O que é a autenticação sem senha (passwordless authentication)?
A autenticação sem senha (passwordless authentication) é um método de autenticação que permite aos utilizadores aceder a sistemas informáticos sem introduzir (ou lembrar) uma senha ou qualquer outro segredo baseado em conhecimento.
Por exemplo, quando desbloqueias o teu smartphone usando a tua impressão digital ou reconhecimento facial, ou quando recebes um código único via SMS para aceder à tua conta de email - estes são todos métodos comuns de autenticação sem senha que usamos nas nossas vidas diárias.
Quais são os tipos de autenticação sem senha (passwordless authentication)?
Existem vários tipos comuns de autenticação sem senha que encontramos nas nossas vidas diárias:
Autenticação biométrica
A autenticação biométrica utiliza as nossas características físicas únicas para verificação de identidade, principalmente através da digitalização de impressões digitais, reconhecimento facial e digitalização da íris. Encontramos estas situações no dia a dia:
- Desbloquear o teu iPhone com Face ID enquanto compras café
- Aceder à tua aplicação bancária com a tua impressão digital
- Aceder a instalações seguras usando scanners de íris
Links mágicos (Magic links)
Links mágicos são links especiais de uso único entregues ao teu email, oferecendo uma experiência de autenticação sem interrupções. Encontrá-los-ás em muitos serviços populares:
- Clicar num link “Sign in” do Slack no teu email
- A opção “Sign in with email” do Medium que te envia um link de login
- O sistema de autenticação baseado em email do Notion
Consulta Link mágico (Magic link) para mais detalhes.
Códigos de uso único (OTP)
Códigos de uso único, normalmente entregues via SMS ou email, representam um dos métodos sem senha mais difundidos:
- Receber um código de 6 dígitos para aceder à tua conta Google
- Obter um código de verificação para transações bancárias online
- Usar uma aplicação autenticadora como o Google Authenticator
Consulta Palavra-passe única (OTP) para mais detalhes.
Chaves de acesso (Passkeys)
Chaves de acesso são alternativas seguras baseadas em FIDO às senhas tradicionais que usam criptografia avançada para proteger as tuas contas de ataques de phishing. Eis como funcionam:
- Única por serviço: Quando te registas num serviço, o teu dispositivo cria uma chave de acesso única ligada ao domínio específico desse serviço
- Baseada em dispositivo: As chaves de acesso são tipicamente armazenadas em módulos de segurança de hardware, quer integrados nos teus dispositivos ou como chaves de segurança separadas
- Pares de chaves pública-privada: O dispositivo armazena com segurança a chave privada enquanto partilha a chave pública com o serviço. Estes pares de chaves criptográficas são o que chamamos de chaves de acesso
- Segurança de hardware: Muitas chaves de acesso são protegidas por módulos de segurança de hardware dedicados, tornando-as extremamente difíceis de comprometer
- Sincronização entre dispositivos: As chaves de acesso podem ser sincronizadas com segurança entre dispositivos usando armazenamento em nuvem (por exemplo, o iCloud Keychain da Apple ou o Google Password Manager)
Cenários comuns de uso:
- Usar uma chave de segurança USB para aceder ao teu portátil de trabalho
- Tocar no teu telefone (como uma chave de segurança) para aceder à tua conta Google
- Conectar uma chave de segurança de hardware para aceder a sistemas altamente seguros
Consulta Chave de Acesso (Passkey) para mais detalhes.
Por que usar a autenticação sem senha (passwordless authentication)?
Durante décadas, as senhas foram o método padrão para autenticação. Mesmo hoje, a maioria das nossas contas online ainda depende de senhas. No entanto, esta abordagem tradicional enfrenta desafios crescentes, fazendo-nos questionar: por que deveríamos usar a autenticação sem senha?
As senhas não são seguras o suficiente
Quando uma empresa sofre uma violação de dados, milhões de senhas podem ser expostas de uma só vez. Os atacantes podem facilmente explorar estas senhas através de ferramentas automatizadas, especialmente porque muitos utilizadores reutilizam as suas senhas em diferentes serviços. Por exemplo, se um atacante obtiver a senha de um utilizador de um site de jogos comprometido, ele pode ganhar acesso à conta de email ou bancária dessa pessoa usando as mesmas credenciais.
Consulta este blog para saber Como são quebradas as tuas senhas? .
As senhas são difíceis de usar e gerir
Pensa em gerir as tuas contas online: tens dezenas de contas em diferentes sites e serviços, cada uma com os seus próprios requisitos de senha. Mesmo que tentes usar uma senha consistente, diferentes políticas de senha forçam-te a adicionar caracteres especiais, números ou fazer outras variações. Um site requer pelo menos um caractere especial, outro não permite certos símbolos, e um terceiro exige um mínimo de 12 caracteres.
