Provedores de Chaves de Acesso: Diferentes Tipos, AAGUID e Adoção

Cheatsheet de Passkeys. Guias práticos, padrões de implementação e KPIs para programas de passkeys.

Obter cheat sheet

Ao usar chaves de acesso ou trabalhar no campo de implementação de chaves de acesso, um componente se torna bastante importante: o provedor de chaves de acesso. No entanto, embora seja uma parte crucial no ecossistema de chaves de acesso, muitas pessoas têm apenas um entendimento superficial dos provedores de chaves de acesso ou não sabem a diferença entre um provedor de chaves de acesso first-party, um provedor de chaves de acesso third-party e um provedor de autenticação de chaves de acesso.

Receba uma avaliação gratuita de passkeys em 15 minutos.

Agendar consultoria gratuita

Este artigo tem como objetivo esclarecer esse assunto. Quer seja um desenvolvedor de software, um gerente de produto ou simplesmente curioso sobre as novidades em segurança na web, entender o papel e os tipos de provedores de chaves de acesso é essencial. Ao desmistificar este tópico, buscamos capacitar as pessoas com o conhecimento necessário para entender as chaves de acesso com confiança.

Um provedor de chaves de acesso desempenha um papel fundamental no ecossistema de autenticação baseada em chaves de acesso, atuando como a ponte entre os dispositivos dos usuários e o acesso seguro e contínuo a partes confiáveis (serviços online). Mas o que exatamente é um provedor de chaves de acesso, especialmente porque não há uma definição oficial e encontrará interpretações diferentes online?

A definição a seguir reflete nosso entendimento e não afirma ser a única definição precisa.

Um provedor de chaves de acesso é essencialmente qualquer entidade que permita a criação, o gerenciamento e o uso de chaves de acesso. Por meio de nossa pesquisa, identificamos duas categorias principais sob as quais os provedores de chaves de acesso podem ser classificados: provedores de chaves de acesso first- / third-party e provedores de autenticação de chaves de acesso.

Esta categoria inclui entidades capazes de gerar uma chave de acesso no lado do cliente (no dispositivo do usuário). Quando uma chave de acesso é criada por meio dessas plataformas, ela é gerenciada e armazenada com segurança, frequentemente na nuvem do fabricante do sistema operacional (por exemplo, iCloud Keychain, Google Password Manager) ou em um gerenciador de senhas de terceiros (por exemplo, KeePassXC, 1Password, Dashlane – veja mais abaixo).

Sistemas operacionais que permitem a criação e o gerenciamento de chaves de acesso nativamente são considerados provedores de chaves de acesso first-party. Em contraste, os gerenciadores de senhas de terceiros que se integram à plataforma por meio de APIs são chamados de provedores de chaves de acesso third-party.

Um provedor de chaves de acesso first-party ou third-party possui o mesmo Authenticator Attestation Globally Unique Identifiers (AAGUIDs), o que ajuda a melhorar a experiência do usuário (por exemplo, nas configurações de conta para distinguir as chaves de acesso mais facilmente). Às vezes, eles podem ter vários AAGUIDs, que pertencem todos ao mesmo provedor de chaves de acesso first- ou third-party.

Provedores de chaves de acesso em um dispositivo iOS 17.4

Provedores de chaves de acesso em um dispositivo Android 14

API Credential Manager do Android

A segunda categoria abrange os provedores de autenticação que os desenvolvedores podem integrar a seus aplicativos para lidar com todos os aspectos do gerenciamento de chaves de acesso. Assim, esses são os provedores que trabalham mais no lado do servidor (em oposição ao lado do cliente, mencionado acima). Esta definição também incluiria soluções como a Corbado, que oferecem soluções de autenticação centradas em chaves de acesso para sites e aplicativos. Consequentemente, esses provedores de chaves de acesso deveriam ser descritos mais precisamente como provedores de autenticação de chaves de acesso, diferenciando-os dos provedores de chaves de acesso first- e third-party mencionados acima.

Nas seções seguintes deste artigo, usaremos o termo "provedores de chaves de acesso" para nos referirmos aos provedores first e third-party, de acordo com nossa definição.

