Passkeys da Finom: Revolucionando a Segurança Bancária

Want to learn how top banks deploy passkeys? Get our 80-page Banking Passkeys Report (incl. ROI insights). Trusted by JPMC, UBS & QNB.

Get Report

O setor bancário moderno precisa da melhor segurança possível, ao mesmo tempo que facilita a vida dos clientes. É por isso que a Finom, uma fintech pioneira sediada em Amesterdão, deu um passo significativo ao introduzir as passkeys como o seu novo método de autenticação principal para a sua aplicação web. Como prova de inovação, a implementação de passkeys da Finom não só desafia o paradigma tradicional das palavras-passe (+ MFA tradicional via SMS OTP), mas também se alinha com a crescente procura por experiências de utilizador mais seguras, convenientes e focadas na privacidade. Este post explora as configurações técnicas e os benefícios para o utilizador final da implementação de passkeys da Finom, oferecendo insights sobre por que esta abordagem pode anunciar uma nova era para as passkeys no setor bancário e de serviços financeiros.

As passkeys representam uma mudança de paradigma na autenticação, afastando-se dos vulneráveis sistemas baseados em palavras-passe para uma autenticação mais segura e resistente a phishing. A aplicação web da Finom adota esta tecnologia, permitindo que os utilizadores se autentiquem através de vários dispositivos — computadores, smartphones ou chaves de segurança de hardware (por exemplo, YubiKeys), suportando assim também autenticadores multiplataforma / roaming.

Finom has introduced passkeys

Join them

A Finom garante uma ampla acessibilidade ao alinhar-se com os padrões da indústria para compatibilidade de navegadores e sistemas operativos. As seguintes versões de navegador suportam passkeys (de acordo com o FAQ oficial sobre passkeys da Finom):

• Chrome (v105+)
• Safari (v16+)
• Edge (v105+)

Ao contrário do FAQ oficial sobre passkeys da Finom, a autenticação com passkey também funcionou durante os nossos testes na versão mais recente do Firefox (v122) no Windows 11 23H2 e no macOS Sonoma 14.2.1.

Relativamente ao suporte de sistemas operativos em geral, para dispositivos de desktop, testámos a autenticação com passkey com sucesso no Windows 11 e no macOS Sonoma (não há uma versão mínima de SO declarada no FAQ).

Os utilizadores de dispositivos móveis devem garantir que os seus sistemas estão atualizados para iOS 16+ ou Android 9+ para suporte completo de passkeys. A boa notícia é que a maioria dos dispositivos móveis (mais de 94%) já suporta passkeys.

O processo de criação de passkeys na Finom suporta toda a gama de passkeys, empregando uma variedade de modos de transporte, incluindo USB, NFC, BLE, híbrido e opções internas. Esta flexibilidade garante que os utilizadores tenham múltiplas opções de autenticação, adequadas às suas preferências pessoais ou necessidades situacionais.

Alguns aspetos a destacar das configurações do servidor WebAuthn e da análise mais aprofundada das PublicKeyCredentialCreationOptions:

{
    "attestation": "direct",
    "authenticatorSelection": {
        "residentKey": "discouraged",
        "userVerification": "required"
    },
    "challenge": "JWi0v7X1X-O1UvXB_I5q2A",
    "excludeCredentials": [
        {
            "id": "ARt1Ba2haVHZNrw8FhKLc_V1LFMVdrsHbezmQ8jMP59lXscBnkTLxABNNR9dd499EG5PWY0VYSFtbui_XmYeJtM",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "CaRVt041w10I948-OS6TBtAyVOUdak03b6BUyev3S3e7xOH99pS9GLgTURasdNH4HgKkazUmT0ejDbVpuDhAtQ",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "3nOhnTkXXdyiBAfC60K7E_-OgKwwk57uewpwGCgJe44",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        }
    ],
    "pubKeyCredParams": [
        {
            "alg": -7,
            "type": "public-key"
        },
        {
            "alg": -257,
            "type": "public-key"
        },
        {
            "alg": -37,
            "type": "public-key"
        },
        {
            "alg": -35,
            "type": "public-key"
        },
        {
            "alg": -258,
            "type": "public-key"
        },
        {
            "alg": -38,
            "type": "public-key"
        },
        {
            "alg": -36,
            "type": "public-key"
        },
        {
            "alg": -259,
            "type": "public-key"
        },
        {
            "alg": -39,
            "type": "public-key"
        },
        {
            "alg": -8,
            "type": "public-key"
        }
    ],
    "rp": {
        "id": "app.finom.co",
        "name": "app.finom.co"
    },
    "user": {
        "displayName": "Vincent Delitz",
        "id": "dmluY2RlbGl0aaBhb2wuY29t",
        "name": "vincent@corbado.com"
    }
}

