Métodos de Login com Código QR e Autenticação

Métodos de autenticação seguros e convenientes são mais cruciais do que nunca. Com o número crescente de serviços online que acedemos diariamente em diferentes dispositivos, os sistemas tradicionais baseados em passwords estão a tornar-se menos eficazes e mais complicados. Especialmente para empresas com um grande número de utilizadores nas suas aplicações nativas (iOS ou Android), isto levou a uma procura crescente por logins baseados em códigos QR, que oferecem uma forma rápida e fácil de autenticar utilizadores sem a necessidade de digitar passwords complexas ou até mesmo nomes de utilizador.

Neste contexto, surgem questões como as seguintes:

• Como funciona a autenticação baseada em códigos QR com aplicações nativas?
• Como se compara com a autenticação baseada em códigos QR com passkeys?

Native QR Code Revolut

Passkeys QR Code Apple

Exemplos proeminentes de códigos QR em logins de aplicações nativas são serviços focados em apps como o WhatsApp, TikTok ou Revolut. Ao mesmo tempo, existe uma lista de empresas que suportam logins com passkeys em rápido crescimento.

Neste artigo, vamos explorar técnicas de autenticação baseadas em códigos QR. Não nos vamos focar em códigos QR TOTP usados para a inicialização de um segundo fator (com aplicações adicionais como o Authy ou o Google Authenticator).

Vamos também comparar diferentes métodos de autenticação baseados em QR, examinando os seus pontos fortes, fracos e potenciais vulnerabilidades.

No final, terá uma compreensão mais clara se a autenticação baseada em códigos QR é a escolha certa para as suas necessidades de segurança.

Os códigos QR, ou Quick Response codes, são códigos de barras bidimensionais que podem armazenar uma variedade de informações, desde URLs a texto simples. Originalmente desenvolvidos em 1994 pela Denso Wave, uma subsidiária do Grupo Toyota, os códigos QR foram concebidos para rastrear peças de automóveis de forma rápida e eficiente. Desde então, os códigos QR evoluíram e encontraram o seu lugar em várias indústrias devido à sua capacidade de armazenar uma grande quantidade de dados num pequeno quadrado digitalizável.

O termo "Código QR" é, na verdade, uma marca registada da Denso Wave, embora a tecnologia em si tenha sido amplamente adotada e não seja restringida pela marca registada. Os códigos QR são caracterizados pelos seus padrões quadrados a preto e branco, que podem ser lidos usando um smartphone ou um dispositivo de leitura dedicado (leitor de QR) para aceder à informação codificada.

O suporte para códigos QR está integrado nos sistemas operativos móveis como o iOS e o Android há vários anos. Ambas as plataformas suportam nativamente a leitura de códigos QR através das suas respetivas aplicações de câmara, tornando mais fácil para os utilizadores interagirem com códigos QR sem a necessidade de software adicional.

Subscribe to our Passkeys Substack for the latest news.

Subscribe

Geralmente, os códigos QR usados em conjunto com aplicações aproveitam URLs personalizados ou links de aplicações. Estes links podem fazer com que a aplicação abra automaticamente se estiver instalada no dispositivo. Se a aplicação não estiver instalada, o código QR pode direcionar o utilizador para a loja de aplicações relevante para descarregar e instalar a aplicação, facilitando assim uma experiência de utilizador fluida. Aqui pode ver uma lista de caminhos que o Revolut registou para o manuseamento de aplicações:

https://revolut.com/.well-known/apple-app-site-association
{
    "applinks": {
        "apps": [],
        "details": [
            {
                "appID": "QUZEZSEARC.com.revolut.revolut",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.test",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.retail.india",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.retail.india-debug",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.invest",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.invest-debug",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.revolutx",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.revolutx-debug",
                "paths": ["/app/*"]
            }
        ]
    }
}

Como vemos, todos os links que começam com "/app/*" são processados. Veremos um exemplo na secção seguinte. Ao incorporar URLs personalizados e links de aplicações em códigos QR, as empresas e os programadores podem criar experiências personalizadas que levam os utilizadores diretamente para a aplicação ou serviço desejado, melhorando tanto a conveniência como a segurança nas interações do utilizador.

O login com código QR através de aplicações nativas aproveita a interação fluida entre a câmara de um dispositivo móvel e URLs específicos incorporados nos códigos QR. O processo começa tipicamente com um utilizador a ler um código QR exibido num website ou noutro dispositivo usando a câmara do seu smartphone. O código QR contém um URL personalizado que é especificamente desenhado para interagir com uma aplicação nativa particular, como as encontradas em dispositivos iOS ou Android.

