O que é passwordless (passwordless)?
Na linguagem comum, “passwordless” é uma abreviação para “autenticação sem senha (passwordless authentication)”.
A informação que os utilizadores podem fornecer para autenticação pode ser principalmente categorizada em três tipos:
- Algo que o utilizador sabe, como palavras-passe, perguntas e respostas de recuperação de senha (frequentemente baseadas em experiências pessoais passadas).
- Algo que o utilizador possui, como um telemóvel, Palavra-passe única (OTP) , ou token de hardware.
- Algo que o utilizador é, como impressões digitais, reconhecimento facial e outros identificadores biométricos.
A autenticação sem senha (passwordless authentication) é um método de autenticação que permite aos utilizadores aceder a sistemas informáticos sem introduzir (ou lembrar) uma palavra-passe ou qualquer outro segredo baseado em conhecimento. Nas implementações mais comuns, os utilizadores precisam introduzir o seu identificador de utilizador (nome de utilizador, endereço de email, número de telefone, etc.) e depois completar o processo de autenticação fornecendo uma prova segura de identidade através de outros meios.
Por que usar autenticação sem senha (passwordless authentication)?
Embora o uso de palavras-passe esteja a diminuir gradualmente, elas ainda são amplamente utilizadas em todo o mundo. A principal razão é que os sistemas baseados em palavras-passe são os mais fáceis e baratos de implementar.
Além disso, as palavras-passe são a principal causa de violações de dados. Para torná-las mais fáceis de lembrar, muitas pessoas usam padrões fixos nas suas palavras-passe, como usar datas de nascimento ou combinações de letras de um teclado numérico para palavras-passe puramente numéricas. Isso torna a quebra de palavras-passe muito mais fácil. Na realidade, muitas pessoas usam inconscientemente a mesma palavra-passe em várias plataformas, aumentando ainda mais o risco de comprometimento da palavra-passe.
Por último, mas não menos importante, as palavras-passe são um incómodo para os utilizadores: são difíceis de lembrar e complicadas de gerir. Para evitar usar uma palavra-passe unificada em todos os cenários, os utilizadores precisam de ferramentas dedicadas para registar várias palavras-passe. Além disso, como as palavras-passe são usadas em diferentes locais, podem precisar ser constantemente consultadas. Isso representa um inconveniente significativo para o uso de palavras-passe.
Por outro lado, tecnologias sem senha (passwordless) como biometria ou OTP são altamente convenientes e fáceis de usar. Idealmente, os utilizadores poderiam autenticar-se instantaneamente com a sua biometria a qualquer momento e em qualquer lugar. No mundo de hoje, onde os telemóveis são indispensáveis, toda a verificação relacionada a “algo que o utilizador possui” pode geralmente ser feita através do telefone.
Qual é a diferença entre autenticação sem senha (passwordless authentication) e autenticação multifator (MFA)?
A autenticação sem senha (passwordless authentication) e Autenticação multi-fator (MFA) são por vezes mencionadas em contextos semelhantes. Portanto, é necessário definir estes dois termos separadamente e entender a diferença entre eles:
- A autenticação sem senha (passwordless authentication) substitui a autenticação baseada em senha por outros fatores.
- MFA refere-se ao uso de dois ou mais fatores de autenticação para verificar a identidade de um utilizador.
“Fatores” são seriamente os três diferentes tipos de informação de autorização que mencionámos anteriormente. Por exemplo, se um utilizador usa apenas um endereço de email + OTP durante a autenticação, este é um fator associado a “algo que o utilizador possui”, e podemos considerar que a autenticação do utilizador é sem senha (passwordless).
Implementações comuns de MFA incluem o uso de um segundo fator de autenticação (sem senha) para reforçar uma senha, mas o MFA também pode ser completamente sem senha. Por exemplo, uma aplicação poderia usar uma impressão digital como o primeiro fator de autenticação e endereço de email + OTP como o segundo fator de autenticação.
Qual é a diferença entre passwordless (passwordless) e SSO?
Com base na definição anterior de passwordless (passwordless), Início de sessão único (SSO) é um tipo de método sem senha (passwordless) (os utilizadores têm/possuem uma conta para o fornecedor de SSO).
Além disso, as contas de fornecedores de SSO geralmente têm alta segurança. Além de nomes de utilizador e palavras-passe, na maioria dos casos é necessário MFA obrigatório para garantir que os utilizadores tenham controlo total da conta. O MFA frequentemente envolve o uso de verificação de fator sem senha (passwordless), incluindo, mas não se limitando a passkeys, OTPs e impressões digitais.