• Uso do parâmetro excludeCredentials para evitar a criação de uma nova passkey num dispositivo com passkeys existentes.
• Relying Party ID definido como app.finom.co para garantir uma autenticação segura e específica do domínio.
• A attestation direta exige que os dispositivos forneçam declarações de attestation, provando assim a autenticidade das credenciais de autenticação.
• A userVerification é obrigatória, garantindo que apenas o utilizador legítimo pode iniciar o processo de autenticação.
• O desincentivo ao uso de residentKeys ocorre porque a Conditional UI ainda não foi implementada. No entanto, o comportamento da criação de passkeys depende muito dos autenticadores e se eles levam em consideração o valor de residentKeys (veja este artigo). Além disso, a Finom beneficiaria em já criar resident keys para futuro suporte de Conditional UI. Por outro lado, esta decisão poupa armazenamento em chaves de segurança de hardware (por exemplo, YubiKeys), que muitas vezes têm capacidade limitada para resident keys.

As PublicKeyCredentialRequestOptions são igualmente importantes, facilitando o processo de autenticação com configurações que garantem flexibilidade e segurança:

PublicKeyCredentialRequestOptions.json
{
    "allowCredentials": [
        {
            "id": "ARt1Ba2haVHZNrw8FhKLc_V1LFMVdrsHbezmQ8jMP59lXscBnkTLxABNNR9dd499EG5PWY0VYSFtbui_XmYeJtM",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "CaRVt041w10I948-OS6TBtAyVOUdak03b6BUyev3S3e7xOH99pS9GLgTURasdNH4HgKkazUmT0ejDbVpuDhAtQ",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "3nOhnTkXXdyiBAfC60K7E_-OgKwwk57uewpwGCgJe44",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        }
    ],
    "challenge": "s4R8Fsy7iSxxWIgUr7iTLA",
    "rpId": "app.finom.co",
    "userVerification": "discouraged"
}

• As allowCredentials são definidas (todas as credenciais são definidas independentemente do dispositivo usado como cliente pelo utilizador) para garantir que apenas passkeys registadas podem ser usadas.
• A userVerification é desincentivada, o que é interessante na cerimónia de login, uma vez que é obrigatória na cerimónia de criação de passkey.

Um aspeto futurista da implementação de passkeys da Finom é o potencial para a partilha de passkeys entre dispositivos. Ao analisar os ficheiros de associação fornecidos em https://app.finom.co/.well-known/assetlinks.json para Android e https://app.finom.co/.well-known/apple-app-site-association para iOS, torna-se evidente que a Finom está a preparar o terreno para uma integração perfeita de passkeys entre as suas aplicações web e móveis nativas. Adicionar suporte para partilha entre dispositivos, por exemplo, usar a sua passkey do macOS da aplicação web também na aplicação nativa do iOS através da sincronização do iCloud Keychain, pode ser adicionado rapidamente. Esta iniciativa promete melhorar ainda mais a experiência do utilizador, permitindo uma autenticação sem esforço entre diferentes plataformas e dispositivos.

No centro da implementação de passkeys da Finom está o compromisso de priorizar três aspetos fundamentais: segurança inigualável, simplicidade sem paralelo e privacidade de dados intransigente.

• Segurança: O sistema de passkeys da Finom foi projetado para estabelecer uma barreira contra ameaças cibernéticas. Ao contrário das palavras-passe convencionais, as passkeys estão ligadas de forma segura ao dispositivo do utilizador e ao domínio verificado da Finom, eliminando virtualmente o risco de phishing e acesso fraudulento.
• Simplicidade: A simplicidade na autenticação com passkey da Finom é capturada através do seu processo de login instantâneo. Usando Face ID, Touch ID ou Windows Hello, os utilizadores podem aceder às suas contas em meros segundos, sem o incómodo de digitar palavras-passe complexas. Este processo de autenticação simplificado não só melhora a conveniência do utilizador, mas também reduz significativamente os tempos de login, estabelecendo um novo padrão de facilidade de acesso na indústria bancária.
• Privacidade de Dados: A Finom dá a máxima prioridade à privacidade e segurança dos dados do utilizador. Ao empregar um sistema onde as passkeys permanecem ligadas ao dispositivo do utilizador, a Finom garante que as informações pessoais, incluindo dados biométricos, permanecem sob o controlo do utilizador e nunca são partilhadas com o servidor. Esta abordagem não só protege a privacidade dos utilizadores, mas também lhes dá a confiança de que as suas informações pessoais e financeiras estão protegidas contra acessos não autorizados e violações.

