Skip to main content

Autenticação sem Senha é Possível e é Segura

By 21 de março de 2023novembro 7th, 2023Gestão de Identidade, Segurança da Informação

Artigo Autenticação sem Senha é Possível e é Segura

O que é Autenticação sem Senha

Autenticação sem senha (ou passwordless, em inglês) é uma forma de autenticação de usuários que não requer que o usuário insira uma senha para acessar sua conta em um sistema ou dispositivo.

Em vez de utilizar uma senha, a autenticação sem senha (passwordless) utiliza outros fatores de verificação, como chaves criptográficas, biometria ou token gerado por aplicativo para garantir a autenticidade de quem está acessando o sistema.

Informações importantes sobre o uso de Senha

O uso de senhas é uma das principais vulnerabilidades de segurança no acesso aos sistemas e, além disso, é uma das maiores dores dos usuários, pois a quantidade de senhas só aumenta. Hoje precisamos de senha para usar os sistemas da empresa na qual trabalhamos, para acessar o banco, para acessar as redes sociais e os mais diversos tipos de sistemas em nuvem, do tradicional e-mail a sistemas tão específicos quanto planos de saúde, associações profissionais, contas nos sistemas do governo e investimentos.

Nesse contexto, a autenticação sem senhas surge para oferecer uma alternativa segura e mais simples para os usuários, eliminando a necessidade de memorizar e digitar tantas senhas.

Como Funciona a Autenticação sem Senha

Hoje, existem alternativas diferentes para o emprego da autenticação sem senha, variando os fatores de autenticação e o nível de segurança da solução.

A forma mais simples é aquela em que o usuário se identifica, tipicamente digitando seu endereço de e-mail ou CPF, e pede para receber um token no seu endereço de e-mail. No entanto, esta forma de autenticação não conta com alto nível de segurança, pois basta a conta de e-mail da pessoa ser comprometida para que seja possível a um criminoso violar as contas que fazem a autenticação desta forma. O uso deste tipo de autenticação sem senha deve ser limitado a serviços que permitem somente o acesso a informações não sensíveis, como lojas online, blogs, periódicos e serviços similares. Nunca deve ser usado como forma de autenticação para transações, como assinaturas, compras, pagamentos ou movimentações financeiras.

As formas seguras de autenticação sem senha devem empregar, no mínimo, outros dois fatores de autenticação e, com a adoção massiva dos smartphones, as pessoas hoje possuem um computador potente nas suas mãos, que pode ser usado para dar a segurança necessária à autenticação sem senha.

Uma das formas seguras de empregar autenticação sem senha é utilizar os mecanismos de segurança já existentes no aparelho celular para que ele se transforme em um dispositivo autenticador. Assim, é possível combinar dois fatores de autenticação de forma simples:

  • Biometria: uso da biometria nativa do aparelho celular, que pode ser reconhecimento facial ou reconhecimento de impressão digital.
  • Chaves criptográficas: uso de chaves criptográficas para garantir tanto a autenticidade do aparelho quanto a proteção dos dados enviados e recebidos entre o aparelho e o sistema no qual a conta está sendo autenticada.

Aplicativo para Eliminar Senha

Por meio da instalação de um aplicativo autenticador no aparelho celular do usuário, a autenticação sem senha então pode ser utilizada. A e-trust, por exemplo, em seu aplicativo matasenha, utiliza os fatores acima para garantir a segurança da autenticação dos usuários de seu sistema de Cloud Single Sign-On

O funcionamento para o usuário é muito simples e funciona desta forma:

  1. No primeiro acesso, ou num acesso eventual ao sistema, o usuário pode ativar a funcionalidade da autenticação sem senha. Ou, também, ela pode ser ativada pelo administrador do sistema e ser exigida do usuário.
  2. O usuário faz o download do aplicativo autenticador e efetua o cadastro enquanto está com uma sessão aberta (logado) no sistema.
  3. Em um próximo acesso ao sistema:
    1. O usuário vai apenas se identificar, tipicamente, digitando o seu endereço de e-mail ou CPF.
    2. O usuário vai receber uma solicitação no celular para autorizar o acesso.

