Como obter alta adoção de chaves de acesso nos fluxos de criação

Neste artigo, apresentamos um guia abrangente que resume como melhorar a adoção de chaves de acesso e, especialmente, a criação de chaves de acesso, otimizando os fluxos de criação de chaves de acesso por meio de incentivos (nudges) bem cronometrados. Responderemos às seguintes perguntas:

• Quais são as melhores práticas em prompts para maximizar a criação de chaves de acesso?
• Como as empresas podem incentivar os usuários a registrarem chaves de acesso em grande escala de forma eficaz?

Você aprenderá estratégias comprovadas e melhores práticas práticas adaptadas a contextos empresariais, permitindo que sua organização faça a transição dos usuários de senhas para chaves de acesso com sucesso. Este blog aborda especificamente a criação e o registro de chaves de acesso; as estratégias para otimizar o uso subsequente de chaves de acesso (frequência de login e métodos) serão exploradas separadamente em um próximo artigo.

Implementar chaves de acesso é apenas o primeiro passo; o verdadeiro valor é percebido quando as organizações efetivamente melhoram a adoção de chaves de acesso. Sem medidas deliberadas para aumentar as taxas de criação e uso de chaves de acesso, as empresas frequentemente se veem presas a uma dependência persistente de senhas. Simplesmente fornecer as chaves de acesso como uma opção sem incentivos propositais para o registro de chaves de acesso e fluxos de login com chaves de acesso otimizados faz com que as pessoas voltem ao que é familiar: senhas. Esse cenário pode limitar severamente o retorno dos projetos de chaves de acesso.

As organizações experimentam melhorias substanciais na segurança e reduções de custos, como menos redefinições de senha e menor uso de OTP, apenas quando as chaves de acesso atingem alta aceitação e se tornam o método de login principal para a maioria dos usuários. Portanto, melhores práticas para os avisos aos usuários, melhores práticas de aviso de chave de acesso após o login e testes A/B de avisos de chave de acesso desempenham um papel crítico no cumprimento desses objetivos. Empresas que visam a transição do fluxo de usuários de senhas para chaves de acesso em escala e buscam uma taxa de login com chave de acesso de 50 a 80% envolvem-se ativamente na criação de chaves de acesso.

Guia Buy vs. Build. Guias práticos, padrões de implementação e KPIs para programas de passkeys.

Obter guia gratuito

Essas estratégias de engajamento de usuários para chaves de acesso estão alinhadas com as recomendações da FIDO Alliance no Passkey Central, onde a FIDO Alliance reforça a necessidade de impulsionar a adoção de chaves de acesso por usuários em empresas. Embora os benefícios de alto nível sejam bem compreendidos, o verdadeiro desafio muitas vezes reside em impulsionar as métricas de sucesso de login com chave de acesso, por exemplo, aumentando efetivamente a cobertura de chaves de acesso em vários dispositivos, implementando melhores práticas de aviso pós-login e orquestrando a educação contínua do usuário para o registro de chaves de acesso.

Por exemplo, a abordagem explícita da Amazon para melhorar a adoção de chaves de acesso - por meio de extensos experimentos e melhorias iterativas de UX - resultou em velocidades de login seis vezes mais rápidas, reduzindo notavelmente o retorno ao uso de senhas e aumentando a satisfação do usuário. Da mesma forma, a segmentação da Microsoft por persona e dispositivo, bem como os mais de 2,5 bilhões de logins com chaves de acesso do Google, mostram seu compromisso com o uso ativo em vez da mera disponibilidade das chaves de acesso:

Resumindo, impulsionar a adoção de chaves de acesso nas empresas é muito mais importante do que simplesmente ativar o recurso. Os usuários raramente procuram novos métodos de login por conta própria. Você deve garantir que a otimização dos fluxos de login com chaves de acesso, incentivos bem cronometrados para o registro de chaves de acesso e testes A/B contínuos nos avisos façam parte do plano. Por meio dessas estratégias de engajamento do usuário e análises de chaves de acesso, as organizações podem ultrapassar limites cruciais, substituir totalmente as senhas por chaves de acesso e colher todos os benefícios - segurança, financeiros e de experiência do usuário - de um futuro sem senhas.

Assine nosso Substack de passkeys para receber as últimas novidades.

