Autenticação sem senha

Autenticação sem senha (passwordless) remove completamente a senha do processo de autenticação. Uma pessoa nunca cria uma senha ao configurar uma conta ou digita uma senha para acessar essa conta.^[1]

A autenticação genuína sem senha não reproduz senhas de nenhuma forma. Quando você acessa um site e é desafiado a fazer o login, não há opção de inserir uma senha. Ao se livrar das senhas, os riscos de segurança associados a elas são eliminados, o que explica por que empresas estão adotando soluções passwordless cada vez mais.^[2]

A autenticação sem senha depende de um par de chaves criptográficas - uma chave privada e uma chave pública. A chave pública é fornecida durante o registro para o serviço de autenticação (servidor remoto, aplicativo ou site), enquanto a chave privada é mantida no dispositivo de um usuário e só pode ser acessada quando uma assinatura biométrica, token de hardware ou outro fator sem senha é introduzido.

Na maioria das implementações comuns, os usuários são solicitados a inserir seu identificador público (nome de usuário, número de telefone celular, endereço de e-mail ou qualquer outro ID registrado) e, em seguida, concluir o processo de autenticação fornecendo uma prova segura de identidade na forma de um fator de autenticação aceito. Esses fatores classicamente se enquadram em duas categorias:

Fatores de propriedade (“algo que o usuário possui”), como um telefone celular, token OTP, cartão inteligente ou token de hardware.
Fatores de inerência (“algo que o usuário é”) como impressões digitais, varreduras de retina, reconhecimento facial ou de voz e outros identificadores biométricos.

Há a possibilidade de uma combinação de outros fatores, como geolocalização, endereço de rede, padrões de comportamento e gestos, desde que nenhuma senha memorizada esteja envolvida.^[3]

A autenticação sem senha é às vezes confundida com autenticação multifator (MFA), uma vez que ambos usam uma ampla variedade de fatores de autenticação, mas enquanto a MFA é usada como uma camada adicional de segurança em cima da autenticação baseada em senha, a autenticação sem senha não requer um segredo memorizado e geralmente usa apenas um fator altamente seguro para autenticar a identidade, tornando-o mais rápido e simples para os usuários.

Referências

↑ «O que é Autenticação Passwordless? – SaffePass». Consultado em 28 de abril de 2021
↑ «Esclarecendo o "hype" sobre a verdadeira autenticação sem senha – SaffePass». Consultado em 23 de março de 2021
↑ «A identidade digital e a biometria prometem acabar com a tirania das senhas». The Shift. Consultado em 23 de março de 2021

[1] «O que é Autenticação Passwordless? – SaffePass». Consultado em 28 de abril de 2021

[2] «Esclarecendo o "hype" sobre a verdadeira autenticação sem senha – SaffePass». Consultado em 23 de março de 2021

[3] «A identidade digital e a biometria prometem acabar com a tirania das senhas». The Shift. Consultado em 23 de março de 2021

[1]

[2]

[3]