O que é passwordless?
Na linguagem comum, “passwordless” é uma abreviação para “autenticação sem senha (passwordless authentication)”.
As informações que os usuários podem fornecer para autenticação podem ser categorizadas principalmente em três tipos:
- Algo que o usuário sabe, como senhas, perguntas e respostas de recuperação de senha (geralmente baseadas em experiências pessoais passadas).
- Algo que o usuário possui, como um telefone celular, Senha de uso único (OTP) , ou token de hardware.
- Algo que o usuário é, como impressões digitais, reconhecimento facial e outros identificadores biométricos.
A autenticação sem senha (passwordless authentication) é um método de autenticação que permite aos usuários fazer login em sistemas de computador sem inserir (ou lembrar) uma senha ou qualquer outro segredo baseado em conhecimento. Nas implementações mais comuns, os usuários precisam inserir seu identificador de usuário (nome de usuário, endereço de e-mail, número de telefone, etc.) e, em seguida, completar o processo de autenticação fornecendo uma prova segura de identidade por outros meios.
Por que usar autenticação sem senha (passwordless authentication)?
Embora o uso de senhas esteja gradualmente diminuindo, elas ainda são amplamente utilizadas em todo o mundo. A principal razão é que sistemas baseados em senhas são os mais fáceis e baratos de implementar.
Além disso, senhas são a principal causa de violações de dados. Para torná-las mais fáceis de lembrar, muitas pessoas usam padrões fixos em suas senhas, como usar datas de nascimento ou combinações de letras de um teclado numérico para senhas puramente numéricas. Isso torna a quebra de senhas muito mais fácil. Na realidade, muitas pessoas, sem saber, usam a mesma senha em várias plataformas, aumentando ainda mais o risco de comprometimento da senha.
Por último, mas não menos importante, senhas são um incômodo para os usuários: são difíceis de lembrar e complicadas de gerenciar. Para evitar usar uma senha unificada em todos os cenários, os usuários precisam de ferramentas dedicadas para registrar várias senhas. Além disso, como as senhas são usadas em diferentes lugares, pode ser necessário consultá-las constantemente. Isso representa um inconveniente significativo para o uso de senhas.
Por outro lado, tecnologias sem senha (passwordless) como biometria ou OTP são altamente convenientes e fáceis de usar. Idealmente, os usuários poderiam autenticar instantaneamente com suas biometrias a qualquer hora, em qualquer lugar. No mundo de hoje, onde os telefones celulares são indispensáveis, toda verificação relacionada a “algo que o usuário possui” pode geralmente ser feita através do telefone.
Qual é a diferença entre autenticação sem senha (passwordless authentication) e autenticação multifator (MFA)?
A autenticação sem senha (passwordless authentication) e Autenticação multifator (MFA) são às vezes mencionadas em contextos semelhantes. Portanto, é necessário definir esses dois termos separadamente e entender a diferença entre eles:
- A autenticação sem senha (passwordless authentication) substitui a autenticação baseada em senha por outros fatores.
- MFA refere-se ao uso de dois ou mais fatores de autenticação para verificar a identidade de um usuário.
“Fatores” são seriamente os três diferentes tipos de informações de autorização que mencionamos anteriormente. Por exemplo, se um usuário usa apenas um endereço de e-mail + OTP durante a autenticação, este é um fator associado a “algo que o usuário possui”, e podemos considerar que a autenticação do usuário é sem senha.
Implementações comuns de MFA incluem o uso de um segundo fator de autenticação (sem senha) para reforçar uma senha, mas o MFA também pode ser completamente sem senha. Por exemplo, um aplicativo poderia usar uma impressão digital como o primeiro fator de autenticação e endereço de e-mail + OTP como o segundo fator de autenticação.
Qual é a diferença entre passwordless e SSO?
Com base na definição anterior de passwordless, Single sign-on (SSO) é um tipo de método sem senha (passwordless) (o usuário possui/tem uma conta para o provedor de SSO).
Além disso, as contas de provedores de SSO geralmente têm alta segurança. Além de nomes de usuário e senhas, na maioria dos casos é necessário MFA obrigatório para garantir que os usuários tenham controle total da conta. O MFA frequentemente envolve o uso de verificação de fator sem senha (passwordless), incluindo, mas não se limitando a, passkeys, OTPs e impressões digitais.