Assinar

Encorajar os usuários a configurarem chaves de acesso, muitas vezes referido como criação ou registro de chaves de acesso, é a base de qualquer tentativa de melhorar a adoção e aumentar as taxas de uso das chaves de acesso. Na prática, existem vários avisos e fluxos para incentivar o registro, mas nem todos são igualmente eficazes. Abaixo está uma visão geral das abordagens comuns, juntamente com o motivo pelo qual as melhores práticas de avisos pós-login são amplamente consideradas as mais impactantes.

Este não é um substituto para os avisos pós-login (aplica-se apenas a um subconjunto de logins e depende do suporte do sistema operacional/navegador/gerenciador de senhas), mas é um poderoso complemento. Para obter detalhes técnicos de implementação, exemplos de código e capturas de tela, consulte nosso artigo sobre atualizações automáticas para chaves de acesso. Para suporte à plataforma, eficácia e considerações estratégicas, consulte nosso artigo sobre Criação Condicional.

Ao escolher onde implementar incentivos para chaves de acesso, considere estes insights com base nas experiências de grandes empresas:

O consenso das implantações existentes é claro: os incentivos pós-login geram o maior número de criações de chaves de acesso, justificando a complexidade de sua implementação. Outras opções mais simples, como oferecer o registro de chaves de acesso através da página de configurações da conta, fornecem um ponto de partida útil para a exploração inicial pelo usuário. Por outro lado, métodos complexos, como avisos pós-redefinição de senha ou chamadas contínuas no aplicativo, normalmente oferecem apenas um benefício incremental moderado e raramente justificam o esforço exigido.

A Criação Condicional (Conditional Create) complementa os avisos pós-login atualizando um subconjunto de logins com senha automaticamente (quando as senhas são preenchidas automaticamente e a plataforma oferece suporte a isso). Para obter detalhes, consulte nosso artigo sobre Criação Condicional.

Consenso e principais conclusões

• O Aviso Pós-Login tem a classificação mais alta em impacto, justificando a sobrecarga de desenvolvimento significativa. Ele atinge um momento universal de "ponto de dor", que é digitar uma senha, tornando-o a melhor prática crucial para atingir altas taxas de adoção de chaves de acesso para criação.

• A Criação Condicional (Atualização Automática) é um complemento de baixo atrito e de melhor esforço que pode remover o aviso explícito para usuários que fazem login com o preenchimento automático (autofill) de senha salva em plataformas suportadas.

• A Página de Configurações da Conta é efetivamente obrigatória para qualquer projeto de chaves de acesso e, portanto, existirá de qualquer forma. Embora desempenhe um papel mínimo no aumento significativo das taxas de adoção, é altamente recomendada como uma etapa inicial de implementação. Usar a Página de Configurações da Conta primeiro permite que as organizações testem, refinem e validem sua implementação de chaves de acesso antes de implantar incentivos pós-login mais complexos.

• Os Avisos de Criação de Conta oferecem benefícios moderados e são recomendados como medidas secundárias para complementar uma estratégia de adoção mais ampla. Eles fornecem uma adoção incremental entre novos usuários, mas não afetam significativamente as bases de usuários existentes.

• Após a Redefinição de Senha e Chamadas/Banners no Aplicativo normalmente geram ganhos de baixos a moderados. Embora essas medidas possam complementar esforços de adoção mais amplos, sua complexidade de implementação raramente justifica priorizá-las como estratégias centrais.

Ao elaborar o incentivo pós-login ideal, faz sentido examinar os lançamentos bem-sucedidos de grandes empresas de tecnologia e identificar as descobertas comuns de seus experimentos. Grande parte dessas informações pode ser encontrada em palestras publicadas pela FIDO Alliance.

• Múltiplos experimentos e tratamentos: A Amazon testou vários fluxos pós-login (“T1”, “T2”, “T3”) para ver quais avisos de usuário funcionavam melhor. Alguns abriram automaticamente a caixa de diálogo de criação da chave de acesso, enquanto outros exibiram uma tela simples de “Configure sua chave de acesso” com duas opções: “Sim, criar uma chave de acesso” ou “Não, continuar usando senhas”.

• Velocidades de login 6 vezes mais rápidas: Por meio de testes A/B iterativos e ajustes em tempo real, eles alcançaram logins até seis vezes mais rápidos para aqueles que adotaram as chaves de acesso, reduzindo significativamente o retorno às senhas.

• Diferenças entre dispositivos móveis e desktops: A Amazon descobriu que acionar automaticamente o registro de chaves de acesso em dispositivos móveis levou a uma aceitação notavelmente maior em comparação com os fluxos de desktop, sugerindo que os usuários de smartphones estão mais abertos a solicitações biométricas.

