Como eliminar senhas por completo
Aprenda a jornada de 4 fases das chaves de acesso para um ambiente sem senhas verdadeiro: por que as chaves de acesso sozinhas não são suficientes e como proteger fluxos de recuperação contra ataques de phishing.
Esta página foi traduzida automaticamente. Leia a versão original em inglês aqui.
Whitepaper empresarial de Passkeys. Guias práticos, padrões de implementação e KPIs para programas de passkeys.
- A verdadeira autenticação sem senhas exige a eliminação de senhas de todos os fluxos, incluindo a recuperação, e não apenas a adição de chaves de acesso como um método de login alternativo.
- A jornada abrange 4 fases: adicionar chaves de acesso, impulsionar a adoção acima de 60% dos usuários ativos, remover senhas por completo e proteger os fluxos de recuperação com métodos resistentes a phishing.
- A porta dos fundos de recuperação de conta costuma ser ignorada: a violação do MGM Resorts em 2023 explorou fluxos de recuperação por meio de engenharia social, contornando todas as medidas de autenticação primária.
- Manter senhas como uma alternativa preserva todos os vetores de ataque existentes, incluindo phishing, preenchimento de credenciais (credential stuffing) e engenharia social, anulando os benefícios de segurança das chaves de acesso resistentes a phishing.
- Okta, Yubico e Cloudflare alcançaram a eliminação completa e interna de senhas; Google e Microsoft estão ativamente descontinuando as senhas, mas não as removeram totalmente.
1. Introdução: Por que a implementação de chaves de acesso não é a linha de chegada#
A implementação de chaves de acesso representa um salto monumental na segurança da autenticação, mas não é a jornada completa. Se já implantou chaves de acesso, provavelmente está celebrando métricas de segurança aprimoradas, mas como realmente fazer a transição de ter chaves de acesso para alcançar uma autenticação totalmente sem senhas?
As chaves de acesso oferecem vantagens críticas de segurança por meio do seu design resistente a phishing, utilizando criptografia de chave pública vinculada a domínios específicos, o que torna impossível para invasores enganarem usuários para que se autentiquem em sites fraudulentos. Elas eliminam a reutilização de credenciais, pois cada chave de acesso é única para um serviço específico, o que significa que o comprometimento de um serviço não afeta os outros. Além disso, elas fornecem imunidade a ataques de força bruta ao substituir segredos memorizados por chaves criptográficas que não podem ser adivinhadas ou decifradas.
Ainda assim, essas vantagens poderosas evaporam no momento em que um usuário pode contornar a autenticação por chave de acesso e fazer login com uma senha. Isso levanta uma questão crucial: Por que as chaves de acesso sozinhas não são suficientes para a segurança completa? A resposta está em entender que, enquanto a porta da senha permanecer aberta, os invasores tentarão passar por ela. Mais importante ainda é a questão: o que torna a recuperação de conta a vulnerabilidade oculta que pode minar toda a sua implementação de chaves de acesso? Violações recentes de grande repercussão mostraram que os invasores visam cada vez mais os fluxos de recuperação em vez da autenticação primária.
Este artigo irá guiar pela jornada completa desde a implementação de chaves de acesso até a obtenção da verdadeira segurança sem senhas, abordando cada uma dessas questões críticas com soluções práticas e exemplos reais.
Artigos recentes
♟️
Problemas do Dia 2 das Chaves de Acesso: 5 Riscos após o Lançamento
🔑
O que torna o manuseio seguro de documentos essencial para as empresas modernas?
♟️
Por que até a sua senha mais complexa será quebrada em breve
♟️
Reutilização de senhas no Japão: ainda em 84% [2026]
♟️
O papel da IA na detecção de ameaças cibernéticas
O que "Passwordless" (Sem senhas) realmente significa?#
A verdadeira autenticação sem senhas significa eliminar completamente as senhas da sua arquitetura de segurança. Em um sistema sem senhas, os usuários não podem definir, redefinir ou usar senhas em nenhum momento da sua jornada de autenticação. Em vez disso, a autenticação depende inteiramente de métodos criptográficos como as chaves de acesso.
Muitas organizações afirmam ser "sem senhas" enquanto ainda mantêm senhas em segundo plano como uma opção de contingência. Isso não é verdadeiramente sem senhas, mas sim opcional de senhas. A distinção é importante porque, enquanto as senhas existirem em qualquer parte do seu sistema, incluindo em fluxos de recuperação, elas permanecerão como uma vulnerabilidade explorável que os invasores irão visar.
