Como usar seu celular como autenticador FIDO2 para sessões do Windows

Se você está cansado de brigar com Senhas impossíveis, verificação por SMS e códigos que expiram em 30 segundos.Usar seu celular como autenticador FIDO2 para acessar o Windows e seus aplicativos corporativos é, literalmente, uma revolução. A ideia é simples: seu celular se torna sua chave de segurança e você só precisa desbloqueá-lo com sua impressão digital, reconhecimento facial ou PIN para provar que é você.

Nos últimos anos, gigantes como Microsoft, Google, Apple e muitos fornecedores de segurança investiram em FIDO2 e chaves de acesso como substitutos reais para senhas.Essa tecnologia deixou de ser experimental: funciona no Windows 10/11. Android, iOSmacOS, ChromeOS e a maioria dos navegadores populares. E, o que nos interessa aqui, permite usar seu dispositivo móvel como um autenticador FIDO2 tanto para acessar recursos na nuvem quanto para sessões do Windows gerenciadas pela sua organização.

O que é FIDO2, chaves de acesso e por que seu celular pode ser um autenticador?

Quando falamos em usar um celular como autenticador para o Windows, na verdade estamos falando de Utiliza os padrões FIDO2 e chaves de acesso (senhas).FIDO significa Fast Identity Online, uma aliança de empresas que passou anos desenvolvendo maneiras de autenticar sem depender de senhas fracas e reutilizadas.

FIDO2 é o padrão moderno que reúne dois componentes principais: WebAuthn (do W3C, a parte do navegador e o Aplicativos) y CTAP2 (o protocolo que se comunica com o autenticador, como seu telefone ou chave física)Em conjunto, permitem que um serviço online solicite que você se autentique com seu celular, Windows Hello, uma chave USB/NFC FIDO2, etc., em vez de obrigá-lo a memorizar mais uma senha.

Neste modelo, seu celular pode funcionar como um autenticador FIDO multiplataformaEle armazena sua chave privada com segurança e pode assinar desafios enviados pelo Windows, Microsoft Entra ID, Google ou outros serviços. Você desbloqueia seu telefone com seu método usual (impressão digital, reconhecimento facial, PIN) e o dispositivo cuida da parte criptográfica para você.

Por baixo dos panos, o FIDO2 usa criptografia de chave públicaCada vez que você registra uma senha para um serviço específico, um par de chaves é gerado: a chave privada é armazenada no autenticador (seu celular, seu computador, uma chave física) e nunca sai dele; a chave pública é enviada ao serviço e associada à sua conta. Quando você faz login novamente, o servidor emite um desafio que seu autenticador assina com a chave privada, e o servidor verifica essa assinatura com a chave pública.

O resultado prático é que Não há senhas para filtrar, códigos de uso único para interceptar nem segredos compartilhados para roubar do servidor.Se alguém tentar aplicar um golpe de phishing, mesmo que o leve a um site falso, o desafio criptográfico não será válido para sua chave pública real, portanto o ataque falha por si só.

Tipos de autenticadores FIDO2 e o papel dos dispositivos móveis

No ecossistema FIDO2, distinguem-se dois tipos principais de autenticadores: plataforma e multiplataformaCompreender essa diferença ajudará você a entender onde os dispositivos móveis se encaixam quando falamos de sessões do Windows.

Um autenticador de plataforma é aquele que Está integrado ao próprio dispositivo.Por exemplo, o Windows Hello em um laptop com leitor de impressões digitais ou câmera compatíveis, o Touch ID em um MacBook ou o sensor de impressões digitais em um laptop moderno. Ele só pode ser usado no mesmo computador em que está instalado e não pode ser transferido para outro dispositivo.

Os autenticadores multiplataforma são aqueles que Você pode usá-lo em diversos dispositivos diferentes.É aqui que entram em cena as chaves de segurança FIDO2 (YubiKey, SoloKey, Nitrokey, chaves NFC/USB genéricas) e, muito importante para o nosso tópico, os celulares Android e iOS usados ​​como autenticadores externos para outros dispositivos.

Dependendo das configurações, seu celular pode se comportar de duas maneiras: como autenticador de plataforma (quando você usa uma senha diretamente no navegador/aplicativo móvel) ou como autenticador multiplataforma (quando o celular é usado para fazer login em outro dispositivo, por exemplo, um PC com Windows, usando um código QR e Bluetooth).

