Tornando o MFA Obrigatório e Adotando Passkeys: Melhores Práticas

A Autenticação Multifator (MFA) passou de forma decisiva de um recurso de segurança para usuários proativos para uma realidade obrigatória e inegociável para organizações em todo o mundo. Essa transformação não é impulsionada pela escolha, mas pela necessidade, alimentada por ciberataques implacáveis baseados em credenciais e pela crescente pressão regulatória. Setores que vão desde serviços financeiros até o setor público agora operam sob frameworks que tornam o MFA uma linha de base para a conformidade. Esta nova era, onde o MFA é imposto em vez de oferecido, introduz uma série de desafios complexos que se estendem muito além da implementação técnica inicial.

Quando todos os usuários precisam usar MFA, surge um novo conjunto de questões críticas que toda organização deve responder. Este artigo explorará esses desafios em profundidade, fornecendo um caminho claro a seguir. Abordaremos:

1. Quais são os custos operacionais ocultos e as armadilhas na experiência do usuário ao impor o MFA em escala?

2. Quando lhes é dada a escolha, quais métodos de MFA os usuários realmente adotam e quais riscos de segurança isso cria?

3. Como a recuperação de conta se torna o novo desafio principal em um ambiente de obrigatoriedade e quais são as concessões para resolvê-lo?

4. Por que as passkeys são a solução estratégica para os problemas criados pela obrigatoriedade do MFA, e não apenas mais uma opção?

5. Qual é um plano prático e passo a passo para uma transição bem-sucedida do MFA legado obrigatório para a segurança e experiência do usuário superiores das passkeys?

Esta análise fornecerá um plano claro e acionável para uma transição bem-sucedida da autenticação de fator único para o MFA obrigatório (e para as passkeys obrigatórias).

Antes de explorar os desafios da imposição, é crucial estabelecer um entendimento claro do cenário de autenticação e por que as obrigatoriedades o alteram fundamentalmente. A própria terminologia pode ser uma fonte de confusão, mas as distinções são críticas para qualquer estratégia de segurança ou de produto.

A evolução da autenticação é uma resposta direta à fraqueza inerente de sua forma mais básica.

• Autenticação de Fator Único (SFA): A conhecida combinação de nome de usuário e senha. Ela se baseia em um único fator de "conhecimento", algo que o usuário sabe. Sua vulnerabilidade a phishing, credential stuffing e ataques de força bruta é o principal motivador para métodos mais fortes.

• Verificação em Duas Etapas (2SV): Frequentemente usada de forma intercambiável com MFA, a 2SV é um processo distinto e mais fraco. Ela exige duas etapas de verificação, mas pode usar dois fatores da mesma categoria. Um exemplo comum é uma senha seguida por uma pergunta de segurança, ambos fatores de "conhecimento". Embora seja melhor que o SFA, não atende aos critérios de uma verdadeira segurança multifator.

• Autenticação Multifator (MFA): O padrão ouro da segurança, o MFA exige verificação de pelo menos duas categorias diferentes de fatores de autenticação. As três categorias principais são:

  • Conhecimento: Algo que o usuário sabe (ex: uma senha, um PIN).

  • Posse: Algo que o usuário tem (ex: um celular recebendo um código, uma chave de segurança de hardware).

  • Inerência: Algo que o usuário é (ex: uma impressão digital, reconhecimento facial).

A transição de MFA opcional para obrigatório é uma mudança de paradigma. Um sistema opcional permite a adoção gradual pelos usuários mais conscientes da segurança, escondendo os verdadeiros pontos de atrito. A obrigatoriedade força toda a base de usuários, dos mais experientes em tecnologia aos mais avessos a ela, a entrar no novo sistema simultaneamente, expondo todas as falhas na experiência do usuário e na estrutura de suporte.

Essa mudança foi acelerada por catalisadores regulatórios, mais notavelmente a segunda Diretiva de Serviços de Pagamento (PSD2) da Europa e sua exigência de Autenticação Forte do Cliente (SCA). Essa regulamentação remodelou fundamentalmente o cenário de pagamentos europeu ao tornar o MFA obrigatório para a maioria das transações online. Ao forçar as instituições financeiras a adotar APIs abertas e segurança mais forte, a PSD2 fornece um estudo de caso massivo e do mundo real sobre autenticação imposta.