Por exemplo, um serviço como o Revolut pode usar um código QR com um URL como https://revolut.com/app/challenges/qr/e2d78521-d38a-4773-b1b8-27a902a36b4b. Este URL está destinado a ser reconhecido pela aplicação Revolut instalada no dispositivo do utilizador.

Quando o código QR é lido, a aplicação capta automaticamente este link, reconhece-o e exibe a aplicação correspondente (no exemplo acima, veja "Revolut" a ser identificado como a App correspondente), e prossegue para tratar do processo de login internamente. Esta interação é facilitada por mecanismos de links profundos (deep linking) que tanto o iOS como o Android suportam, permitindo que links específicos abram diretamente numa aplicação instalada em vez de num navegador web:

Se a aplicação não estiver instalada no dispositivo, o sistema operativo normalmente solicita ao utilizador que instale a aplicação, redirecionando-o para a loja de aplicações apropriada, seja a Apple App Store para dispositivos iOS ou a Google Play Store para dispositivos Android.

Isto garante que, mesmo que o utilizador não tenha a aplicação instalada inicialmente, pode obtê-la de forma rápida e fácil, continuando o processo após a instalação.

Na maioria dos casos, os clientes existentes que já instalaram a aplicação terão um processo de login fluido. Eles leem o código QR, a aplicação abre automaticamente e a autenticação é concluída sem a necessidade de inserir um nome de utilizador ou password. Este método proporciona principalmente conveniência para os utilizadores, uma vez que nenhuma informação sensível é transmitida durante o processo de leitura do código QR.

O que acontece tecnicamente é que uma sessão já iniciada num telemóvel é usada para autenticar uma nova sessão no desktop. Existem diferentes técnicas para fazer isso. Uma versão muito elaborada está publicada no Whitepaper de Segurança do WhatsApp sob Client Registration à Companion Device Registration à Link Using QR-Code.

Retirado de https://engineering.fb.com/2021/07/14/security/whatsapp-multi-device/

Como o WhatsApp suporta acesso multi-dispositivo e encriptação de ponta a ponta desde 2021, a arquitetura não é perfeitamente adequada para autenticação – já que o protocolo é projetado principalmente para uma aplicação de mensagens multi-dispositivo. Existem abordagens mais simples para alcançar um handshake seguro, dependendo da implementação real da autenticação. O que precisa ser tido em mente é que é sempre necessário garantir o manuseamento seguro das sessões do utilizador e dos canais de comunicação entre o dispositivo e o servidor. Independentemente da complexidade da implementação do login por autenticação com código QR, alguns princípios chave de segurança devem ser sempre seguidos:

1. Integridade da Sessão: A sessão já iniciada no telemóvel, usada para autenticar uma nova sessão num desktop ou noutro dispositivo, deve ser validada de forma segura. Isto envolve tipicamente a verificação da autenticidade da sessão usando tokens seguros ou outros métodos criptográficos para prevenir o sequestro de sessão ou ataques de repetição.
2. Comunicação Criptografada: Toda a comunicação entre a aplicação móvel, o servidor e o dispositivo que solicita a autenticação deve ser criptografada usando HTTPS. Isto ajuda a garantir que informações sensíveis, incluindo tokens de sessão e detalhes de login, não possam ser intercetadas ou adulteradas durante a transmissão.
3. Geração Segura de Tokens: Quaisquer tokens ou credenciais gerados para o processo de autenticação com código QR devem ser gerados de forma segura. Isto pode incluir fixá-lo ao dispositivo solicitante para que não possa ser usado noutros dispositivos como medida de precaução (por exemplo, Browser-Agent).
4. Login Verificado pelo Utilizador: Antes de finalizar o processo de autenticação, é recomendado ter um passo onde o utilizador pode verificar ou confirmar a tentativa de login. Isto pode ser na forma de uma notificação no dispositivo móvel a exigir a aprovação do utilizador e a mostrar detalhes da autenticação, adicionando uma camada extra de segurança (como pode ser visto na captura de ecrã acima).
5. Restrições Baseadas no Tempo: Implementar restrições baseadas no tempo na validade do código QR para minimizar o risco de o código QR ser usado para acesso não autorizado se cair nas mãos erradas. Limitar a janela de tempo em que um código QR pode ser usado ajuda a reduzir potenciais ameaças de segurança. Deve atualizar-se automaticamente e ter uma validade máxima inferior a 120 segundos para evitar ataques man-in-the-middle.
6. Restrição Baseada na Localização: Limitações relativas a tentativas de login, como deteções de "viagem impossível", também devem ser aplicadas com códigos QR. Isto pode envolver a interceção automática de tentativas de login com base em inteligência suspeita baseada em IP, como gerar um código QR nos EUA enquanto a aplicação é aberta para autenticação na Europa.
7. Limitação de Taxa, Registo e Monitorização: Implementar limitação de taxa, registo e monitorização apropriados para detetar e responder a quaisquer atividades suspeitas associadas a logins com código QR. Isto ajuda a identificar potenciais violações de segurança e a tomar ações atempadas para proteger as contas dos utilizadores.
8. Notificação ao Utilizador: Tentativas de login bem-sucedidas num novo dispositivo devem acionar uma notificação por e-mail para o utilizador com informações importantes (como quando e onde a tentativa de login foi feita, com que dispositivo e endereço IP) e instruções sobre o que fazer se o login não foi acionado pelo utilizador (como contactar imediatamente o serviço, monitorizar a conta ou remover todos os dispositivos com sessão iniciada, se o sistema o suportar).

