil, que será realizado dias 24 e 25 de outubro, em São Paulo.

Leia Também

04 e 05 de Outubro

São Paulo - Brasil

Centro de Convenções Rebouças

Faça a sua inscrição e fique por dentro das inovações e tendências Web com os melhores palestrantes nacionais e internacionais!

A Web.br é o local perfeito para trocar experiências e ficar por dentro das novidades do mercado.

COMPRE SEU INGRESSO!

Somente no local do evento: R$ 370,00

Assine a
newsletter

 

Fique por dentro das novidades do evento!

Cadastre-se na nossa Newsletter e receba atualizações de agenda, novos palestrantes, informações sobre inscrições e muito mais!

Seja um
patrocinador:

A sua empresa deseja patrocinar ou apoiar a edição 2018 da conferência Web.br? Fale com a gente!

organização

Centro de Estudos sobre Tecnologias Web Acesse o site do NIC.br Acesse o site do CGI.br

Iniciativa convidada

Acesse o site do W3C
Imagem do rodapé