Além de celulares e chaves físicas, existem outros autenticadores de software e Hardwares compatíveis, como Windows Hello, Touch ID, Face ID, autenticadores móveis especializados e aplicativos como o Hideez Authenticator. que ampliam a gama de opções para ambientes de negócios mistos, onde aplicativos FIDO2 modernos coexistem com sistemas legados ainda baseados em senhas.

Compatibilidade com FIDO2 no Windows, navegadores e serviços.

Para que o dispositivo móvel funcione como um autenticador FIDO2 em sessões do Windows, é essencial que Suporte completo a FIDO2/WebAuthn: sistema operacional, navegador ou aplicativo e serviço de identidade.Felizmente, o suporte atual é muito amplo.

Do lado do sistema operacional, Windows 10 (versão 1903 e posterior) e Windows 11 Eles oferecem suporte nativo à autenticação FIDO2, especialmente se o dispositivo estiver associado ao Microsoft Entra ID (anteriormente Azure AD) ou a um domínio híbrido. O Windows Hello atua como um autenticador de plataforma, e o sistema também pode funcionar com chaves USB/NFC FIDO2 e autenticadores móveis.

Quanto aos navegadores, Chrome, Edge, Firefox e Safari Eles incluíram suporte ao WebAuthn em diversas versões, tanto para desktop quanto para dispositivos móveis. Isso permite que serviços como Microsoft Entra, Google, Bitwarden e outros gerenciadores de senhas e provedores de SSO iniciem o fluxo de autenticação FIDO2 diretamente do navegador.

No nível de serviço, quase todo o ecossistema relevante atualmente suporta ou está adotando chaves de acesso: Microsoft Entra ID, Contas do Google, Google Workspace, provedores de SSO corporativos, gerenciadores de senhas como o Bitwarden e plataformas de identidade como o Hideez Cloud Identity.Cada um integra o FIDO2 de uma forma ligeiramente diferente, mas a ideia central é a mesma: seu autenticador (celular, chave ou Windows Hello) assina desafios em vez de inserir senhas.

Além disso, em ambientes empresariais, O Microsoft Entra ID permite gerenciar o FIDO2 como um método de autenticação oficial.Isso envolve o uso de políticas específicas para habilitá-lo, restringindo AAGUIDs específicos (modelos de chave ou autenticadores) e aplicando-o sob condições de acesso condicional. Isso é fundamental quando se deseja proteger recursos sensíveis e implementar MFA resistente a phishing.

Inicie sessão na Microsoft com as chaves FIDO2. Inicie sessão utilizando o seu dispositivo móvel.

O primeiro cenário prático para usar um telefone celular como autenticador FIDO2 com o Windows geralmente envolve ID de entrada da Microsoftporque muitas sessões corporativas do Windows 10/11 estão vinculadas ao Entra e usam essa identidade para recursos como Office, Teams, SharePoint e aplicativos internos.

O Entra oferece suporte a três modelos principais de chave de acesso FIDO2 para usuários: Chaves de acesso armazenadas no próprio dispositivo de login, chaves armazenadas em outro dispositivo (como seu celular) e chaves armazenadas em uma chave de segurança física.Todos esses modelos podem ser combinados dentro da mesma organização.

Quando a chave de acesso está armazenada no mesmo dispositivo (por exemplo, em um laptop Windows com o Windows Hello ou em um celular com o Microsoft Authenticator e a chave de acesso), o processo é muito simples: Você acessa o recurso (Office, portal da empresa, etc.) e seleciona a opção de autenticação: reconhecimento facial, impressão digital, PIN ou chave de segurança.O sistema abre uma janela de segurança e pede que você se identifique usando o método configurado.

Se a chave de acesso estiver em outro dispositivo, como seu celular, o processo incorpora autenticação entre dispositivosNo Windows 11 23H2 ou posterior, por exemplo, ao optar por iniciar sessão com uma chave de segurança, é-lhe oferecida a opção de selecionar um dispositivo externo, como “iPhone, iPad ou dispositivo Android.” O PC exibe um código QR, que você escaneia com a câmera do seu celular; em seguida, o celular solicitará seus dados biométricos ou PIN e, usando Bluetooth e a internet, concluirá a autenticação no computador remoto.

Em ambos os casos, após a conclusão do fluxo, você é autenticado. ID de entrada da Microsofto que, por sua vez, permite que você acesse seus aplicativos na nuvem e, em ambientes bem integrados, sessões do Windows ou aplicativos de desktop que dependem dessa identidade.