Igor Gjorgjioski

Head of Digital Channels & Platform Enablement, VicRoads

We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.

See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.

Read the case study

• Segmentação por persona e dispositivo: O lançamento interno da Microsoft direcionou sistematicamente o recurso a diferentes grupos de usuários (executivos, desenvolvedores, trabalhadores da linha de frente) e plataformas específicas (Windows, macOS, iOS, Android). Eles exibiram avisos de chave de acesso pós-login adaptados ao fluxo de trabalho de cada segmento.

• Aplicação em fases: Depois de medir o sucesso nas primeiras ondas, a Microsoft aumentou constantemente o uso obrigatório de chaves de acesso nas fases subsequentes. A organização também mediu a “taxa de aceitação de chaves de acesso” para cada onda, refinando o texto da interface de usuário ou a lógica de fallback (alternativa) se a conversão caísse.

• Encorajando a cobertura: Assim que um usuário configurava uma chave de acesso em um dispositivo, ele era avisado após logins futuros em novos dispositivos com “Adicionar uma chave de acesso aqui?”, para que as chaves de acesso se tornassem onipresentes no ambiente do usuário.

• Testes A/B em escala: Com mais de 2,5 bilhões de logins com chaves de acesso, o Google investe pesadamente em testes A/B para avisos de chaves de acesso. Eles costumam comparar mensagens de conveniência (“Evite digitar sua senha na próxima vez”) com mensagens de segurança (“Proteja sua conta com uma chave de acesso”) para ver qual tem mais ressonância.

• Fluxos de reautenticação: O Google também aproveita os avisos de reautenticação (como quando os usuários modificam configurações confidenciais) para lembrá-los sobre as chaves de acesso: “Quer um passo mais rápido? Crie uma chave de acesso agora.”

• Incentivos em vários dispositivos (Cross-Device): Como o Gerenciador de Senhas do Google (Google Password Manager) sincroniza as chaves de acesso entre dispositivos, a abordagem pós-login geralmente inclui uma breve nota sobre a conveniência multiplataforma, reforçando "crie uma vez, use em todos os lugares".

• Linguagem de segurança versus conveniência: A Intuit, dona da QuickBooks e TurboTax, testou mensagens como "Login resistente a phishing" (focado em segurança) vs. "Login mais rápido, sem senha" (focado na facilidade de uso). Eles descobriram que certos segmentos (especialmente profissionais de finanças) se sentiam mais motivados pela segurança, enquanto outros pela conveniência.

• Testes contínuos com usuários: Com uma base altamente diversificada – de proprietários de pequenas empresas a contribuintes comuns – a Intuit refinou continuamente a redação, o layout da interface de usuário e o momento da solicitação. Eles descobriram que solicitar logo após o login produziu uma aceitação muito maior das chaves de acesso.

• Lembretes sustentados: Para usuários que pularam o fluxo da chave de acesso inicialmente, a Intuit construiu um aviso de "segunda chance", reaparecendo após um breve intervalo - uma estratégia que aumentou ainda mais a taxa de criação final.

Vamos dar uma olhada e resumir os pontos em comum desses grandes lançamentos:

Além dessas táticas focadas em produto, as plataformas modernas também oferecem suporte à Criação Condicional (atualizações automáticas de chaves de acesso) para atualizar um subconjunto de logins de preenchimento automático (autofill) de senha para chaves de acesso com o mínimo de interação do usuário. Veja a Criação Condicional.

Juntas, essas lições do mundo real confirmam que as melhores práticas pós-login com textos simples e bem cronometrados e a reexposição consistente são os impulsionadores mais fortes para melhorar a adoção de chaves de acesso na criação. Na próxima seção, exploraremos como estruturar essa abordagem para garantir que os usuários não apenas configurem sua primeira chave de acesso, mas também adicionem chaves de acesso extras em vários dispositivos, aproximando as taxas de adoção do limite de 50 a 80% necessário para substituir totalmente as senhas por chaves de acesso.

As estratégias eficazes pós-login fazem mais do que apenas solicitar que os usuários criem sua primeira chave de acesso. Elas também orientam proativamente os usuários em direção à adoção abrangente de chaves de acesso em seus dispositivos, garantindo que as senhas se tornem cada vez mais redundantes. O objetivo desses incentivos é estabelecer as chaves de acesso como o método principal de autenticação, reduzindo significativamente a dependência de logins legados com senha. Abaixo estão as considerações expandidas para cada fase estratégica no processo pós-login.