Em novos dispositivos, o utilizador precisa de confirmar a criação da passkey na aplicação nativa da Finom para iOS / Android através de uma notificação push ou usando um link mágico por e-mail. Até que a confirmação seja fornecida, o utilizador não pode criar uma passkey.

Confirme o pedido de criação de passkey por e-mail:

Alternativamente, pode confirmar o pedido de criação de passkey via notificação push (aqui na aplicação nativa do Android):

Após a criação bem-sucedida da passkey, verá este pop-up:

A Finom simplifica a experiência de login ao tornar as passkeys o método de autenticação padrão (passkey-first) assim que o endereço de e-mail do utilizador é inserido e o utilizador clica em Continuar (nenhum campo de palavra-passe é exibido por padrão). Esta abordagem direta melhora a experiência do utilizador, eliminando escolhas desnecessárias e despriorizando as palavras-passe. No entanto, a ausência de Conditional UI marca uma área potencial para melhorias futuras.

Ao cancelar o fluxo de login com passkey no pop-up da passkey, o utilizador recebe o seguinte aviso:

Se o utilizador decidir clicar em Tentar novamente, o fluxo de login com passkey recomeça e o pop-up de passkeys (por exemplo, Face ID, Touch ID, Windows Hello) surge, permitindo que o utilizador digitalize novamente a sua biometria.

Se o utilizador decidir clicar em Tentar de outra forma, é encaminhado para o antigo login com campos de e-mail e palavra-passe:

A Finom desaconselha vivamente o uso de dispositivos não privados ou de acesso público para autenticação com passkey (por exemplo, em bibliotecas públicas). O risco inerente a tais dispositivos reside na sua acessibilidade; qualquer pessoa que possa desbloquear o dispositivo (seja através de uma palavra-passe, bloqueio de ecrã ou dados biométricos como impressões digitais ou reconhecimento facial registados no dispositivo) tem o potencial de se autenticar como você e obter acesso à sua conta.

Abraçando a realidade multi-dispositivo dos utilizadores de hoje, a Finom suporta a autenticação entre dispositivos (transporte híbrido) usando a leitura de código QR e verificações de proximidade Bluetooth. Esta funcionalidade permite uma experiência de autenticação fluida entre diferentes dispositivos, facilitando um login contínuo a partir de uma passkey armazenada num dispositivo móvel ao tentar aceder à Finom a partir de um ambiente de desktop (veja também este artigo para mais detalhes sobre a autenticação entre dispositivos com passkeys).

A Finom introduziu funcionalidades intuitivas de gestão de passkeys que capacitam os utilizadores a personalizar e controlar os seus métodos de autenticação. Estas funcionalidades, incluindo a capacidade de renomear e remover passkeys, refletem uma profunda compreensão da necessidade de flexibilidade e segurança na gestão do acesso digital.

• Múltiplas Passkeys para Diferentes Dispositivos: A Finom recomenda a criação de múltiplas passkeys nos dispositivos dos utilizadores. Esta abordagem garante acesso ininterrupto aos serviços da Finom via passkeys, proporcionando uma experiência multi-dispositivo contínua.
• Prevenção Inteligente de Duplicados: Utilizando o parâmetro excludeCredentials nas PublicKeyCredentialCreationOptions, a Finom impede a criação de passkeys duplicadas no mesmo dispositivo. Esta medida não só aumenta a segurança, mas também simplifica a experiência do utilizador, garantindo que cada dispositivo tenha uma passkey única.
• Confirmação de Eliminação de Passkey Requer Autenticação com Passkey: Antes da remoção de uma passkey, os utilizadores são obrigados a autenticar a ação usando uma passkey. Esta camada adicional de segurança sublinha a importância que a Finom atribui à proteção do acesso do utilizador e garante que apenas o proprietário legítimo pode fazer tais alterações significativas.