2. As duas portas dos fundos que prejudicam a segurança das chaves de acesso#
A verdadeira segurança sem senhas requer tanto a eliminação das senhas da autenticação primária QUANTO garantir que os processos de recuperação sejam igualmente resistentes a phishing.
2.1 Por que senhas como uma opção de contingência representam um risco de segurança significativo#
Manter senhas como uma alternativa de contingência preserva todos os vetores de ataque que as chaves de acesso foram projetadas para eliminar. Invasores simplesmente redirecionam suas campanhas de phishing para focar na entrada de senhas, enquanto ataques de preenchimento de credenciais e de pulverização de senhas (password spraying) continuam usando credenciais roubadas de outras violações. A engenharia social continua eficaz, pois os usuários ainda podem ser enganados para revelar senhas a falsos agentes de suporte.
Enquanto existirem, as senhas serão o elo mais fraco, um ponto de entrada único que contorna completamente a segurança resistente a phishing da chave de acesso.
2.2 A porta dos fundos da recuperação de conta#
Analisar apenas a experiência de login também não é o suficiente. Um vetor de ataque crítico, mas muitas vezes esquecido, é o fluxo de recuperação de conta. Mesmo as organizações que implementaram chaves de acesso podem permanecer vulneráveis se seu processo de recuperação depender de métodos suscetíveis a phishing, como OTPs por SMS ou links mágicos por e-mail.
Considere a notável violação do MGM Resorts em 2023, onde invasores não miraram o sistema de autenticação primária, mas exploraram o processo de recuperação de conta por meio de engenharia social, contornando todas as medidas de segurança primárias. Da mesma forma, a violação do sistema de suporte da Okta demonstrou como os fluxos de recuperação podem se tornar o elo mais fraco, permitindo que invasores redefinam credenciais e obtenham acesso não autorizado aos ambientes dos clientes.
Esses incidentes ressaltam uma verdade crucial: implementar chaves de acesso sem proteger o fluxo de recuperação é como instalar uma porta de aço e deixar as janelas abertas.
3. A jornada sem senhas#
Alcançar uma verdadeira autenticação sem senhas não é um passo único - é uma jornada estratégica que exige um planejamento cuidadoso, estratégia e design de produto criteriosos, implementação gradual e otimização contínua:
3.1 Fase 1: Adicionar Chaves de Acesso#
A primeira fase se concentra em introduzir as chaves de acesso como um método de autenticação adicional, mantendo as opções existentes como contingências. Esta etapa de construção de bases permite que os usuários tenham tempo para entender e confiar na nova tecnologia, enquanto mantêm os métodos familiares disponíveis para reduzir o atrito.
Passos principais de implementação:
- Integre a autenticação por chave de acesso ao seu fluxo de autenticação existente
- Habilite a criação de chaves de acesso para usuários novos e atuais
- Mantenha senhas e outros métodos de autenticação como alternativas
- Acompanhe as taxas de criação de chaves de acesso e os padrões de uso
Métricas de Sucesso:
- Porcentagem de usuários que criaram pelo menos uma chave de acesso acima de 50%
- Taxa de sucesso na criação de chaves de acesso acima de 95%
- Uso inicial de chaves de acesso para autenticação atingindo 20-30%
3.2 Fase 2: Aumentar a adoção de chaves de acesso#
Assim que as chaves de acesso estiverem disponíveis, o foco muda para impulsionar a adoção e tornar as chaves de acesso o método de autenticação preferido. Esta fase transforma as chaves de acesso de uma opção alternativa para a principal escolha de autenticação através do engajamento estratégico do usuário e da otimização.
Passos principais de implementação:
- Torne a autenticação por chaves de acesso a opção padrão nos fluxos de login
- Implemente prompts inteligentes que incentivam a criação de chaves de acesso após logins bem-sucedidos com senha
- Eduque os usuários sobre os benefícios de segurança e conveniência por meio de mensagens no aplicativo
- Ofereça incentivos para a adoção de chaves de acesso (checkout mais rápido, recursos exclusivos)
- Realize testes A/B em diferentes mensagens e abordagens de UI para maximizar a conversão
- Implemente políticas de acesso condicional exigindo chaves de acesso para operações sensíveis
Métricas de Sucesso:
- 60%+ dos usuários ativos com pelo menos uma chave de acesso
- 80%+ de logins usando chaves de acesso para contas habilitadas para chaves de acesso
- Menos de 2% de taxa de falha na criação de chaves de acesso
3.3 Fase 3: Tornar-se sem senhas#
É aqui que ocorre a verdadeira transformação de segurança: remover senhas inteiramente para os usuários que utilizam chaves de acesso consistentemente. Esta fase elimina o vetor de ataque primário ao desativar senhas para usuários que demonstraram uma adoção bem-sucedida de chaves de acesso.