O objetivo principal do SCA era reduzir fraudes exigindo dois fatores de autenticação independentes para pagamentos eletrônicos. No entanto, o lançamento inicial criou um atrito significativo, com alguns comerciantes europeus perdendo quase 40% das transações devido à confusão do usuário e ao abandono do carrinho. Com o tempo, o ecossistema se adaptou, e um relatório de agosto de 2024 do Banco Central Europeu confirmou que as transações autenticadas com SCA agora têm taxas de fraude significativamente mais baixas. Isso demonstra o benefício de segurança a longo prazo, mas também destaca a necessidade crítica de equilibrar segurança com a experiência do usuário.

Embora essas obrigatoriedades inicialmente criem atrito, elas também produzem um ambiente de educação em massa involuntária. Quando milhões de usuários são forçados por seus bancos a aprovar uma transação com uma impressão digital ou um código, eles se familiarizam com o conceito de um segundo fator. Essa normalização, impulsionada pela regulamentação, paradoxalmente facilita o caminho para outras organizações. A conversa pode evoluir de "O que é MFA e por que eu preciso disso?" para "Aqui está nossa nova maneira, mais fácil, de fazer a etapa de segurança que você já conhece." Isso cria a base perfeita para introduzir uma experiência superior como as passkeys.

Se você quiser ler mais sobre os detalhes dessas regulamentações e sua relação com as passkeys, pode explorar estes recursos:

• Análise dos Requisitos PSD2 & SCA

• O que os Requisitos SCA Significam para as Passkeys

• Passkeys e PSD2: MFA em conformidade com PSD2 e resistente a phishing

• Implicações da PSD3 / PSR para as Passkeys

• Autenticação Delegada e Passkeys sob a PSD3 / PSR

Impor o MFA a toda uma base de usuários revela uma série de desafios práticos que são frequentemente subestimados durante o planejamento inicial. Essas questões impactam a experiência do usuário, a postura de segurança e os custos operacionais.

Quando a inscrição é obrigatória, uma má experiência do usuário não é mais apenas um incômodo; torna-se um obstáculo direto às operações de negócios. As organizações geralmente escolhem entre duas estratégias: inscrição forçada, que exige a configuração do MFA no próximo login, ou inscrição progressiva, que solicita aos usuários ao longo do tempo. Embora a inscrição forçada alcance a conformidade mais rapidamente, ela corre o risco de maior frustração e abandono do usuário se o processo não for perfeito. O sucesso depende da adesão às melhores práticas de UX, como oferecer múltiplos métodos de autenticação, fornecer instruções claras como cristal e garantir acessibilidade para todos os usuários, por exemplo, fornecendo uma chave secreta baseada em texto junto com um código QR para aplicativos autenticadores.

Uma vez que o MFA está ativo em uma conta, perder um segundo fator significa ficar completamente bloqueado. Em um mundo de obrigatoriedade, isso não é um incidente isolado para alguns usuários conscientes da segurança; torna-se um desafio generalizado e crítico para toda a base de usuários e para as equipes de suporte que os atendem. Isso torna a recuperação de conta o maior desafio de todos.

Os riscos financeiros são altos: um único reset de senha ou MFA conduzido pelo helpdesk pode custar a uma empresa uma média de US$ 70. Para uma organização com centenas de milhares de usuários, mesmo uma pequena porcentagem precisando de recuperação pode se traduzir em milhões de dólares em custos operacionais e perda de produtividade.

As organizações ficam com uma difícil escolha entre segurança, custo e conveniência:

• Recuperação Conduzida pelo Helpdesk: Um agente de suporte pode verificar a identidade do usuário por meio de uma chamada de vídeo ou outros meios. Este é um processo seguro e verificado por humanos, mas é proibitivamente caro e lento para escalar, tornando-o insustentável para a maioria das empresas.

• Recuperação Baseada em E-mail/SMS: Este é o método mais comum devido ao seu baixo custo e familiaridade do usuário. No entanto, também é uma vulnerabilidade de segurança crítica. Se um invasor já comprometeu a conta de e-mail de um usuário, um precursor comum para outros ataques, ele pode facilmente interceptar o código de recuperação e contornar totalmente o MFA. Esse método efetivamente anula os benefícios de segurança que a obrigatoriedade pretendia fornecer.