À medida que os usuários começam a adotar chaves de acesso para várias partes confiáveis, o gerenciamento eficaz surge como um desafio significativo. Isso também se aplica a usuários que utilizam várias chaves de acesso para uma única conta, já que diferenciar essas chaves para fins de edição ou exclusão pode ser complexo para uma parte confiável. Apesar da conveniência e segurança que as chaves de acesso oferecem, há um possível problema se um usuário perder uma de suas chaves de acesso. Felizmente, eles ainda podem acessar sua conta na parte confiável usando chaves de acesso alternativas. Para auxiliar os usuários na identificação de chaves específicas, alguns recursos sugerem adicionar metadados, como datas de criação e do último uso, a uma chave de acesso nas configurações de conta. Além disso, recomenda-se a utilização de user agents ou client hints para nomear e categorizar automaticamente as chaves de acesso no momento de sua criação. No entanto, aplicativos nativos para Android ou iOS, assim como provedores de chaves de acesso third-party, podem não usar user agents, ou não adicionam informações indicando que uma chave de acesso foi gerada por um provedor third-party. Esta limitação destaca a necessidade de métodos melhores para ajudar os usuários a gerenciar suas chaves de acesso de forma eficiente, independentemente da plataforma ou do provedor.

Retirado da especificação WebAuthn do W3C

Para facilitar esse gerenciamento de chaves de acesso, os desenvolvedores podem usar o Authenticator Attestation Globally Unique Identifier (AAGUID). O AAGUID é um identificador exclusivo atribuído ao modelo do autenticador, não à sua instância específica. Ele é incorporado aos dados do autenticador da credencial de chave pública, oferecendo uma forma para que partes confiáveis identifiquem o provedor de chaves de acesso. Esse recurso é fundamental para ajudar os usuários e partes confiáveis a navegarem no cenário das chaves de acesso, garantindo que cada chave possa ser associada com precisão à sua fonte de criação.

Por exemplo, se uma chave de acesso é criada usando o Google Password Manager em um dispositivo Android, a parte confiável pode receber um AAGUID específico para o Google Password Manager. Ao fazer referência a esse AAGUID, a parte confiável pode, então, marcar a chave de acesso de acordo, simplificando o gerenciamento e a identificação pelo usuário. Além disso, partes confiáveis podem evitar a criação de várias chaves de acesso para o mesmo provedor, usando a opção de servidor WebAuthn excludeCredentials. Isso melhora ainda mais a UX das chaves de acesso, já que cada provedor terá apenas uma chave, evitando a confusão do usuário.

{
    "attestation": "none",
    "authenticatorSelection": {
        "residentKey": "preferred",
        "userVerification": "preferred"
    },
    "challenge": "6V61d0VM5bNTPxWSsrv7YKz0o4awe0ryoDh1V44RPRn6-mBQwv98BTRws6nMrBhEggGn7-tk1bl3YNSwc0oZpA",
    "excludeCredentials": [
        {
            "id": "1kBn2dmhv5JhuFxqeco1khCBCUBLlWYqZmFtdDujH5pM",
            "transports": ["internal"],
            "type": "public-key"
        }
    ],
    "extensions": {
        "credProps": true
    },
    "pubKeyCredParams": [
        {
            "alg": -7,
            "type": "public-key"
        },
        {
            "alg": -257,
            "type": "public-key"
        }
    ],
    "rp": {
        "id": "Passkey Demo",
        "name": "passkeys.eu"
    },
    "user": {
        "displayName": "Test Name",
        "id": "ZG1sdVkyVnxe3SFJsYzNR",
        "name": "Test Name"
    }
}

Para determinar o provedor de chaves de acesso usando um AAGUID, as partes confiáveis podem consultar um repositório colaborativo de AAGUIDs. Esse repositório fornece os mapeamentos necessários para identificar o provedor de chaves de acesso por nome e, possivelmente, por ícone, o que ajuda a oferecer uma interface de usuário mais intuitiva para o gerenciamento de chaves de acesso. No entanto, é importante observar que alguns provedores de chaves de acesso podem usar um AAGUID genérico ("00000000-0000-0000-0000-0000000000000") de forma intencional, representando um provedor desconhecido ou genérico.