Note que a lógica de deteção de ícones não é tão inteligente quanto parece à primeira vista. Eu armazenei as passkeys para o Google Password Manager no meu Android, no entanto, é exibido como Windows. O mesmo se aplica a autenticadores multiplataforma / roaming como as YubiKeys, que por natureza não estão ligados a um determinado sistema operativo.

Após a criação bem-sucedida de uma passkey, o utilizador receberá uma notificação por e-mail:

Caso o utilizador tenha de redefinir a sua palavra-passe, não só a ligação do dispositivo nativo iOS / Android é eliminada, mas também todas as suas passkeys são eliminadas. Para ser mais preciso, as chaves públicas das passkeys são eliminadas do lado do servidor, tornando impossível o login com passkeys (mesmo depois de restaurar a ligação do dispositivo). As chaves privadas da passkey residem no dispositivo, mas são inúteis para tentativas de login subsequentes.

A implementação de passkeys da Finom não é apenas sobre melhorar a segurança e a experiência do utilizador; é um movimento estratégico para reduzir custos com os sistemas tradicionais de SMS OTP e posicionar-se como uma fintech moderna e digital que está confiante para competir com bancos e instituições financeiras estabelecidas. O design atual do sistema é promissor, com espaço para expansão para suporte em aplicações nativas, implementação de Conditional UI e confirmações de transações via passkeys.

Ao afastar-se do SMS OTP — um método historicamente marcado por falhas de segurança — a Finom estabelece as bases para grandes benefícios na sua estratégia de autenticação e MFA. Esta transição não só mitiga os riscos associados ao SMS OTP, mas também se alinha com a missão da Finom de aproveitar tecnologia de ponta para proteger os dados do utilizador, melhorar a experiência do utilizador bancário e poupar custos substanciais com MFA via SMS OTP.

Durante os nossos testes, identificámos algumas áreas importantes para melhoria:

• Expandir o Suporte de Passkeys para Aplicações Nativas: Reconhecendo a ubiquidade do mobile banking, esperamos que a Finom em breve implemente o suporte de passkeys nas suas aplicações nativas para iOS e Android, o que também estaria de acordo com a sua estratégia mobile-first. Como utilizador, especialmente vindo de um dispositivo de desktop macOS, o login na aplicação iOS de um iPhone usando o mesmo iCloud Keychain conectado pode ser substancialmente simplificado em comparação com a experiência de login atual.
• Autenticação Apenas com Passkey: Com o tempo, também esperamos que a Finom promova as passkeys como o primeiro e único fator em dispositivos prontos para passkeys. Isto também inclui a criação de novas contas com passkeys como a única forma de autenticação (com algumas alternativas como backup).
• Implementação de Conditional UI: A introdução de Conditional UI seria outra grande otimização para a experiência do utilizador que tem demonstrado grande sucesso na adoção de passkeys noutros players.
• Usar Passkeys para Confirmação de Pagamento: Durante os nossos testes, também fizemos um pagamento de teste para verificar se a confirmação do pagamento também funciona com passkeys. No entanto, a Finom ainda usa notificações push de aplicações nativas e SMS OTP para confirmação (sendo este último um fator de custo substancial). Isto pode ser por razões regulamentares, mas esperamos que as passkeys possam ser empregadas aqui no futuro também.

Become part of our Passkeys Community for updates & support.

Join

Uma questão permanece sem resposta na estratégia de passkeys da Finom: Qual é a posição da Finom sobre a conformidade com PSD2 e SCA com passkeys? Esta questão geralmente não foi totalmente abordada, mas teria sido interessante saber mais sobre a perspetiva da Finom sobre este assunto. Para mais insights e reflexões sobre a conformidade das passkeys com a PSD2, consulte este post do blog.

A implementação de passkeys da Finom é um excelente exemplo para o setor bancário e de serviços financeiros, mostrando como as fintechs podem liderar na adoção de medidas de segurança avançadas que atendem às necessidades dos utilizadores modernos. Ao fornecer uma análise detalhada do sistema de passkeys da Finom, este post do blog visa ajudar outros programadores de software, gestores de produto e especialistas em segurança a aprender sobre a implementação de passkeys no setor financeiro e bancário.