Uso específico do Microsoft Authenticator com chaves de acesso no Android e iOS.

Uma das maneiras mais convenientes de usar seu celular como autenticador FIDO2 em ambientes Microsoft é através de Suporte para Microsoft Authenticator com chave de acessoEste aplicativo pode funcionar como um autenticador FIDO2 tanto no mesmo dispositivo (autenticação local) quanto entre dispositivos (para fazer login em um PC com Windows ou outro computador).

No iOS, você pode usar o Authenticator como autenticador de plataforma para entrar na Microsoft. Insira seu ID em um campo específico. navegador próprio iPhone ou iPad e em aplicativos nativos da Microsoft, como OneDrive, SharePoint ou Outlook. O sistema exibirá a opção "Rosto, impressão digital, PIN ou chave de segurança" e, ao selecioná-la, solicitará o Face ID, Touch ID ou o PIN do seu dispositivo.

Para autenticação entre dispositivos no iOS, o processo clássico é: No outro computador (por exemplo, um computador com Windows 11), acesse a página de login da Microsoft. Faça login, escolha outros métodos de login, selecione autenticação por chave de segurança e escolha dispositivo iPhone/iPad/Android.Nesse momento, um código QR é exibido na tela do computador.

Com seu iPhone, você abre o aplicativo de câmera do sistema (Não use a câmera integrada do Authenticator, pois ela não reconhece o código QR do WebAuthn) e aponte-a para o código. O iPhone oferece a opção "Iniciar sessão com código" e, após verificar sua identidade com o Face ID, Touch ID ou PIN, o telefone conclui a autenticação FIDO2 com o PC usando Bluetooth e uma conexão com a internet.

No Android, o comportamento é semelhante, embora com algumas nuances. Autenticar o mesmo dispositivo em um navegador requer Android 14 ou posterior Para usar o Authenticator como um gerenciador de senhas no seu celular, acesse o site "Minhas Informações de Segurança", escolha as opções de login e selecione reconhecimento facial, impressão digital, PIN ou chave de segurança. Se você tiver várias senhas salvas, o sistema solicitará que você escolha qual deseja usar.

Para autenticação entre dispositivos Android, você segue o mesmo padrão que no seu PC: Vá em "Entrar", escolha a chave de segurança e selecione "Dispositivo Android".O dispositivo remoto exibe um código QR, que você pode escanear com a câmera do sistema ou pelo próprio aplicativo Authenticator, inserindo a chave de acesso da conta e usando o botão de leitura de código QR visível nos detalhes da senha.

Em todos esses cenários, é essencial ter Conexão Bluetooth e internet ativas em ambos os dispositivos.Se a organização tiver políticas restritivas de Bluetooth, o administrador poderá precisar configurar exceções para permitir o emparelhamento apenas com autenticadores habilitados para chave de acesso FIDO2.

Outros casos de uso do FIDO2: Google, Bitwarden e SSO corporativo.

Além da Microsoft e do Windows, o próprio conceito de usar um celular como autenticador FIDO2 se encaixa perfeitamente com Google Passkeys, gerenciadores de senhas FIDO2 e soluções SSO corporativasTudo isso contribui para fazer do seu celular o núcleo da sua identidade digital.

No Google, você pode criar chaves de acesso para sua conta pessoal ou do Workspace e usá-las. el método de desbloqueio tela do celular (impressão digital, reconhecimento facial, PIN) como fator principal. Depois de configurar a chave de acesso no seu celular Android ou iPhone, você pode acessar sua conta do Google em um computador usando o fluxo "Tentar de outra forma" / "Usar sua chave de acesso" e escaneando um código QR que aparece no navegador do computador.

A experiência é semelhante: o PC exibe um código QR, você o escaneia com a câmera do telefone ou com o leitor integrado, e o telefone solicita que você o desbloqueie. Após verificar seus dados biométricos ou PIN, O celular assina o desafio FIDO2 e o computador obtém acesso à sua conta.Depois disso, o Google pode sugerir a criação de uma chave de acesso local no seu computador, mas isso é opcional.

O Bitwarden, por sua vez, permite habilitar Autenticação em duas etapas com FIDO2 WebAuthn Em seus aplicativos, você pode registrar chaves de segurança físicas com certificação FIDO2, mas também usar autenticadores nativos como o Windows Hello ou o Touch ID. Em dispositivos móveis, é possível usar chaves com NFC (como a YubiKey NFC) aproximando-as da área de leitura do telefone; às vezes, é preciso mirar com cuidado, pois a posição do leitor NFC varia de acordo com o modelo.