Recuperar o AAGUID é simples com a maioria das bibliotecas WebAuthn. Por exemplo, ao usar o SimpleWebAuthn no lado do servidor, os desenvolvedores podem extrair o AAGUID das informações de registro para correspondê-lo a um provedor conhecido, aprimorando a capacidade do usuário de gerenciar as suas chaves com maior facilidade (retirado do artigo do Google "Determine the passkey provider with AAGUID").

// Import a list of AAGUIDs from a JSON file
import aaguids from "./aaguids.json" with { type: "json" };
// ...
// Use SimpleWebAuthn handy function to verify the registration request.
const { verified, registrationInfo } = await verifyRegistrationResponse({
    response: credential,
    expectedChallenge,
    expectedOrigin,
    expectedRPID,
    requireUserVerification: false,
});
// ...
const { aaguid } = registrationInfo;
const provider_name = aaguids[aaguid]?.name || "Unknown";

Embora os AAGUIDs ofereçam uma ferramenta poderosa para o gerenciamento de chaves de acesso, eles devem ser usados com cautela. A integridade de um AAGUID depende do processo de atestado (attestation), que valida a autenticidade do provedor de chaves de acesso. Sem uma assinatura de atestado válida, os AAGUIDs poderiam ser manipulados. A partir de março de 2024, vale ressaltar que as chaves de acesso em algumas plataformas não suportam atestados, evidenciando a necessidade de consideração cuidadosa em seu uso.

Abaixo, encontra-se uma lista não exaustiva de provedores de chaves de acesso first- e third-party para aplicativos Android, iOS e da web usando versões muito comuns de sistemas operacionais e navegadores compatíveis com chaves de acesso:

Abaixo, encontram-se alguns pop-ups de provedores de chaves de acesso third-party para criar / salvar uma chave de acesso:

Veja a análise completa do 1Password aqui.

Veja a análise completa do Dashlane aqui.

Veja a análise completa do KeePassXC aqui.

Essencial à implantação e ao gerenciamento de chaves de acesso é o papel dos provedores de chaves de acesso, entidades que não apenas facilitam a criação e o gerenciamento das chaves de acesso, mas também garantem a sua integração contínua em várias plataformas e dispositivos.

O objetivo deste artigo foi compreender o que é um provedor de chaves de acesso, incluindo a distinção entre provedores first-party e third-party, bem como o papel essencial do Authenticator Attestation Globally Unique Identifier (AAGUID). O uso de AAGUIDs, conforme discutido, oferece uma solução promissora, permitindo uma identificação e um gerenciamento mais simples de chaves de acesso.

Além disso, analisamos quais provedores de chaves de acesso first- e third-party existem atualmente para Android, iOS e Windows, ajudando os usuários também a encontrar um provedor third-party adequado ou o seu dispositivo de escolha.

Para desenvolvedores e gerentes de produtos, os insights sobre provedores de chaves de acesso e seu gerenciamento não apenas orientam a implementação técnica da autenticação com chave de acesso, mas também se alinham com o objetivo mais amplo de melhorar a experiência e a segurança do usuário.

Sobre a Corbado

Corbado é a Passkey Intelligence Platform para times de CIAM que rodam autenticação consumer em escala. Mostramos o que logs de IDP e ferramentas genéricas de analytics não enxergam: quais dispositivos, versões de SO, navegadores e gerenciadores de credenciais suportam passkeys, por que os registros não viram logins, onde o fluxo WebAuthn falha e quando uma atualização de SO ou navegador quebra silenciosamente o login — tudo sem substituir Okta, Auth0, Ping, Cognito ou seu IDP interno. Dois produtos: Corbado Observe adiciona observabilidade para passkeys e qualquer outro método de login. Corbado Connect entrega passkeys gerenciados com analytics integrado (junto ao seu IDP). VicRoads roda passkeys para mais de 5M de usuários com Corbado (+80% de ativação de passkey). Fale com um especialista em Passkeys →