Passos principais de implementação:
- Analise os padrões de autenticação do usuário utilizando sistemas de monitoramento inteligentes
- Identifique usuários que usam exclusivamente chaves de acesso com vários dispositivos prontos para chaves de acesso
- Ofereça a desativação de senhas com mensagens claras sobre os benefícios de segurança
- Verifique a disponibilidade da chave de acesso de backup (sincronizada na nuvem ou em vários dispositivos)
Métricas de Sucesso:
- 30%+ de usuários elegíveis removendo senhas voluntariamente
- Aumento zero nas taxas de bloqueio de conta
- Pontuações de satisfação do usuário mantidas ou aprimoradas
3.4 Fase 4: Recuperação resistente a phishing#
A fase final aborda a última vulnerabilidade: transformar a recuperação de conta em um processo resistente a phishing. Esta fase garante que os fluxos de recuperação equiparem-se ao nível de segurança da autenticação primária, impedindo ataques de backdoor.
Passos principais de implementação:
- Implemente autenticação multifator (MFA) com pelo menos um fator resistente a phishing
- Fatores resistentes a phishing disponíveis:
- Chaves de acesso de backup: chaves de acesso de recuperação armazenadas em dispositivos secundários ou serviços na nuvem que fornecem prova criptográfica de identidade (opção mais amplamente disponível)
- Digital Credentials API: Padrão W3C para asserções de identidade verificadas criptograficamente de provedores confiáveis (tecnologia emergente, ainda não difundida)
- Chaves de segurança de hardware: tokens FIDO2 físicos registrados como fatores de recuperação que não podem ser alvos de phishing ou duplicados (requer que os usuários comprem e mantenham dispositivos físicos)
- Verificação de documentos de identidade com detecção de vivacidade: leitura de documento de identidade do Governo combinada com ações biométricas em tempo real para comprovar presença física
Nota sobre as opções de recuperação: Embora a Digital Credentials API e as Chaves de Segurança de Hardware ofereçam uma segurança robusta, elas ainda não são amplamente adotadas; a primeira ainda é uma tecnologia emergente e a última exige que os usuários adquiram dispositivos físicos.
Quando as chaves de acesso de backup não estão disponíveis, a verificação de documentos de identidade com detecção de vivacidade se torna uma alternativa viável. Apesar das possíveis soluções alternativas para contornar verificações de vivacidade sem a posse física de um documento de identidade, esses métodos ainda oferecem segurança consideravelmente mais forte do que as OTPs tradicionais, que podem ser facilmente interceptadas por meio de phishing, troca de SIM ou ataques man-in-the-middle.
Métricas de Sucesso:
- 100% dos fluxos de recuperação incluem fatores resistentes a phishing
- Zero invasões de contas bem-sucedidas por meio de processos de recuperação
- Taxas de conclusão de recuperação mantidas acima de 90%
4. Exemplos de empresas que começaram a remover senhas#
O movimento sem senhas está ganhando impulso em toda a indústria de tecnologia, com as empresas líderes se distanciando das senhas.
4.1 Organizações totalmente sem senhas#
Diversas empresas já alcançaram a eliminação total de senhas nas suas operações internas. Okta, Yubico e Cloudflare efetivamente alcançaram o uso zero de senhas internamente e os seus fluxos de login não aceitarão senhas de forma alguma.
4.2 Empresas em transição ativa#
As gigantes da tecnologia Google, Apple, Microsoft e X estão ativamente descontinuando as senhas, mas ainda não as eliminaram totalmente. Sua abordagem equilibra melhorias de segurança com a escolha do usuário durante o período de transição.
O Google adotou uma postura agressiva ao ativar a opção "Pular senha quando possível" por padrão para todas as contas, fazendo das chaves de acesso o método de autenticação preferido, embora ainda permita que os usuários desativem a opção, se necessário. Esta abordagem de exclusão (opt-out) gera um forte impulso na direção de um ambiente sem senhas, enquanto mantém a flexibilidade para os usuários que ainda não estão prontos para a transição.
A Microsoft vai um passo além permitindo que os usuários removam totalmente as suas senhas das contas hoje, com planos de "remover o suporte a senhas completamente" no futuro. Este roteiro claro sinaliza aos usuários que o tempo das senhas está acabando, encorajando a adoção antecipada de métodos sem senhas.