O principal desafio para impulsionar a adoção inicial de chaves de acesso está em encontrar a mensagem certa. As organizações devem definir claramente se devem apelar ao conforto e conveniência do usuário ou focar principalmente na segurança aprimorada. Por exemplo, o Google obteve sucesso com usuários comuns usando avisos simples e orientados à conveniência, como “Login mais rápido, sem senhas”, que ressoaram fortemente com os usuários cotidianos. Em contrapartida, a Intuit determinou que profissionais, especialmente os de finanças, reagiram mais positivamente a mensagens com foco em segurança, como "Proteja sua conta contra phishing". A mensagem ideal dependerá muito de sua demografia de usuários-alvo e de suas necessidades ou prioridades específicas, o que ressalta a importância de testes A/B extensivos para identificar a linguagem mais eficaz.

Testar as variantes dessas mensagens permite que você meça qual ressoa mais fortemente e gera as maiores taxas de aceitação. Igualmente importante é o gerenciamento da frequência das solicitações: os incentivos iniciais são essenciais, mas os lembretes subsequentes devem ser equilibrados com cuidado. Empresas como a Amazon observaram um declínio acentuado nas taxas de aceitação após solicitações repetidas em rápida sucessão. Uma prática recomendada e amplamente adotada é permitir que os usuários ignorem facilmente os avisos (skip), mas reintroduzindo a configuração da chave de acesso após um período de reflexão, por exemplo, 30 dias.

A decisão de acionar automaticamente ou não o fluxo de registro após o login também afeta significativamente a adoção. Os gatilhos automáticos em dispositivos móveis provaram ser altamente eficazes, com a Amazon notando taxas de aceitação 30 a 50% maiores devido à natureza intuitiva das interações biométricas. No entanto, as solicitações de registro automático devem ser executadas com cuidado para evitar a frustração do usuário, especialmente em plataformas de desktop, onde o acionamento manual geralmente tem se mostrado mais eficaz e menos invasivo.

Acançar a adoção generalizada de chaves de acesso envolve não apenas fazer com que os usuários registrem sua primeira chave de acesso, mas também solicitá-los sistematicamente a estender a cobertura a outros dispositivos - isso também reduz a probabilidade de bloqueios de contas. O envio de mensagens proativas ajuda a garantir experiências de autenticação contínuas, independentemente do dispositivo do usuário, aumentando significativamente a segurança e oferecendo conveniência. Por exemplo, se um usuário registrar inicialmente uma chave de acesso no Windows e depois fizer login por meio de um dispositivo Android via opções alternativas de fallback, o sistema deve avisar claramente: "Configure uma chave de acesso aqui para ignorar sua senha na próxima vez".

Essa abordagem de vários dispositivos garante cobertura contínua e reduz significativamente o retorno aos métodos de autenticação tradicionais. Além disso, abordar cenários em que as chaves de acesso falharam ou foram abandonadas anteriormente - como quando um usuário exclui ou cancela um registro de chave de acesso - oferece outra oportunidade importante para reengajar os usuários. Avisá-los após um login com sucesso por meio de uma alternativa com mensagens como "A configuração da chave de acesso não funcionou na última vez - tente novamente agora para simplificar os logins futuros" incentiva-os a tentar o registro novamente.

Em cenários de login híbridos envolvendo autenticação em vários dispositivos (CDA - cross-device authentication), avise os usuários imediatamente após a autenticação bem-sucedida para armazenar chaves de acesso nativas localmente, melhorando a conveniência futura. Por exemplo, depois de concluir a autenticação CDA via smartphone para autorizar uma sessão do Windows, incentive o usuário de forma clara: "Adicione uma chave de acesso diretamente a este dispositivo para evitar o uso de seu telefone na próxima vez".

No final das contas, essa abordagem ampliada em todos os dispositivos não apenas aumenta a segurança, mas também respeita o tempo, a conveniência e as preferências dos usuários. Os usuários sentem-se valorizados e capacitados quando recebem orientações claras e personalizadas, reforçando a confiança e a disposição de adotar chaves de acesso em todo o seu ecossistema digital para evitar fallbacks inconvenientes e reduzir logins de autenticação entre dispositivos (CDA).

A transição dos usuários para a adoção obrigatória das chaves de acesso requer uma abordagem estratégica e incremental, o que é especialmente importante em ambientes regulamentados ou para contas de alto valor. A aplicação gradual da adoção de chaves de acesso, em vez da obrigatoriedade abrupta, minimiza a resistência do usuário e maximiza as taxas de aceitação.

