Passkeys sem Biometria? Funciona?

As Passkeys Podem Funcionar Sem Biometria?#

Sim, as passkeys podem funcionar sem biometria usando autenticadores locais como PINs, padrões ou senhas do dispositivo. Estes métodos fornecem uma autenticação segura quando opções biométricas como reconhecimento de impressão digital ou facial não estão disponíveis. As passkeys dependem do autenticador local do dispositivo, que é configurado pelo utilizador e não é controlado pela parte confiadora (relying party).

---

Como as Passkeys Funcionam Sem Biometria#

As passkeys são baseadas no WebAuthn, um padrão para autenticação sem senha. Normalmente, as passkeys usam um autenticador local para verificação do utilizador. Quando a biometria, como o reconhecimento de impressão digital ou facial, não está disponível, o autenticador local fornece um método alternativo de autenticação.

O Que é um Autenticador Local?#

Um autenticador local é um mecanismo no seu dispositivo que verifica a sua identidade. Os exemplos incluem (todos não biométricos):

• Códigos PIN - Um código numérico que introduz para desbloquear o seu dispositivo.
• Padrões - Um padrão de deslize desenhado num ecrã tátil.
• Senhas do dispositivo - Senhas alfanuméricas usadas para aceder ao dispositivo.
• Bloqueios de ecrã - Qualquer outro mecanismo que restrinja o acesso ao dispositivo.

Como Funciona com as Passkeys?#

1. Configuração do Utilizador: O utilizador configura o seu autenticador local no seu dispositivo.
2. Criação da Passkey: O dispositivo gera um par de chaves criptográficas durante a configuração da conta.
   • A chave privada é armazenada de forma segura no dispositivo.
   • A chave pública é partilhada com o serviço (parte confiadora ou relying party).
3. Autenticação: Quando o utilizador tenta iniciar sessão:
   • A parte confiadora (relying party) envia um desafio para o dispositivo.
   • O dispositivo usa a chave privada para assinar o desafio.
   • O autenticador local (por exemplo, PIN, padrão) verifica a identidade do utilizador antes de assinar.

Vantagens de Usar Passkeys Sem Biometria#

• Acessibilidade: Permite que utilizadores sem dispositivos com capacidade biométrica usem passkeys.
• Segurança: Os autenticadores locais estão vinculados ao dispositivo e não podem ser intercetados remotamente.
• Controlo do Utilizador: Os utilizadores podem escolher o método com o qual se sentem mais confortáveis, aumentando as taxas de adoção.

Os Programadores Podem Influenciar os Autenticadores Locais?#

Não, os programadores e as partes confiadoras (relying parties) não podem controlar diretamente o tipo de autenticador local utilizado. Isto é determinado pela configuração do dispositivo do utilizador. No entanto, os programadores podem desenhar fluxos de utilizador que expliquem claramente o processo e orientem os utilizadores a configurar um autenticador local, caso ainda não o tenham feito.

Porque é que Isto é Importante?#

As passkeys sem biometria proporcionam inclusividade e flexibilidade. Nem todos os utilizadores têm acesso à mais recente tecnologia biométrica, mas ainda assim podem beneficiar da segurança e conveniência da autenticação sem senha através de alternativas como PINs e padrões.

---

Sobre a Corbado

Corbado é a Passkey Intelligence Platform para times de CIAM que rodam autenticação consumer em escala. Mostramos o que logs de IDP e ferramentas genéricas de analytics não enxergam: quais dispositivos, versões de SO, navegadores e gerenciadores de credenciais suportam passkeys, por que os registros não viram logins, onde o fluxo WebAuthn falha e quando uma atualização de SO ou navegador quebra silenciosamente o login — tudo sem substituir Okta, Auth0, Ping, Cognito ou seu IDP interno. Dois produtos: Corbado Observe adiciona observabilidade para passkeys e qualquer outro método de login. Corbado Connect entrega passkeys gerenciados com analytics integrado (junto ao seu IDP). VicRoads roda passkeys para mais de 5M de usuários com Corbado (+80% de ativação de passkey). Fale com um especialista em Passkeys →