• Códigos de Backup Pré-cadastrados: Os usuários recebem um conjunto de códigos de backup de uso único durante a inscrição. Embora mais seguro que a recuperação por e-mail, essa abordagem adiciona atrito à configuração inicial. Além disso, os usuários frequentemente não armazenam esses códigos com segurança ou os perdem, o que acaba os levando de volta ao mesmo problema de bloqueio.

• Verificação por Selfie-ID: Este método de alta garantia exige que o usuário tire uma selfie ao vivo e uma foto de um documento de identidade emitido pelo governo (como uma carteira de motorista ou passaporte). Sistemas alimentados por IA então comparam o rosto com o documento para confirmar a identidade. Embora comum em bancos e serviços financeiros onde a identidade é verificada durante o onboarding, levanta preocupações de privacidade para alguns usuários e exige que eles tenham seu documento físico em mãos.

• Credenciais e Carteiras Digitais: Uma opção emergente e futurista envolve o uso de credenciais digitais verificáveis armazenadas em uma carteira digital. Um usuário poderia apresentar uma credencial de um emissor confiável (como um governo ou banco) para provar sua identidade sem passar por um fluxo de recuperação específico do serviço. Este método ainda está em seus estágios iniciais, mas aponta para um futuro de verificação de identidade mais portátil e controlada pelo usuário.

Um ponto de falha frequente e crítico em qualquer sistema de MFA é o ciclo de vida do dispositivo. Quando um usuário adquire um novo celular, a continuidade de seu método de autenticação é fundamental.

• SMS: Este método é relativamente portátil, pois um número de telefone pode ser transferido para um novo dispositivo por meio de um novo cartão SIM. No entanto, este mesmo processo é o vetor de ataque explorado em ataques de SIM-swapping, onde um fraudador convence uma operadora de celular a transferir o número da vítima para um SIM que ele controla.

• Aplicativos Autenticadores (TOTP): Esta é uma grande fonte de atrito para o usuário. A menos que o usuário tenha ativado proativamente um recurso de backup na nuvem em seu aplicativo autenticador (um recurso que não é universal e nem sempre usado), as chaves secretas que geram os códigos são perdidas com o dispositivo antigo. Isso força o usuário a um processo de recuperação de conta completo, e muitas vezes doloroso, para cada serviço que ele havia protegido.

• Notificações Push: Semelhante aos aplicativos TOTP, o MFA baseado em push está vinculado a uma instalação específica de um aplicativo em um dispositivo registrado. Um novo celular exige uma nova inscrição, desencadeando os mesmos desafios de recuperação.

Quando uma organização torna o MFA obrigatório e oferece uma escolha de métodos, um padrão previsível emerge: mais de 95% dos usuários gravitam em direção ao que é mais familiar e percebido como mais fácil, que geralmente são os códigos de uso único (OTPs) baseados em SMS. Esse comportamento cria um paradoxo. Um CISO pode tornar o MFA obrigatório para melhorar a segurança. No entanto, se muitos usuários continuarem a confiar em um método vulnerável a phishing como o SMS, a organização pode atingir 100% de conformidade sem melhorar materialmente suas defesas contra ataques sofisticados. Reconhecendo isso, plataformas como a Microsoft introduziram o "MFA preferido pelo sistema", que ativamente incentiva os usuários a optarem por opções mais seguras, como aplicativos autenticadores, em vez de SMS ou chamadas de voz. Isso destaca uma lição crítica: simplesmente tornar o MFA obrigatório é insuficiente. O tipo de MFA importa profundamente, e as organizações devem orientar ativamente os usuários para longe de fatores mais fracos e vulneráveis a phishing.

A decisão de tornar o MFA obrigatório tem um impacto direto e mensurável nos recursos operacionais. Inevitavelmente, desencadeia um aumento nos tickets de helpdesk relacionados a problemas de inscrição, perda de autenticadores e solicitações de recuperação. Pesquisas do Gartner indicam que 30-50% de todas as chamadas de suporte de TI já são para problemas relacionados a senhas; o MFA obrigatório, especialmente quando combinado com fluxos de recuperação complicados, agrava significativamente esse fardo. Isso se traduz em custos diretos que CTOs e Gerentes de Projeto devem antecipar. Além disso, o próprio helpdesk se torna um alvo principal para ataques de engenharia social, onde invasores se passam por usuários frustrados e bloqueados para enganar agentes de suporte a redefinir fatores de MFA em seu nome.