Um método eficaz é, inicialmente, monitorar a adoção voluntária, permitindo que os usuários se familiarizem com o uso de chaves de acesso. Depois que os usuários efetuarem login com sucesso várias vezes usando chaves de acesso, você pode desativar progressivamente os métodos de login baseados em senha, comunicando claramente essa transição com bastante antecedência. Por exemplo, informe os usuários de forma explícita: "A partir do próximo mês, as senhas não serão mais aceitas; verifique se sua chave de acesso está ativa."

O monitoramento próximo do engajamento dos usuários por meio de estatísticas também ajuda a ajustar a transição obrigatória. Se os usuários descartarem repetidamente os avisos de registro, escale as suas mensagens, possivelmente removendo a opção "Ignorar (Skip)" após um determinado limite, ou eleve a mensagem para uma ação obrigatória, conforme visto na implementação da Microsoft acima. No entanto, sempre forneça mecanismos de fallback (alternativa) seguros, como chaves de segurança de hardware, para os usuários que enfrentam restrições técnicas reais ou problemas de compatibilidade.

Comunicar claramente os benefícios, como a proteção contra phishing e roubo de conta, reforça a compreensão e aceitação do usuário para a adoção obrigatória das chaves de acesso (o que é diferente da mensagem de simplificação quando a adoção ainda é opcional). Mensagens como "As chaves de acesso nos ajudam a manter sua conta segura - as senhas serão descontinuadas em breve" enfatizam a necessidade e o valor dessa transição, promovendo a confiança do usuário na adoção de chaves de acesso como o novo padrão de autenticação.

Para impulsionar de forma eficaz as altas taxas de adoção para criação de chaves de acesso, um fluxo pós-login estruturado e comunicado com clareza é essencial. O fluxo ideal aborda de modo sistemático três cenários baseados na premissa de que o usuário já possui ou não chaves de acesso registradas, guiando-os passo a passo para a criação inicial, estendendo a cobertura a dispositivos adicionais e lidando com cenários alternativos de fallback.

Abaixo, encontra-se uma descrição detalhada e alinhada com o fluxograma fornecido:

flowchart TD
    A[Usuário faz login] --> B{O usuário já tem uma chave de acesso?}

    %% Shared nodes
    Z[Chave de acesso criada]
    CD[Tempo de espera de 30 dias]

    %% Primary flow: create first passkey
    B -->|Não| P0[Fluxo primário]
    P0 --> P1{Senha preenchida automaticamente?}
    P1 -->|Sim| CC[Tentar Criação Condicional]
    CC --> P2{A CC foi bem-sucedida?}
    P2 -->|Sim| Z
    P2 -->|Não| P3{Desktop ou Dispositivo Móvel?}
    P1 -->|Não| P3

    P3 -->|Desktop| D1
    P3 -->|Dispositivo Móvel| M1

    subgraph Desktop [Subfluxo primário de Desktop]
        direction TB
        D1[Aviso 1] --> D2{Aceitar?}
        D2 -->|Sim| DZ[Concluído]
        D2 -->|Não| D3[Aviso 2] --> D4{Aceitar?}
        D4 -->|Sim| DZ
        D4 -->|Não| D5[Aviso 3] --> D6{Aceitar?}
        D6 -->|Sim| DZ
        D6 -->|Não| DCD[Tempo de espera]
    end

    subgraph Mobile [Subfluxo primário para Dispositivo Móvel]
        direction TB
        M1[Aviso 1 automático] --> M2{Aceitar?}
        M2 -->|Sim| MZ[Concluído]
        M2 -->|Não| M3[Aviso 2] --> M4{Aceitar?}
        M4 -->|Sim| MZ
        M4 -->|Não| M5[Aviso 3] --> M6{Aceitar?}
        M6 -->|Sim| MZ
        M6 -->|Não| MCD[Tempo de espera]
    end

    DZ --> Z
    MZ --> Z
    DCD --> CD
    MCD --> CD

    %% Secondary flow: additional devices / recovery
    B -->|Sim| S0[Fluxo secundário]
    S0 --> S1[Novo dispositivo ou login por fallback]
    S1 --> S2{Senha preenchida automaticamente?}
    S2 -->|Sim| SCC[Tentar Criação Condicional]
    SCC --> S3{A CC foi bem-sucedida?}
    S3 -->|Sim| Z
    S3 -->|Não| S4[Adicionar chave de acesso aqui?]
    S2 -->|Não| S4
    S4 --> S5{Aceitar?}
    S5 -->|Sim| Z
    S5 -->|Ignorar 3x| CD

A cada login, o sistema realiza uma verificação inicial:

• O usuário já tem uma chave de acesso?