Ao seguir estas melhores práticas, as empresas podem implementar uma autenticação baseada em códigos QR que é tanto amigável para o utilizador como segura, aproveitando a conveniência dos dispositivos móveis enquanto mantêm medidas de segurança robustas para proteger os dados e as sessões dos utilizadores.

Become part of our Passkeys Community for updates & support.

Join

Agora vamos dar uma olhada nos logins com código QR via passkeys.

A autenticação baseada em passkeys oferece um sistema de autenticação seguro e entre dispositivos que está integrado nos ecossistemas iOS e Android e é especificado no padrão WebAuthn. Atualmente, apenas as passkeys criadas em iOS ou Android podem ser usadas para autenticação entre dispositivos (CDA) através de códigos QR.

Vamos analisar como funciona o login com código QR com passkeys. O gráfico seguinte mostra uma visão geral de alto nível dos diferentes passos.

Para ambos, iOS e Android, as passkeys são armazenadas no autenticador nativo da plataforma (por exemplo, Face ID, Touch ID ou Biometria do Android). Isto garante que as passkeys de um utilizador estão disponíveis em todos os seus dispositivos com sessão iniciada no mesmo Apple ID (para iOS) ou conta Google (para Android) em versões modernas do sistema operativo.

• Ambos os Dispositivos Precisam de uma Ligação à Internet Ativa: Ambos os dispositivos envolvidos no processo de autenticação devem ter uma ligação à internet ativa. Isto é crucial para sincronizar dados e verificar as credenciais durante o processo de autenticação.
• Ambos os Dispositivos Precisam de Suportar Bluetooth: Ambos os dispositivos precisam de suportar Bluetooth, e o Bluetooth deve estar ativado. O Bluetooth é usado para estabelecer proximidade entre os dispositivos, garantindo que os dispositivos estão perto um do outro durante a autenticação, mitigando assim o risco de phishing de uma localização remota.

• Passkeys de Desktop Vinculadas ao Dispositivo: Passkeys que estão vinculadas a um dispositivo e em desktops, por exemplo, em plataformas Windows, não são elegíveis para CDA baseada em código QR.
• Dependência do Bluetooth: A dependência do Bluetooth pode por vezes ser uma desvantagem devido a potenciais problemas de conectividade ou configurações do dispositivo que podem interferir com a verificação de proximidade por Bluetooth. Embora estabelecer proximidade possa aumentar a segurança, também pode causar desafios de usabilidade se os dispositivos não conseguirem conectar-se via Bluetooth. No entanto, uma vez que os dispositivos são emparelhados com sucesso, as conexões subsequentes tornam-se tipicamente mais diretas.

Discuss passkeys news and questions in r/passkey.

Join Subreddit

• Sem Ataques de Phishing Remotos: O uso de Bluetooth para verificações de proximidade garante que ambos os dispositivos estão fisicamente perto um do outro durante o processo de autenticação, reduzindo o risco de ataques de phishing de localizações remotas.
• Passkeys Sincronizadas Oferecem Melhor UX: A sincronização de passkeys entre dispositivos também proporciona uma experiência de utilizador fluida, uma vez que os utilizadores não precisam de gerir múltiplos conjuntos de credenciais.

Ao implementar a Autenticação Entre Dispositivos (CDA) baseada em passkeys, é crucial fornecer orientação clara aos utilizadores sobre o processo. Os utilizadores devem ser informados de que um código QR será exibido e que precisam de usar o seu telemóvel para o ler.