Examinar implementações de MFA obrigatório em grande escala e no mundo real fornece lições inestimáveis sobre o que funciona e o que cria atrito significativo. Em vez de focar em empresas específicas, podemos destilar essas experiências em várias verdades universais.

• O atrito inicial é inevitável, mas gerenciável: O lançamento do SCA na Europa demonstrou que forçar uma grande mudança no comportamento do usuário, mesmo que por segurança, inicialmente prejudicará as taxas de conversão. No entanto, também mostrou que, com processos refinados e habituação do usuário, esses efeitos negativos podem ser mitigados ao longo do tempo. A chave é antecipar esse atrito e projetar o fluxo mais simplificado e amigável possível desde o início.

• A escolha do usuário é uma faca de dois gumes: Quando lhes são dadas opções, os usuários consistentemente escolhem o caminho de menor resistência, o que muitas vezes significa selecionar métodos de MFA familiares, mas menos seguros, como o SMS. Isso leva a um estado de "teatro da conformidade", onde a organização cumpre a letra da lei, mas não seu espírito, permanecendo vulnerável a phishing. Uma estratégia bem-sucedida deve guiar ativamente os usuários para opções mais fortes e resistentes a phishing.

• A recuperação se torna o calcanhar de Aquiles: Em um mundo de obrigatoriedade, a recuperação de conta se transforma de um caso isolado em um fardo operacional primário e uma vulnerabilidade de segurança crítica. Confiar em e-mail ou SMS para recuperação mina todo o modelo de segurança, enquanto a recuperação conduzida pelo helpdesk é financeiramente insustentável. Um processo de recuperação robusto, seguro e amigável não é uma reflexão tardia; é um requisito central para qualquer obrigatoriedade bem-sucedida.

• Lançamentos em fases reduzem drasticamente o risco: Tentar um lançamento "big bang" para toda a base de usuários é uma estratégia de alto risco. Uma abordagem mais prudente, comprovada em grandes implementações empresariais, é pilotar o novo sistema com grupos de usuários menores e não críticos primeiro. Isso permite que a equipe do projeto identifique e resolva bugs, refine a experiência do usuário e colete feedback em um ambiente controlado antes de uma implantação em larga escala.

• Uma plataforma de identidade centralizada é um poderoso facilitador: Organizações com uma plataforma preexistente e centralizada de Gerenciamento de Identidade e Acesso (IAM) ou Single Sign-On (SSO) estão muito mais bem posicionadas para um lançamento tranquilo. Um sistema de identidade central permite a aplicação rápida e consistente de novas políticas de autenticação em centenas ou milhares de aplicativos, reduzindo significativamente a complexidade e o custo do projeto.

As passkeys, construídas sobre o padrão WebAuthn da FIDO Alliance, não são apenas uma melhoria incremental em relação ao MFA legado. Sua arquitetura subjacente, baseada em criptografia de chave pública, foi projetada especificamente para resolver os problemas mais dolorosos e persistentes criados pela obrigatoriedade do MFA.

• Resolvendo o pesadelo da recuperação: O maior desafio do MFA obrigatório é a recuperação de conta. As passkeys abordam isso de frente. Uma passkey é uma credencial criptográfica que pode ser sincronizada entre os dispositivos de um usuário através de seu ecossistema de plataforma (como o iCloud Keychain da Apple ou o Google Password Manager). Se um usuário perder o celular, a passkey ainda estará disponível em seu laptop ou tablet. Isso reduz drasticamente a frequência de bloqueios e diminui a dependência de canais de recuperação inseguros como e-mail ou intervenções caras do helpdesk.

• Resolvendo o problema do ciclo de vida do dispositivo: Como as passkeys são sincronizadas, a experiência de adquirir um novo dispositivo é transformada de um ponto de alto atrito para uma transição perfeita. Quando um usuário faz login em sua conta Google ou Apple em um novo celular, suas passkeys são automaticamente restauradas e prontas para uso. Isso elimina o doloroso processo de reinscrição, aplicativo por aplicativo, exigido pelos aplicativos autenticadores tradicionais vinculados ao dispositivo.