Assim, pela simples autorização na tela do celular, o acesso ao sistema será efetuado, com a segurança de dois fatores de autenticação diferentes da senha.

Qual a diferença entre Autenticação sem Senha e Segundo Fator de Autenticação (2FA/MFA)

Embora a autenticação sem senha empregue diferentes fatores de autenticação, ela é diferente do uso de 2FA/MFA.

O uso de 2FA/MFA é feito para aumentar a segurança da autenticação com senhas, exigindo um ou mais fatores adicionais de autenticação. Por exemplo, exige-se a senha e um token enviado por SMS; exige-se a senha e um token gerado por um aplicativo ou ainda exige-se a senha e um token enviado por e-mail.

A autenticação sem senha existe para prover autenticação multi-fator sem a necessidade de exigir a senha, pois os fatores já estão integrados, no nosso exemplo,  dentro do aplicativo do celular.

A autenticação sem senha elimina a senha?

Do ponto de vista do usuário e para efeitos práticos , a autenticação sem senha elimina a senha no uso normal do sistema.

No entanto, o sistema pode ainda manter a alternativa do acesso com senha e 2FA/MFA para situações em que o usuário está sem o seu aparelho celular.

E quais são as principais vantagens da Autenticação sem Senha?

Entre as principais vantagens podemos destacar:

  1. Simplificar a vida do usuário (UX), acabando com a necessidade de lembrar e digitar senhas.
  2. Empregar um nível de segurança superior ou, no mínimo, equivalente à autenticação com senhas e 2FA/MFA.
  3. Reduzir custos, pois elimina os chamados de “esqueci minha senha”
  4. Melhorar a conformidade, pois a autenticação sem senha ajuda a cumprir requisitos regulatórios e de conformidade, como a LGPD e a GDPR, garantindo a segurança no acesso aos dados pessoais.

Normalmente, o emprego de medidas de segurança em sistemas resulta em alguma fricção adicional para os usuários. O emprego da autenticação sem senha é um dos casos em que o nível de segurança é aperfeiçoado ao mesmo tempo em que se melhora a experiência do usuário (UX).

Como implantar a autenticação sem senha?

A implantação da autenticação sem senhas é feita por meio da integração do aparelho celular com o aplicativo autenticador (dispositivo autenticador) com o sistema. Tipicamente, essa integração é feita por meio dos protocolos de autenticação SAML 2.0, OAuth 2.0, OIDC e JWT.

Um cenário de integração vencedor é integrar a autenticação sem senha por meio de um sistema de autenticação única, como o Cloud Single Sign-On da e-trust (CSSO). Ao utilizar um sistema de CSSO, diversos outros benefícios imediatamente estão disponíveis, tanto de melhoria de UX quanto de segurança. Veja os benefícios do CSSO neste artigo.

A autenticação sem senhas pode ser empregada em sistemas internos das empresas e em sistemas de relacionamento direto com consumidores, como e-commerce. Se você está interessado em melhorar a experiência dos seus usuários com segurança, conheça as soluções de autenticação única (CSSO) e autenticação sem senha da e-trust, fale com a nossa equipe!

Para entender mais sobre o assunto, leia também:

São Paulo, SP

R. Peixoto Gomide, 996 6° andar
CEP: 01409-000, Cerqueira César
(11) 5521-2021
[email protected]

Porto Alegre, RS

Rua Ramiro Barcelos, 630 6° andar
CEP: 90035-001, Floresta
(51) 2117-1000
[email protected]

Miami, FL, US

299 Alhambra Cir #403
Coral Gables, FL 33134
[email protected]

Acompanhe

Política de Privacidade

ESG na E-TRUST