A Apple integrou as chaves de acesso por todo o seu ecossistema e promove ativamente o seu uso, embora as senhas do ID Apple permaneçam disponíveis como uma opção de contingência. Sua abordagem aproveita a sincronização perfeita nos dispositivos da Apple para tornar a adoção de chaves de acesso o mais simples possível.
Estas empresas não estão forçando mudanças imediatas, mas estão enviando uma mensagem clara: as senhas desaparecerão assim que a adoção atingir uma massa crítica. Suas estratégias envolvem tornar as chaves de acesso o padrão, educar os usuários sobre os benefícios e reduzir gradativamente a funcionalidade da senha.
5. Quando começar a remover senhas?#
A decisão de remover senhas não deve ser apressada nem aplicada universalmente. Em vez disso, adote uma abordagem gradual baseada em dados que leve em conta o comportamento do usuário, os recursos do dispositivo e os perfis de risco.
5.1 Quem deve começar a sua jornada sem senhas imediatamente#
Setores de alto risco que enfrentam ataques severos de phishing hoje devem iniciar a sua transição sem senhas imediatamente, mas ainda assim seguir uma implementação gradual e estratégica:
- Bancos e Instituições Financeiras: Alvos principais de roubo de credenciais. Para bancos europeus, as chaves de acesso também se alinham aos requisitos de Autenticação Forte de Cliente (SCA) da PSD2, oferecendo MFA resistente a phishing que atende à conformidade regulatória e aprimora a experiência do usuário
- Provedores de Pagamento e Fintechs: O acesso direto aos fundos dos clientes os torna atraentes para o cibercrime organizado
- Bolsas de Criptomoedas: Transações irreversíveis significam que credenciais roubadas levam a perdas permanentes
- Saúde e Seguros: Enfrentam tanto os requisitos de conformidade quanto os riscos à segurança dos pacientes decorrentes do roubo de identidade médica
- Governo e Infraestrutura Crítica: Alvos de agentes estatais com campanhas sofisticadas de spear-phishing
Para essas organizações, uma ação imediata é fundamental, mas o sucesso ainda exige uma abordagem de implementação metódica e gradual. Comece hoje, mas implemente de forma estratégica para garantir uma alta adoção e evitar o bloqueio de usuários.
5.2 Estratégia de implementação gradual#
Comece com um Subgrupo menor: Inicie a sua transição sem senhas com usuários que demonstram o uso consistente de chaves de acesso. Estes primeiros adeptos o ajudarão a identificar possíveis problemas antes de uma implantação mais ampla.
Analise padrões de comportamento do usuário:
- Frequência de login e métodos usados
- Tipos de dispositivos e compatibilidade de chaves de acesso
- Tentativas de autenticação com falha
- Uso de fluxo de recuperação
- Padrões de autenticação entre dispositivos
Usuários elegíveis para a desativação de senhas com base nestes padrões:
- Autenticam-se de forma consistente via chaves de acesso - indicando que estão confortáveis com a tecnologia
- Usam chaves de acesso em vários dispositivos - indicando que possuem métodos de acesso de backup
- Não usaram senhas ou fluxos de recuperação nos últimos 30-60 dias - demonstrando que não dependem da autenticação baseada em senhas
6. Como a Corbado pode ajudar#
A Corbado fornece uma plataforma abrangente para guiar organizações através de todas as quatro fases da jornada sem senhas descritas acima. Desde a implementação inicial de chaves de acesso até a eliminação completa de senhas, a solução da Corbado gerencia a complexidade técnica ao mesmo tempo em que fornece as ferramentas necessárias para uma adoção bem-sucedida pelo usuário.
Suporte às Fases 1 e 2: A Corbado oferece integração perfeita de chaves de acesso com as pilhas de autenticação existentes, prompts inteligentes que maximizam as taxas de adoção e análises detalhadas para rastrear a criação e os padrões de uso de chaves de acesso. O recurso de Passkey Intelligence da plataforma otimiza automaticamente a experiência do usuário com base nas capacidades do dispositivo e no comportamento do usuário, garantindo uma integração (onboarding) tranquila.
Implementação das Fases 3 e 4: Para organizações prontas para remover as senhas integralmente, a Corbado permite a desativação gradual de senhas com base na preparação do usuário, enquanto mantém os fluxos de recuperação seguros e resistentes a phishing.
Ao lidar com a compatibilidade entre plataformas, os mecanismos de contingência e a otimização da experiência do usuário, a Corbado acelera a transformação sem senhas de anos para meses, permitindo que as organizações se concentrem em seu negócio principal, alcançando uma autenticação resistente a phishing.