• Resolvendo o paradoxo da preferência do usuário: As passkeys resolvem o clássico dilema entre segurança e conveniência. O método de autenticação mais seguro disponível, a criptografia de chave pública resistente a phishing, é também o mais rápido e fácil para o usuário. Um único gesto biométrico ou PIN do dispositivo é tudo o que é necessário. Não há incentivo para um usuário escolher uma opção mais fraca e menos segura, porque a opção mais forte é também a mais conveniente.

• Resolvendo a vulnerabilidade ao phishing: As passkeys são resistentes a phishing por design. O par de chaves criptográficas criado durante o registro é vinculado à origem específica do site ou aplicativo (ex: corbado.com). Um usuário não pode ser enganado a usar sua passkey em um site de phishing semelhante (ex: corbado.scam.com) porque o navegador e o sistema operacional reconhecerão a incompatibilidade de origem e se recusarão a realizar a autenticação. Isso fornece uma garantia de segurança fundamental que nenhum método baseado em segredos compartilhados (como senhas ou OTPs) pode oferecer.

• Resolvendo a fadiga de MFA: Uma única e simples ação do usuário, como uma leitura de Face ID ou um toque de impressão digital, prova simultaneamente a posse da chave criptográfica no dispositivo ("algo que você tem") e a inerência através da biometria ("algo que você é"). Isso parece um único passo sem esforço para o usuário, mas satisfaz criptograficamente o requisito de autenticação multifator. Isso permite que as organizações atendam a padrões de conformidade rigorosos sem adicionar as etapas extras e a carga cognitiva associadas ao MFA legado.

Transicionar do MFA legado para uma estratégia que prioriza passkeys requer uma abordagem deliberada e multifásica que aborda tecnologia, experiência do usuário e metas de negócios.

Antes de poder tornar as passkeys obrigatórias, você deve entender a capacidade técnica de sua base de usuários para adotá-las. Este é um primeiro passo crítico para avaliar a viabilidade e o cronograma de um lançamento.

• Analise seu cenário de dispositivos: Use ferramentas de análise da web existentes para coletar dados sobre os sistemas operacionais (iOS, Android, versões do Windows) e navegadores que seus usuários preferem.

• Implemente uma ferramenta de prontidão para passkeys: Para dados mais precisos, uma ferramenta leve e que preserva a privacidade como o Corbado Passkeys Analyzer pode ser integrada ao seu site ou aplicativo. Ele fornece análises em tempo real sobre a porcentagem de seus usuários cujos dispositivos suportam autenticadores de plataforma (como Face ID, Touch ID e Windows Hello) e melhorias cruciais de UX como a Conditional UI, que permite o preenchimento automático de passkeys. Esses dados são essenciais para construir um modelo de adoção realista.

A transição para passkeys será gradual, não instantânea. Uma estratégia bem-sucedida requer um sistema híbrido que promova as passkeys como o método principal e preferido, ao mesmo tempo que fornece um fallback seguro para usuários em dispositivos incompatíveis ou para aqueles que ainda não se inscreveram.

• Escolha um padrão de integração:

  • Identifier-First: O usuário insere seu e-mail ou nome de usuário. O sistema então verifica se uma passkey está registrada para aquele identificador e, em caso afirmativo, inicia o fluxo de login com passkey. Caso contrário, ele recorre de forma transparente a uma senha ou outro método seguro. Essa abordagem oferece a melhor experiência do usuário e normalmente leva a taxas de adoção mais altas.

  • Botão dedicado para passkey: Um botão "Entrar com uma passkey" é colocado ao lado do formulário de login tradicional. Isso é mais simples de implementar, mas coloca o ônus sobre o usuário para selecionar o novo método, o que pode resultar em menor uso.

• Garanta que os fallbacks sejam seguros: Seu mecanismo de fallback não deve minar suas metas de segurança. Evite recorrer a métodos inseguros como OTPs de SMS. Uma alternativa mais forte é usar um código de uso único sensível ao tempo ou um link mágico enviado para o endereço de e-mail verificado do usuário, que serve como um fator de posse para uma sessão específica.

A comunicação eficaz é fundamental para um lançamento tranquilo. O objetivo é enquadrar as passkeys não como mais um incômodo de segurança, mas como uma atualização significativa na experiência do usuário.