Quando tentas fazer login, não consegues lembrar qual variação usaste para este site em particular. Foi a que tinha o ponto de exclamação no final? Ou a que tinha o símbolo ”@”? Após várias tentativas falhadas, ficas bloqueado e tens de passar por mais um processo demorado de redefinição de senha.
Este cenário frustrante repete-se milhões de vezes diariamente em organizações, levando a constantes redefinições de senha, tempo desperdiçado e produtividade reduzida.
A autenticação sem senha (passwordless authentication) é mais segura do que senhas
Imagina, em vez disso, usar a tua impressão digital ou reconhecimento facial para aceder a todas as tuas aplicações de trabalho. Como estes fatores biométricos não podem ser roubados ou adivinhados como senhas, mesmo que um atacante viole a base de dados da empresa, ele não pode usar esta informação para se fazer passar pelos utilizadores. Além disso, métodos sem senha como chaves de segurança oferecem proteção contra ataques de phishing, pois verificam tanto a autenticidade do utilizador quanto do site.
A autenticação sem senha (passwordless authentication) é amigável para o utilizador
Com a autenticação sem senha, aceder às tuas contas torna-se tão simples quanto desbloquear o teu smartphone.
Por exemplo, quando recebes uma notificação push no teu telefone para aprovar uma tentativa de login, podes autenticar-te com apenas um toque ou um rápido olhar para o teu dispositivo. Esta experiência sem interrupções elimina o fardo cognitivo de lembrar múltiplas senhas enquanto mantém altos padrões de segurança.
Como funciona a autenticação sem senha (passwordless authentication)?
A autenticação geralmente depende de três tipos de fatores:
- Algo que o utilizador sabe: como senhas ou PINs
- Algo que o utilizador tem: como dispositivos físicos ou tokens
- Algo que o utilizador é: como características biométricas.
A autenticação sem senha afasta-se da abordagem tradicional de “algo que sabes”, focando-se nos outros dois fatores.
Ao usar “algo que tens”, o processo de autenticação normalmente começa com o teu endereço de email ou número de telefone. Imagina que estás a aceder à tua conta bancária - em vez de digitar uma senha, podes receber um código de uso único via SMS ou email. Ou talvez tenhas configurado uma aplicação de autenticação no teu telefone que gera estes códigos automaticamente. Alguns serviços até enviam notificações push para o teu telefone, permitindo-te simplesmente tocar em “Aprovar” para fazer login. Para necessidades de segurança mais elevadas, podes usar uma chave de segurança física que se conecta ao teu dispositivo, semelhante a inserir uma chave digital.
A abordagem de “algo que és” é ainda mais direta e provavelmente já te é familiar. Quando desbloqueias o teu smartphone com a tua impressão digital ou olhando para o ecrã para reconhecimento facial, estás a usar autenticação biométrica. Alguns sistemas também usam reconhecimento de voz, onde falar uma frase específica pode verificar a tua identidade. Estes fatores biométricos são únicos para ti e são processados de forma segura no teu dispositivo.
Qual é a diferença entre autenticação sem senha (passwordless authentication) e autenticação multifator (MFA)?
A autenticação sem senha (passwordless authentication) e Autenticação multi-fator (MFA) são por vezes mencionadas em contextos semelhantes. Portanto, é necessário definir estes dois termos separadamente e entender a diferença entre eles:
- A autenticação sem senha substitui a autenticação baseada em senha por outros fatores.
- MFA refere-se ao uso de dois ou mais fatores de autenticação para verificar a identidade de um utilizador.
“Fatores” são seriamente os três diferentes tipos de informação de autorização que mencionámos anteriormente. Por exemplo, se um utilizador usa apenas um endereço de email + OTP durante a autenticação, este é um fator associado a “algo que o utilizador tem”, e podemos considerar que a autenticação do utilizador é sem senha.
Implementações comuns de MFA incluem o uso de um segundo fator de autenticação (sem senha) para melhorar uma senha, mas o MFA também pode ser completamente sem senha. Por exemplo, uma aplicação poderia usar uma impressão digital como o primeiro fator de autenticação e endereço de email + OTP como o segundo fator de autenticação.
Qual é a diferença entre autenticação sem senha (passwordless) e SSO?
Início de sessão único (SSO) (SSO) e autenticação sem senha são dois conceitos distintos na gestão de identidade:
- SSO é sobre centralizar a autenticação do utilizador, permitindo que os utilizadores acedam a múltiplas aplicações com um único login
- A autenticação sem senha foca-se em como os utilizadores provam a sua identidade sem usar senhas
Embora sirvam a propósitos diferentes, podem trabalhar juntos.
Por exemplo, um sistema SSO pode usar métodos sem senha (como biometria ou chaves de segurança) para autenticação. Esta combinação fornece tanto a conveniência do single sign-on quanto os benefícios de segurança da autenticação sem senha.