Conclusão#
A jornada para a verdadeira autenticação sem senhas responde às duas questões críticas que levantamos no início:
Por que as chaves de acesso sozinhas não são suficientes para a segurança completa? Porque a segurança é tão forte quanto seu elo mais fraco. Enquanto as senhas permanecerem disponíveis, mesmo como contingência, os invasores simplesmente se redirecionarão a elas através de phishing, preenchimento de credenciais ou ataques de downgrade. Cada senha em seu sistema compromete os benefícios resistentes a phishing das chaves de acesso.
O que torna a recuperação de conta a vulnerabilidade oculta? Os fluxos de recuperação são frequentemente a porta dos fundos esquecida. Conforme as violações do MGM Resorts e da Okta demonstraram, os invasores contornam cada vez mais as implementações robustas de chaves de acesso ao explorar métodos de recuperação mais fracos, como OTPs por SMS ou links mágicos por e-mail. É como instalar uma porta de aço, mas deixar as janelas abertas.
A verdadeira segurança sem senhas exige concluir a jornada completa: implementar chaves de acesso, impulsionar a adoção, remover senhas inteiramente e proteger os fluxos de recuperação com métodos resistentes a phishing. Somente fechando todas as portas das senhas, incluindo as escondidas nos processos de recuperação, as organizações podem alcançar uma autenticação genuinamente segura.
Sobre a Corbado
Corbado é a Passkey Intelligence Platform para times de CIAM que rodam autenticação consumer em escala. Mostramos o que logs de IDP e ferramentas genéricas de analytics não enxergam: quais dispositivos, versões de SO, navegadores e gerenciadores de credenciais suportam passkeys, por que os registros não viram logins, onde o fluxo WebAuthn falha e quando uma atualização de SO ou navegador quebra silenciosamente o login — tudo sem substituir Okta, Auth0, Ping, Cognito ou seu IDP interno. Dois produtos: Corbado Observe adiciona observabilidade para passkeys e qualquer outro método de login. Corbado Connect entrega passkeys gerenciados com analytics integrado (junto ao seu IDP). VicRoads roda passkeys para mais de 5M de usuários com Corbado (+80% de ativação de passkey). Fale com um especialista em Passkeys →
Perguntas Frequentes#
Quais sinais indicam que um usuário está pronto para a desativação de senhas em uma implementação sem senhas?#
Os usuários são elegíveis para a desativação de senhas quando se autenticam consistentemente via chaves de acesso em vários dispositivos e não usaram senhas ou fluxos de recuperação nos últimos 30 a 60 dias. Iniciar a desativação com esta coorte reduz o risco e ajuda a descobrir problemas antes de uma implantação mais ampla. A Fase 3 visa 30% ou mais de usuários elegíveis removendo senhas voluntariamente.
Quais opções resistentes a phishing existem para a recuperação de conta quando as chaves de acesso de backup não estão disponíveis?#
Existem quatro fatores de recuperação resistentes a phishing: chaves de acesso de backup em dispositivos secundários, chaves de segurança de hardware (tokens FIDO2 físicos), a Digital Credentials API (um padrão W3C ainda emergente) e verificação de documentos de identidade com detecção de vivacidade. OTPs tradicionais por SMS e links mágicos por e-mail permanecem vulneráveis a phishing, troca de SIM e ataques man-in-the-middle, tornando-os insuficientes para fluxos de recuperação seguros.
Por que a violação do MGM Resorts foi bem-sucedida mesmo com uma autenticação primária robusta em vigor?#
A violação do MGM Resorts em 2023 foi bem-sucedida ao visar o processo de recuperação de conta por meio de engenharia social, em vez do sistema de login primário, contornando totalmente todas as medidas de segurança primárias. Isso demonstra que implementar chaves de acesso sem proteger os fluxos de recuperação deixa uma porta dos fundos crítica aberta, equivalente a instalar uma porta de aço enquanto deixa as janelas abertas.
Quais métricas de adoção as equipes devem atingir antes de avançar de chaves de acesso opcionais para a remoção total de senhas?#
Antes de entrar na Fase 3, as equipes devem atingir 60% ou mais dos usuários ativos com pelo menos uma chave de acesso, 80% ou mais dos logins usando chaves de acesso para contas habilitadas para chaves de acesso e uma taxa de falha de criação de chave de acesso inferior a 2%. O sucesso da Fase 3 é medido por 30% ou mais de usuários elegíveis removendo senhas voluntariamente com zero aumento nas taxas de bloqueio de conta.
Compartilhar este artigo
Artigos relacionados
Índice