No ambiente empresarial, plataformas como Identidade na Nuvem Hideez Eles combinam chaves FIDO2 sincronizadas (aquelas que você pode ter no Google ou iCloud) com seus próprios autenticadores móveis baseados em códigos QR dinâmicos. O fluxo de trabalho típico é o seguinte: para fazer login em um PC, você abre o aplicativo no seu celular, escaneia um código QR exibido na tela do computador e autoriza o login a partir do seu dispositivo móvel, que atua como um autenticador seguro.

Essa abordagem é especialmente útil quando você tem uma mistura de Aplicações modernas compatíveis com FIDO2 e sistemas legados que ainda dependem de nome de usuário e senha.Algumas chaves de hardware e soluções de identidade permitem até mesmo que a mesma chave funcione como um autenticador FIDO2 para novos serviços e como gerenciador de senhas Criptografia para aplicações legadas.

Habilite FIDO2/chaves de acesso em organizações com o Microsoft Login.

Se o seu objetivo é permitir que os usuários usem seus dispositivos móveis como autenticadores FIDO2 em sessões do Windows e aplicativos corporativos, o caminho a seguir envolve Ativar formalmente o método FIDO2 no Microsoft Entra ID e definir quais tipos de autenticadores são permitidos.

No centro de administração do Microsoft Entra, um administrador de políticas de autenticação pode acessar Entra ID → Métodos de autenticação → Políticas e localizar o método “chave de segurança (FIDO2)Ali você pode habilitá-lo globalmente ou para grupos de segurança específicos, configurar se o registro por autoatendimento é permitido e decidir se a atestação do dispositivo é necessária.

A opção de atestado permite que apenas o seguinte seja aceito: Chaves e autenticadores FIDO2 de fornecedores legítimosComo cada fabricante publica um AAGUID (GUID de Atestado de Autenticação) que identifica a marca e o modelo, uma "política de restrição de chaves" pode ser aplicada para autorizar apenas determinados AAGUIDs e bloquear os demais. Isso é muito útil quando se deseja ter um conjunto controlado de chaves ou autenticadores móveis corporativos.

Para cenários mais avançados, a Microsoft oferece API do Microsoft Graph para gerenciamento de FIDO2Por meio do endpoint de configuração FIDO2 authenticationMethodsPolicy, você pode automatizar a criação de credenciais, validar AAGUIDs específicos ou até mesmo provisionar chaves de segurança FIDO2 em nome de usuários (versão prévia), usando CTAP e creationOptions retornados pelo Entra.

Após configurar corretamente o método FIDO2, você poderá criar pontos fortes de autenticação baseada em senha e use-as em políticas de acesso condicional. Por exemplo, configure uma regra que exija autenticação com chaves de acesso FIDO2 (e, opcionalmente, limite a um ou mais AAGUIDs de autenticadores móveis ou chaves específicas) para acessar aplicativos críticos ou sessões de área de trabalho remota.

Também são considerados cenários de manutenção: Excluindo senhas de usuário do centro de administraçãoAlterações no UPN (caso em que o usuário deve excluir sua chave FIDO2 antiga e registrar uma nova) e limitações, como a atual falta de suporte para usuários convidados B2B registrarem credenciais FIDO2 diretamente no locatário do recurso.

Configure e utilize chaves de segurança FIDO2 com seu celular.

Embora o foco deste texto seja o celular como autenticador, em muitos ambientes faz sentido combiná-lo com chaves de segurança física FIDO2Especialmente para administradores, funcionários com acesso crítico ou usuários que precisam de um segundo método robusto.

A configuração geralmente começa nos portais de segurança da conta, por exemplo, em https://aka.ms/mfasetup ou nas páginas "Minhas informações de segurança" da Microsoft. Lá, você seleciona "Chave de segurança" e escolhe se ela está... USB ou NFC, e você segue o assistente, que varia dependendo do sistema operacional e do tipo de chave. Por fim, um nome é atribuído à chave para identificação futura.