Na nossa opinião, é importante garantir que os códigos QR não são mostrados se o utilizador não tiver uma passkey que possa ser utilizada para CDA. Adicionalmente, é necessário verificar se o sistema operativo e o navegador atuais do utilizador suportam CDA antes de exibir um código QR.

Want to find out how many people use passkeys?

View Adoption Data

Para gerir estes cenários de forma eficaz, delineámos todos os casos críticos neste artigo, por isso não entraremos em detalhes aqui. O nosso sistema de inteligência de passkeys está desenhado para lidar automaticamente com estas situações, garantindo que os códigos QR são exibidos apenas quando apropriado e guiando os utilizadores de forma fluida através do processo de autenticação. Isto garante uma experiência sem falhas, mantendo alta segurança e compatibilidade entre vários dispositivos e sistemas operativos.

Nesta secção, vamos resumir os dois principais métodos de login baseados em código QR discutidos neste artigo: login com código QR via aplicações nativas e login com código QR via passkeys. Cada método oferece vantagens únicas e é adequado para diferentes casos de uso com base em fatores como segurança, experiência do utilizador e complexidade de implementação.

• Login com Código QR via Aplicações Nativas aproveita os links profundos (deep linking) para conectar um código QR a uma aplicação específica instalada num dispositivo móvel. Quando um utilizador lê o código QR, a aplicação associada é acionada, facilitando um processo de login fluido e seguro. Este método é comumente usado em aplicações como WhatsApp, TikTok e Revolut, onde os utilizadores estão familiarizados com o ambiente da aplicação e podem autenticar-se facilmente sem precisar de inserir uma password.
• Login com Código QR via Passkeys utiliza uma abordagem de autenticação entre dispositivos mais avançada, que se integra diretamente com os autenticadores da plataforma do sistema operativo (não há necessidade de instalar nenhuma aplicação nativa). Este método foi desenhado para fornecer um alto nível de segurança, usando passkeys sincronizadas e exigindo que ambos os dispositivos estejam em proximidade (verificado via Bluetooth) durante o processo de autenticação. Este método oferece uma forte proteção contra ataques de phishing e proporciona uma experiência de utilizador simplificada em múltiplos dispositivos.

Vamos ver como ambos os métodos se comparam e têm características diferentes:

Tabela de Comparação: Login com Código QR via Apps Nativas vs. Login com Código QR via Passkeys

Focámo-nos nas características baseadas na autenticação na tabela de comparação, e os requisitos circundantes delineados na secção três aplicam-se a ambas as alternativas. Restrições baseadas em localização e tempo não são necessárias com passkeys, pois estas utilizam resistência a phishing e verificações de proximidade via WebAuthn.

Want to try passkeys yourself in a passkeys demo?

Try Passkeys

Como delineado na introdução, analisámos os dois cenários mais comuns de autenticação entre dispositivos. Vamos resumi-los brevemente:

• Login com Código QR via Aplicações Nativas é ideal para empresas com uma forte base de utilizadores nas suas aplicações nativas, que ainda não estão a considerar implementar passkeys e não estão demasiado preocupadas com ataques de phishing. Este método proporciona conveniência e segurança ao usar os mecanismos de autenticação existentes da aplicação, reduzindo o atrito para os utilizadores que usam a aplicação frequentemente, mas não ajuda com logins infrequentes na aplicação.
• Login com Código QR via Passkeys oferece uma opção mais segura e flexível, especialmente para ambientes onde a autenticação entre dispositivos é necessária e as passkeys também estão a ser consideradas ou já são usadas como fator de autenticação. Ao aproveitar a autenticação ao nível da plataforma e as verificações de proximidade baseadas em Bluetooth, este método traz o único método de autenticação multifator resistente a phishing preparado para o futuro também para casos entre dispositivos.

Para responder às nossas perguntas da introdução:

• Como diferem as duas abordagens: Cada organização deve escolher o método que melhor se adapta às suas necessidades, considerando fatores como a base de utilizadores, requisitos de segurança e a experiência de utilizador desejada. Para serviços centrados em aplicações, integrar o login com código QR via aplicações nativas pode ser suficiente. No entanto, para aqueles que priorizam a segurança máxima e as capacidades entre dispositivos, o login com código QR via passkeys apresenta uma solução robusta.

Independentemente da avaliação atual de qual solução se encaixa na arquitetura de autenticação existente, deve ter-se em mente que as passkeys são um investimento no futuro da autenticação, uma vez que o ecossistema está claramente a mover-se nessa direção. Começar cedo a recolher passkeys pode ser combinado com diferentes estratégias de CDA.