• Mensagens focadas nos benefícios: Use uma linguagem clara e simples que se concentre nos benefícios para o usuário: "Faça login de forma mais rápida e segura", "Diga adeus às senhas esquecidas" e "Sua impressão digital agora é sua chave". Use consistentemente o ícone oficial da passkey da FIDO para criar reconhecimento.

• Estratégia de lançamento em fases:

  1. Comece com a adoção opcional: Inicialmente, ofereça a criação de passkey como uma opção na página de Configurações da Conta do usuário. Isso permite que os primeiros adeptos e usuários experientes em tecnologia optem por participar sem interromper o fluxo para todos os outros.

  2. Mova para a adoção proativa: Assim que o sistema estiver estável, comece a solicitar proativamente que os usuários criem uma passkey imediatamente após fazerem login com sucesso com sua senha antiga. Isso captura os usuários quando eles já estão em uma "mentalidade de autenticação".

  3. Integre ao onboarding: Finalmente, torne a criação de passkey uma opção principal e recomendada para todos os novos cadastros de usuários.

Uma abordagem orientada por dados é essencial para validar o investimento em passkeys e para otimizar continuamente a experiência. Todas as equipes devem acompanhar as métricas relevantes para suas funções.

• Métricas de adoção e engajamento:

  • Taxa de criação de passkey: A porcentagem de usuários elegíveis que criam uma passkey.

  • Taxa de uso de passkey: A porcentagem do total de logins que são realizados com uma passkey.

  • Tempo para a primeira ação chave: Quão rapidamente novos usuários realizam uma ação crítica após adotarem as passkeys.

• Métricas de negócios e operacionais:

  • Redução nos tickets de reset de senha: Uma medida direta da redução dos custos de helpdesk.

  • Redução nos custos de OTP por SMS: Economias de custo tangíveis ao eliminar um fator legado.

  • Taxa de sucesso de login: Comparando a taxa de sucesso de logins com passkey com a de logins com senha/MFA.

  • Diminuição nos incidentes de apropriação de conta: A medida final da eficácia da segurança.

As tabelas a seguir fornecem um resumo conciso, comparando métodos de autenticação e mapeando as soluções de passkey diretamente para os pontos de dor comuns do negócio.

Como as Passkeys Oferecem Soluções para os Pontos de Dor do MFA Obrigatório

A era da Autenticação Multifator obrigatória veio para ficar. Embora nascida da necessidade crítica de se defender contra ataques baseados em credenciais, essas obrigatoriedades inadvertidamente criaram um novo cenário de desafios.

Vimos que impor o MFA introduz fardos operacionais significativos, desde os custos diretos das taxas de SMS até o aumento de tickets de helpdesk de usuários com dificuldades na inscrição e na troca de dispositivos. Aprendemos que, quando lhes é dada a escolha, os usuários gravitam em direção a métodos familiares, mas vulneráveis a phishing, como o SMS, alcançando a conformidade no papel, mas deixando a organização exposta a ataques do mundo real. Mais criticamente, estabelecemos que, em um mundo de obrigatoriedade, a recuperação de conta se torna o maior ponto de falha, uma fonte de imensa frustração para o usuário e uma enorme brecha de segurança quando tratada incorretamente.

Os métodos de MFA legados não podem resolver esses problemas. Mas as passkeys podem. Demonstramos que as passkeys são a resposta definitiva, resolvendo diretamente as questões interconectadas de recuperação, atrito do usuário e segurança. Sua natureza sincronizada elimina a maioria dos cenários de bloqueio, sua facilidade de uso biométrica remove o incentivo para escolher opções mais fracas, e seu design criptográfico as torna imunes a phishing. Finalmente, apresentamos um plano claro de quatro etapas, desde a auditoria de prontidão até a medição do sucesso, que fornece um caminho prático para qualquer organização fazer essa transição estratégica.

Ver essa mudança apenas como uma dor de cabeça de conformidade é perder a oportunidade estratégica que ela apresenta. Os pioneiros da Autenticação Forte do Cliente no setor bancário europeu, apesar das dificuldades iniciais, acabaram moldando as expectativas dos usuários para toda uma indústria. Hoje, os pioneiros das passkeys têm a mesma oportunidade. Ao abraçar essa transição, as organizações podem transformar uma obrigação de segurança de um fardo oneroso em uma vantagem competitiva poderosa e duradoura. A hora de planejar sua mudança da obrigação para o impulso é agora.