  • Se não (zero chaves de acesso), os usuários são direcionados para a Tela Primária.

  • Se sim (uma ou mais chaves de acesso), os usuários prosseguem para uma Tela Secundária adaptada.

Na Tela Primária, a abordagem de registro depende da plataforma de dispositivo do usuário:

Antes de exibir qualquer aviso explícito, considere a Criação Condicional (atualizações automáticas de chave de acesso) como um passo de melhor esforço, que entra em ação quando o usuário acabou de se conectar via preenchimento automático (autofill) de senha e a plataforma suporta isso. Caso seja bem-sucedida, o fluxo de prompts abaixo pode ser pulado.

• Fluxo de Desktop
  Nos desktops, caso a Criação Condicional não se aplique, o aviso para criação da chave de acesso é manual:

  • Primeiro aviso: Os usuários escolhem explicitamente Aceitar ou Ignorar a criação da chave de acesso.

    • Se eles Aceitarem, uma chave de acesso será criada imediatamente.

    • Se eles Ignorarem, encontrarão um Segundo Aviso no próximo login.

  • O Segundo Aviso oferece outra chance, novamente pedindo de forma explícita que o usuário Aceite ou Ignore.

    • Se o usuário Aceitar, uma chave de acesso será criada com sucesso.

    • Se ele Ignorar novamente, receberá um Terceiro Aviso em uma sessão subsequente.

  • Após o Terceiro Aviso, se os usuários continuarem a Ignorar, o sistema impõe um claro e definido Período de Espera (Cooldown) de 30 dias para evitar atritos excessivos.

• Fluxo de Dispositivos Móveis (Mobile) emprega uma abordagem mais dinâmica:

  • Inicialmente, a solicitação de criação da chave de acesso é acionada automaticamente devido à natureza intuitiva do registro biométrico em dispositivos móveis.

    • Se os usuários Aceitarem, o registro da chave de acesso é concluído de forma imediata.

    • Se os usuários Ignorarem o primeiro aviso automático, o fluxo muda para um Segundo Aviso manual no login seguinte.

  • No Segundo Aviso (manual), os usuários novamente escolhem explicitamente entre Aceitar ou Ignorar.

    • Se eles Aceitarem, a criação da chave de acesso é bem-sucedida.

    • Se for ignorado de novo, um Terceiro Aviso é oferecido durante uma sessão subsequente.

  • Após pular de forma consecutiva três vezes, o usuário de dispositivo móvel entra de forma semelhante em um Período de Espera de 30 dias antes que outras solicitações ocorram.

Esta estratégia de Tela Primária estruturada busca o equilíbrio entre a conveniência do usuário e lembretes persistentes, mas respeitosos, guiando os usuários de maneira gradual rumo à adoção de chaves de acesso, sem sobrecarregá-los.

Para os usuários que já possuem pelo menos uma chave de acesso, os avisos secundários concentram-se em expandir a cobertura das chaves de acesso para vários dispositivos ou sistemas operacionais, eliminando assim a dependência dos fallbacks (autenticações alternativas legadas):

Se o login via fallback ocorreu a partir do preenchimento automático de senha e a Criação Condicional (Conditional Create) for compatível com o sistema, uma tentativa inicial de melhor esforço pode ser feita e o aviso secundário deve ser exibido somente se essa tentativa de atualização não for bem-sucedida.

• Após realizar o login de forma bem-sucedida com um método alternativo (senha, OTP, ou login CDA baseado em código QR), os usuários encontram uma solicitação na Tela Secundária, que é específica do dispositivo e tem o objetivo de incentivá-los a criar uma chave de acesso adicional. Um exemplo de mensagem inclui: “Configure uma chave de acesso aqui para ignorar a senha neste dispositivo.”

  • Novamente os usuários têm a opção de Aceitar ou Ignorar.

  • Depois de muitas recusas (ignorar), o sistema insere da mesma forma um Período de Espera (Cooldown) de 30 dias para evitar aborrecimento ou fadiga ao usuário.

• Ademais, essa tela secundária também pode ser aplicada aos casos em que os usuários tiverem feito, anteriormente, tentativas malsucedidas de registrar a chave de acesso ou tiverem optado por removê-la ativamente. Diante desses cenários, as mensagens vão direcionadas para tratar as falhas antigas, para que haja ênfase na comodidade renovada e a capacidade de confiar no atual processo de configuração.

