O que é Autenticação sem senha (Passwordless authentication)?

O que é autenticação sem senha (passwordless authentication)?

A autenticação sem senha (passwordless authentication) é um método de autenticação que permite aos usuários acessar sistemas de computador sem digitar (ou lembrar) uma senha ou qualquer outro segredo baseado em conhecimento.

Por exemplo, quando você desbloqueia seu smartphone usando sua impressão digital ou reconhecimento facial, ou quando recebe um código único via SMS para acessar sua conta de e-mail - esses são métodos comuns de autenticação sem senha que usamos em nosso dia a dia.

Quais são os tipos de autenticação sem senha (passwordless authentication)?

Existem vários tipos comuns de autenticação sem senha que encontramos em nosso dia a dia:

Autenticação biométrica

A autenticação biométrica utiliza nossas características físicas únicas para verificação de identidade, principalmente através de escaneamento de impressões digitais, reconhecimento facial e escaneamento de íris. Encontramos esses métodos em situações cotidianas:

• Desbloquear seu iPhone com Face ID enquanto compra café
• Fazer login no aplicativo do banco com sua impressão digital
• Acessar instalações seguras usando escâneres de íris

Links mágicos (Magic links)

Links mágicos são links especiais de uso único enviados para seu e-mail, oferecendo uma experiência de autenticação sem complicações. Você os encontrará em muitos serviços populares:

• Clicar em um link “Entrar” do Slack no seu e-mail
• Opção “Entrar com e-mail” do Medium que envia um link de login
• Sistema de autenticação baseado em e-mail do Notion

Confira Link mágico (Magic link) para mais detalhes.

Códigos de uso único (OTP)

Códigos de uso único, geralmente entregues via SMS ou e-mail, representam um dos métodos sem senha mais difundidos:

• Receber um código de 6 dígitos para acessar sua conta do Google
• Obter um código de verificação para transações bancárias online
• Usar um aplicativo autenticador como o Google Authenticator

Confira Senha de uso único (OTP) para mais detalhes.

Passkeys

Passkeys são alternativas seguras baseadas em FIDO para senhas tradicionais que usam criptografia avançada para proteger suas contas contra ataques de phishing. Veja como funcionam:

• Único por serviço: Quando você se registra em um serviço, seu dispositivo cria uma passkey única vinculada ao domínio específico desse serviço
• Baseado em dispositivo: Passkeys são geralmente armazenadas em módulos de segurança de hardware, seja embutidos em seus dispositivos ou como chaves de segurança separadas
• Pares de chaves pública-privada: O dispositivo armazena com segurança a chave privada enquanto compartilha a chave pública com o serviço. Esses pares de chaves criptográficas são o que chamamos de passkeys
• Segurança de hardware: Muitas passkeys são protegidas por módulos de segurança de hardware dedicados, tornando-as extremamente difíceis de comprometer
• Sincronização entre dispositivos: Passkeys podem ser sincronizadas com segurança entre dispositivos usando armazenamento em nuvem (por exemplo, iCloud Keychain da Apple ou Google Password Manager)

Cenários comuns de uso:

• Usar uma chave de segurança USB para acessar seu laptop de trabalho
• Tocar seu telefone (como uma chave de segurança) para acessar sua conta do Google
• Conectar uma chave de segurança de hardware para acessar sistemas altamente seguros

Confira Chave de Acesso (Passkey) para mais detalhes.

Por que usar autenticação sem senha (passwordless authentication)?

Por décadas, senhas foram o método padrão para autenticação. Mesmo hoje, a maioria de nossas contas online ainda depende de senhas. No entanto, essa abordagem tradicional enfrenta desafios crescentes, fazendo-nos questionar: por que deveríamos usar autenticação sem senha?

Senhas não são seguras o suficiente

Quando uma empresa sofre uma violação de dados, milhões de senhas podem ser expostas de uma só vez. Os atacantes podem facilmente explorar essas senhas através de ferramentas automatizadas, especialmente porque muitos usuários reutilizam suas senhas em diferentes serviços. Por exemplo, se um atacante obtiver a senha de um usuário de um site de jogos comprometido, ele pode acessar a conta de e-mail ou bancária dessa pessoa usando as mesmas credenciais.

Confira este blog para saber Como suas senhas são quebradas? .

Senhas são difíceis de usar e gerenciar

Pense em gerenciar suas contas online: você tem dezenas de contas em diferentes sites e serviços, cada uma com seus próprios requisitos de senha. Mesmo se você tentar usar uma senha consistente, diferentes políticas de senha o forçam a adicionar caracteres especiais, números ou fazer outras variações. Um site exige pelo menos um caractere especial, outro não permite certos símbolos, e um terceiro exige um mínimo de 12 caracteres.

