Login sem senha com senhas de acesso

Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Senhas de acesso

Introdução

As senhas de acesso são uma substituição mais fácil e segura das senhas. Com as senhas de acesso, os usuários podem fazer login em apps e sites com um sensor biométrico (como impressão digital ou reconhecimento facial), PIN ou padrão, evitando que eles precisem se lembrar e gerenciar senhas.

Uma senha de acesso pode substituir uma senha e um segundo fator em uma única etapa. A experiência do usuário pode ser tão simples quanto preencher automaticamente um formulário de senha. As senhas de acesso oferecem proteção robusta contra ataques de phishing, ao contrário do SMS ou de senhas únicas baseadas em apps. Como as senhas de acesso são padronizadas, uma única implementação permite uma experiência sem senha em diferentes navegadores e sistemas operacionais.

O que são senhas de acesso?

Uma senha de acesso é uma credencial digital vinculada a uma conta de usuário e a um site ou aplicativo. As senhas de acesso permitem que os usuários façam a autenticação sem a necessidade de inserir um nome de usuário, uma senha ou qualquer outro fator de autenticação. O objetivo dessa tecnologia é substituir mecanismos de autenticação legados, como senhas.

Quando um usuário quiser fazer login em um serviço que usa senhas de acesso, o navegador ou sistema operacional dele o ajudará a selecionar e usar a senha de acesso correta. A experiência é semelhante à forma como as senhas salvas funcionam hoje. Para garantir que apenas o proprietário legítimo possa usar uma senha de acesso, o sistema vai solicitar que ele desbloqueie o dispositivo. Isso pode ser realizado com um sensor biométrico (como uma impressão digital ou reconhecimento facial), um PIN ou um padrão.

Para criar uma senha de acesso para um site ou aplicativo, primeiro o usuário precisa se registrar nesse site ou aplicativo. Quando eles retornam a esse site ou app para fazer login, podem realizar as seguintes etapas:

  1. Acesse o aplicativo.
  2. Clique em Fazer login.
  3. Selecione a senha de acesso.
  4. Use o desbloqueio de tela do dispositivo para concluir o login.

O dispositivo do usuário gera uma assinatura com base na senha de acesso. Essa assinatura é usada para verificar a credencial de login entre a origem e a senha de acesso.

Um usuário pode fazer login em serviços em qualquer dispositivo usando uma senha de acesso, independentemente de onde a senha é armazenada. Por exemplo, uma senha de acesso criada em um smartphone pode ser usada para fazer login em um site em um laptop separado.

Como as senhas de acesso funcionam?

O objetivo é que as senhas de acesso sejam usadas na infraestrutura do sistema operacional que permita que os gerenciadores de senha criem, façam backup e disponibilizem as senhas para os aplicativos em execução nesse sistema operacional. No Chrome para Android, as senhas de acesso são armazenadas no Gerenciador de senhas do Google, que sincroniza senhas de acesso entre os dispositivos Android do usuário que estão conectados à mesma Conta do Google.

Os usuários não estão restritos a usar as senhas de acesso apenas no dispositivo em que estão armazenados. As senhas de acesso armazenadas em smartphones podem ser usadas ao fazer login em um laptop, mesmo que a senha de acesso não esteja sincronizada com o laptop, desde que ele esteja perto do laptop e o usuário aprove o login. Como as senhas de acesso são criadas com base em padrões FIDO, todos os navegadores podem adotá-las.

Por exemplo, um usuário visita site.example no Chromebook. Esse usuário fez login em site.example no dispositivo iOS e gerou uma senha. No Chromebook, o usuário opta por fazer login com uma senha de acesso de outro dispositivo. Os dois dispositivos se conectarão e o usuário receberá uma solicitação para aprovar o uso da senha de acesso no dispositivo iOS, por exemplo, com o FaceID. Depois disso, elas fazem login no Chromebook. A senha de acesso não é transferida para o Chromebook. Portanto, normalmente site.example se oferece para criar uma nova senha de acesso. Dessa forma, o smartphone não será necessário na próxima vez que o usuário quiser fazer login. Leia Fazer login com um smartphone para saber mais.

Sincronização de senha de acesso

Considerações sobre privacidade

  • Alguns usuários podem se surpreender se uma autenticação biométrica aparecer repentinamente em um site ou app e acreditar que isso está enviando informações confidenciais para o servidor. Com as senhas de acesso, as informações biométricas do usuário nunca são reveladas no site ou no app. O material biométrico nunca sai do dispositivo pessoal.
  • As chaves de acesso isoladas não permitem rastrear usuários ou dispositivos entre sites. A mesma senha de acesso nunca é usada com mais de um site. Os protocolos de senha de acesso são projetados cuidadosamente para que nenhuma informação compartilhada com sites possa ser usada como um vetor de rastreamento.
  • Os gerenciadores de senha de acesso protegem as senhas de acesso contra uso e acesso não autorizados. Por exemplo, o Gerenciador de senhas do Google criptografa os secrets da senha de ponta a ponta. Somente o usuário pode acessá-los e usá-los e, mesmo que eles sejam armazenados em backup nos servidores do Google, o Google não pode usá-los para representar usuários.

Considerações sobre segurança

  • As senhas de acesso usam criptografia de chave pública. A criptografia de chave pública reduz a ameaça de possíveis violações de dados. Quando um usuário cria uma senha de acesso com um site ou aplicativo, isso gera um par de chaves pública/privada no dispositivo do usuário. Apenas a chave pública é armazenada pelo site, mas sozinha é inútil para um invasor. Um invasor não pode extrair a chave privada do usuário dos dados armazenados no servidor, o que é necessário para concluir a autenticação.
  • Como as senhas de acesso estão vinculadas à identidade de um site ou app, elas estão protegidas contra ataques de phishing. O navegador e o sistema operacional garantem que uma senha de acesso só possa ser usada com o site ou app que os criou. Isso libera os usuários de serem responsáveis por fazer login no site ou app genuíno.

Receber notificações

Inscreva-se na newsletter para desenvolvedores de senhas de senha do Google para receber notificações sobre atualizações de senha de acesso.

Próximas etapas