O fluxograma que descrevemos acima é um alicerce sólido sobre o qual poderá ser estruturada e elaborada uma efetiva estratégia pós-login voltada a criar um registro contínuo para as chaves de acesso. Enquanto todos os passos que foram apontados — diferenciando e separando os cenários para computadores (desktop) e para os dispositivos portáteis e/ou smartphones, a minuciosa supervisão para tratar a periodicidade, além de pavimentar e evidenciar todos os percursos alternativos logo após que uma determinada etapa tiver sido dispensada de modo recorrente pelas partes ativas do sistema — refletem que as práticas mais eficazes registradas nas aplicações massivas produzidas por empresas grandes de tecnologia, tais como a Amazon, a Microsoft e a Google, vale a pena o destaque em relação às discrepâncias que há, de modo geral, no meio e na realidade social dos usuários. O que muitas vezes provou-se altamente eficaz na implementação em um caso isolado e/ou específico poderá render retornos não tão idênticos em outros contextos motivado diretamente pela assimetria demográfica ou disparidade nas escolhas aos mais propensos formatos disponíveis, perpassando pelas realidades em âmbito organizacional também.

Conclui-se, desse modo, que ter acesso em caráter de urgência a todas essas metodologias e acompanhar cada passo de forma crítica a partir dos monitoramentos e análises precisas da conduta e interatividade com as partes é uma exigência vital se de fato quiser consolidar um plano perfeitamente eficiente sobre o registro ideal da chave de acesso.

O constante seguimento preciso a respeito das Taxas de Aceitação (Passkey Acceptance Rates), integradas com diversos outros critérios centrais que integram os indicadores KPIs, poderá lhe conceder uma compreensão valiosa sobre qual aspecto em sua abordagem atua com certa superioridade comparada às demais, ajudando assim na averiguação e controle a fim de melhorar suas tomadas e decisões mais estratégicas a um curto prazo de ação. Averiguar e diagnosticar onde ocorrem com maior facilidade falhas, desistência e abandono em decorrência do percurso para um devido registro poderá mostrar com total transparência se acaso as notificações propostas estão demasiadamente abusivas (excessivas, invasivas, fora de hora ou dificultosas em serem interpretadas e acolhidas sem complicações por todos aqueles a quem cabem sua destinação inicial). A seguir, elencamos nossa recomendação a respeito do escopo com as métricas aconselhadas que merecem avaliações periódicas:

Sua estratégia de adoção de chaves de acesso nunca deve ser estática. Em vez disso, ela deve evoluir dinamicamente com base em dados medidos, permitindo ajustes na mensagem, frequência e métodos de aviso (automático vs. manual). Ao observar de perto como diferentes segmentos de usuários respondem ao longo do tempo, sua organização pode refinar iterativamente esses incentivos, garantindo que as solicitações permaneçam atraentes sem sobrecarregar os usuários. Em última análise, uma implantação bem-sucedida de chaves de acesso depende fortemente da adaptação das melhores práticas aos comportamentos e preferências específicos de seus usuários, informados por análises precisas em vez de apenas suposições.

Implementar corretamente as melhores práticas de criação de chaves de acesso — com testes A/B, implementação gradual, Criação Condicional e tratamento de casos extremos em mais de 100 combinações de sistema operacional/navegador — leva meses de engenharia. A Corbado fornece observabilidade e inteligência de adoção com base em sua pilha de identidades existente, para que você possa entrar em operação em dias, e não em meses, mantendo a autenticação totalmente interna. Nossos SDKs e componentes são criados com base nas melhores práticas comprovadas de grandes implantações, como Amazon, Google e Microsoft - refinadas com dados do mundo real de implementações em grande escala, como a VicRoads.

A maioria das organizações lança fluxos de criação de chaves de acesso sem visibilidade do que está realmente acontecendo. Seus logs mostram "registro bem-sucedido" ou "registro falhou", mas não revelam:

• Por que este usuário pulou o aviso da chave de acesso três vezes?
• Quais combinações de SO/navegador têm a maior taxa de desistência (drop-off)?
• A Criação Condicional está sendo acionada ou falhando silenciosamente?
• Como a aceitação das chaves de acesso se compara no primeiro incentivo em comparação com incentivos repetidos?

Sem essa visibilidade, você não pode otimizar. Você está adivinhando mensagens, tempo e design de fluxo em vez de iterar com base em dados.