Quando você tenta fazer login, não consegue lembrar qual variação usou para este site em particular. Foi a com o ponto de exclamação no final? Ou a com o símbolo ”@”? Após várias tentativas fracassadas, você é bloqueado e tem que passar por mais um processo demorado de redefinição de senha.

Esse cenário frustrante se repete milhões de vezes diariamente em organizações, levando a constantes redefinições de senha, perda de tempo e redução da produtividade.

Autenticação sem senha (passwordless authentication) é mais segura do que senhas

Imagine, em vez disso, usar sua impressão digital ou reconhecimento facial para acessar todos os seus aplicativos de trabalho. Como esses fatores biométricos não podem ser roubados ou adivinhados como senhas, mesmo que um atacante viole o banco de dados da empresa, ele não pode usar essas informações para se passar por usuários. Além disso, métodos sem senha como chaves de segurança oferecem proteção contra ataques de phishing, pois verificam tanto a autenticidade do usuário quanto do site.

Autenticação sem senha (passwordless authentication) é amigável ao usuário

Com a autenticação sem senha, acessar suas contas se torna tão simples quanto desbloquear seu smartphone.

Por exemplo, quando você recebe uma notificação push no seu telefone para aprovar uma tentativa de login, você pode autenticar com apenas um toque ou um rápido olhar para o seu dispositivo. Essa experiência sem complicações elimina o fardo cognitivo de lembrar várias senhas enquanto mantém altos padrões de segurança.

Como funciona a autenticação sem senha (passwordless authentication)?

A autenticação geralmente depende de três tipos de fatores:

• Algo que o usuário sabe: como senhas ou PINs
• Algo que o usuário tem: como dispositivos físicos ou tokens
• Algo que o usuário é: como características biométricas.

A autenticação sem senha se afasta da abordagem tradicional de “algo que você sabe”, focando nos outros dois fatores.

Ao usar “algo que você tem”, o processo de autenticação geralmente começa com seu endereço de e-mail ou número de telefone. Imagine que você está acessando sua conta bancária - em vez de digitar uma senha, você pode receber um código de uso único via SMS ou e-mail. Ou talvez você tenha configurado um aplicativo de autenticação no seu telefone que gera esses códigos automaticamente. Alguns serviços até enviam notificações push para seu telefone, permitindo que você simplesmente toque em “Aprovar” para fazer login. Para necessidades de segurança mais altas, você pode usar uma chave de segurança física que se conecta ao seu dispositivo, semelhante a inserir uma chave digital.

A abordagem de “algo que você é” é ainda mais direta e provavelmente já é familiar para você. Quando você desbloqueia seu smartphone com sua impressão digital ou olhando para a tela para reconhecimento facial, você está usando autenticação biométrica. Alguns sistemas também usam reconhecimento de voz, onde falar uma frase específica pode verificar sua identidade. Esses fatores biométricos são únicos para você e são processados com segurança no seu dispositivo.

Qual é a diferença entre autenticação sem senha (passwordless authentication) e autenticação multifator (MFA)?

Autenticação sem senha (passwordless authentication) e Autenticação multifator (MFA) são às vezes mencionadas em contextos semelhantes. Portanto, é necessário definir esses dois termos separadamente e entender a diferença entre eles:

• A autenticação sem senha substitui a autenticação baseada em senha por outros fatores.
• MFA refere-se ao uso de dois ou mais fatores de autenticação para verificar a identidade de um usuário.

“Fatores” são seriamente os três diferentes tipos de informações de autorização que mencionamos anteriormente. Por exemplo, se um usuário usa apenas um endereço de e-mail + OTP durante a autenticação, este é um fator associado a “algo que o usuário tem”, e podemos considerar que a autenticação do usuário é sem senha.

Implementações comuns de MFA incluem o uso de um segundo fator de autenticação (sem senha) para aprimorar uma senha, mas o MFA também pode ser completamente sem senha. Por exemplo, um aplicativo pode usar uma impressão digital como o primeiro fator de autenticação e endereço de e-mail + OTP como o segundo fator de autenticação.

Qual é a diferença entre autenticação sem senha (passwordless) e SSO?

Single sign-on (SSO) (SSO) e autenticação sem senha (passwordless authentication) são dois conceitos distintos em gerenciamento de identidade:

• SSO é sobre centralizar a autenticação do usuário, permitindo que os usuários acessem vários aplicativos com um único login
• A autenticação sem senha foca em como os usuários provam sua identidade sem usar senhas

Embora sirvam a propósitos diferentes, eles podem trabalhar juntos.

Por exemplo, um sistema SSO pode usar métodos sem senha (como biometria ou chaves de segurança) para autenticação. Essa combinação fornece tanto a conveniência do single sign-on quanto os benefícios de segurança da autenticação sem senha.

Veja também

• Autenticação (Authentication, AuthN)
• Autenticação multifator (MFA)
• Single sign-on (SSO)
• Link mágico (Magic link)
• Senha de uso único (OTP)
• Chave de Acesso (Passkey)