Após o registro, a chave poderá ser usada a partir de Navegadores compatíveis (Edge, Chrome, Firefox) ou até mesmo para fazer login em computadores com Windows 10/11 fornecidos e configurados pela organização. Além disso, sistemas como o RSA oferecem utilitários específicos (RSA Security Key Utility) para gerenciar o PIN da chave, alterá-lo, redefinir o dispositivo e integrá-lo a produtos de autenticação corporativa, como o SecurID.

No contexto do FIDO2, as chaves de hardware são simplesmente outro tipo de autenticador multiplataforma. Seu dispositivo móvel pode usá-las simultaneamente. Você pode ter senhas sincronizadas em seu dispositivo móvel, chaves físicas para usos críticos e autenticadores de plataforma como o Windows Hello em seus computadores de trabalho.Quanto mais robustos e bem gerenciados forem seus métodos, menos você dependerá de senhas fracas.

Em qualquer caso, quer utilize chaves físicas ou móveis, recomenda-se que o administrador defina Políticas claras para adicionar, remover e substituir autenticadores.bem como os procedimentos a seguir em caso de perda ou roubo de um dispositivo (revogar a senha associada, revisar os acessos recentes, forçar a autenticação multifator no próximo login, etc.).

Vantagens e limitações reais do uso do FIDO2 com seu celular.

Melhoria evidente tanto na segurança quanto na usabilidade. Ao usar o celular como autenticador FIDO2 para sessões do Windows e serviços associados, é importante conhecer algumas desvantagens e nuances.

A principal vantagem é que A autenticação torna-se resistente a ataques de phishing e roubo de credenciais.Como a chave privada nunca sai do telefone e é usada apenas para assinar desafios criptográficos, um invasor não pode "roubar" sua senha, pois ela simplesmente não existe. Mesmo que um serviço sofra uma violação de segurança, o que fica exposto são as chaves públicas, que são inúteis sem o dispositivo físico de autenticação.

Outra vantagem importante é a experiência do usuário: Desbloquear o telefone com a sua impressão digital ou reconhecimento facial é muito mais rápido e natural. do que escrever senhas longas, gerenciar códigos OTP via SMS ou lembrar respostas para perguntas de segurança. Em muitos casos, também elimina a necessidade de uma segunda camada de MFA tradicional, já que o próprio FIDO2 atende aos requisitos para uma MFA forte e resistente a phishing.

Em termos regulatórios, a adoção do FIDO2 ajuda as organizações a estar em conformidade com regulamentações como GDPR, HIPAA, PSD2 ou NIS2.E com as diretrizes do NIST ou do CISA que recomendam a autenticação multifator (MFA) resistente a phishing, não é coincidência que governos e grandes corporações estejam recorrendo a soluções FIDO dentro da estrutura de estratégias de confiança zero.

Em relação às limitações, um dos problemas mais evidentes é o legado tecnológicoMuitas aplicações, VPNs legadas, desktops remotos específicos ou sistemas internos não suportam FIDO2 ou SSO moderno. Para esses casos, você ainda precisará de senhas ou autenticadores tradicionais, embora possa encapsular parte do acesso com um IdP moderno que se comunique via FIDO2 externamente.

Além disso, em muitos serviços ainda A senha não desaparece completamente.Geralmente, as senhas são mantidas como um mecanismo de recuperação caso você perca todas as suas chaves de acesso, o que significa que, se não forem gerenciadas corretamente, ainda existe um "plano B" menos seguro. O setor está caminhando para modelos em que você pode confiar exclusivamente em chaves de acesso, mas, por enquanto, você ainda verá senhas em todos os lugares.

Outra nuance importante é a diferença entre Senhas sincronizadas e senhas vinculadas ao dispositivoOs primeiros são replicados por meio de serviços em nuvem (como o iCloud Keychain ou o Google Password Manager), o que aumenta a conveniência, mas complica o controle corporativo; os últimos permanecem vinculados a um único hardware (dispositivo móvel corporativo, chave física), o que dá mais controle à TI, à custa de alguma conveniência para o usuário.

Para muitos usuários e empresas, usar um dispositivo móvel como autenticador FIDO2 para sessões do Windows e acesso a recursos na nuvem é uma maneira muito razoável de Entre na onda da autenticação sem senha.Ele combina a segurança da criptografia de chave pública com a conveniência de desbloquear o telefone que você já carrega consigo, integra-se ao Windows 10/11, Microsoft Entra, Google e outros serviços modernos, e permite que você continue usando chaves físicas e sistemas legados enquanto faz a transição para um mundo onde as senhas estão se tornando cada vez menos importantes.