A Corbado fornece observabilidade nativa de autenticação criada especificamente para fluxos de criação de chaves de acesso. Para uma visão geral completa das métricas de autenticação além das chaves de acesso, consulte nosso manual de análises de autenticação:

Mesmo painel, mas com uma história diferente dependendo de quem está perguntando:

Os SDKs da Corbado implementam todas as melhores práticas de criação automaticamente, incluindo Criação Condicional, avisos pós-login e registro em vários dispositivos:

Quando o registro falha, a Corbado fornece as ferramentas para entender o motivo:

• Linha do tempo de depuração por usuário: Reproduza a jornada de registro entre as sessões e dispositivos
• Classificação inteligente de erros: Distinga erros informativos de falhas críticas
• Detecção de fragmentação em gerenciadores de senhas: Identifique conflitos entre Dashlane, 1Password e os gerenciadores nativos do navegador
• Detecção de anomalias: Alertas imediatos quando as taxas de registro caem inesperadamente

Esteja você desenvolvendo seus próprios fluxos de criação de chaves de acesso ou procurando por uma solução gerenciada, a Corbado ajuda você a ver o que está acontecendo, provar o impacto nos negócios e maximizar a adoção sem substituir seu IDP (Provedor de Identidade).

As chaves de acesso surgiram como um método de autenticação transformador, permitindo logins mais rápidos, simples e seguros do que as credenciais tradicionais. No entanto, o simples fato de oferecer as chaves de acesso não garante que os usuários as adotarão. As organizações devem criar avisos de chaves de acesso estrategicamente, testar mensagens com testes A/B e adaptar fluxos a diferentes dispositivos para impulsionar a adoção de chaves de acesso além de 50% - o limite no qual as senhas se tornam genuinamente substituíveis. Este guia cobriu o conhecimento básico, desde a exploração do motivo pelo qual a adoção é mais importante do que a implementação básica até o detalhamento das táticas específicas de incentivo (pós-login vs. página de configurações, limites de frequência, criação automática em dispositivos móveis etc.) nas quais grandes empresas de tecnologia confiam para o sucesso.

• Quais são as melhores práticas para avisos de usuário sobre chaves de acesso? Os avisos mais eficazes ocorrem imediatamente após os usuários fazerem o login com sucesso, aproveitando a mentalidade focada na autenticação. A mensagem deve enfatizar claramente a conveniência ("Login mais rápido, sem senhas") ou a segurança ("Proteja sua conta contra phishing"), determinada por testes A/B rigorosos. Os incentivos também devem respeitar a autonomia do usuário, incorporando períodos de tempo de espera (cooldown) após pulos (skips) repetidos para minimizar a frustração.

• Como impulsionar a adoção de chaves de acesso por usuários em contextos corporativos? O sucesso da adoção empresarial depende fortemente de abordagens estruturadas e incrementais combinadas com análises contínuas. As organizações devem monitorar os principais indicadores de desempenho (por exemplo, Taxa de Aceitação da Chave de Acesso, Taxa de Sucesso na Criação) e refinar suas estratégias com base nos dados dos usuários. Incentivar o registro de chaves de acesso em vários dispositivos e fazer a transição dos segmentos de alto valor em direção ao uso obrigatório de chaves de acesso são etapas fundamentais para alcançar a meta de 50% a 80% de adoção.

Se a sua organização está planejando uma implantação em grande escala e almeja as principais métricas de adoção do setor, nós da Corbado teremos prazer em ajudar. Nossa Plataforma Empresarial (Enterprise Platform) oferece análises sofisticadas, testes A/B e jornadas de usuário personalizadas para garantir a adoção ideal de chaves de acesso.

Sobre a Corbado

Corbado é a Passkey Intelligence Platform para times de CIAM que rodam autenticação consumer em escala. Mostramos o que logs de IDP e ferramentas genéricas de analytics não enxergam: quais dispositivos, versões de SO, navegadores e gerenciadores de credenciais suportam passkeys, por que os registros não viram logins, onde o fluxo WebAuthn falha e quando uma atualização de SO ou navegador quebra silenciosamente o login — tudo sem substituir Okta, Auth0, Ping, Cognito ou seu IDP interno. Dois produtos: Corbado Observe adiciona observabilidade para passkeys e qualquer outro método de login. Corbado Connect entrega passkeys gerenciados com analytics integrado (junto ao seu IDP). VicRoads roda passkeys para mais de 5M de usuários com Corbado (+80% de ativação de passkey). Fale com um especialista em Passkeys →