O que são logins sem senha? Eles são realmente seguros?

Propaganda

As senhas são vitais para sua segurança na Internet. Mas com tantos serviços, tanto online quanto offline, é difícil acompanhar suas senhas. Os sistemas de login sem senha estão começando a decolar, removendo o requisito de inserir uma senha toda vez que você efetua login em um serviço.

Mas se você não está usando uma senha, como protege sua conta? O que são logins sem senha e são seguros?

O que é um login sem senha?

Logins sem senha são sistemas de autenticação que usam alternativas a uma senha para permitir o acesso à sua conta. Por exemplo, em vez de uma senha, você recebe uma notificação por email que atua como um token de logon. Como alternativa, você pode receber um pop-up no seu smartphone, permitindo controlar o acesso a uma conta.

Nesse sentido, o login sem senha geralmente usa uma forma preexistente de autenticação para garantir sua identidade.

Você já pode ter encontrado logins sem senha usando sua conta do Gmail. Em vez de precisar digitar sua senha sempre que você fizer login, o Google pode enviar um prompt diretamente para o seu telefone. O prompt mostra a hora e o local da tentativa de logon, com a opção de aprovar ou negar o logon.

Como funciona um login sem senha?

Ao fazer login em um site, você deve fornecer uma senha para desbloquear sua conta. A senha é conhecida apenas por você e pelo site, mantendo sua conta segura. Você confia que o site manterá sua senha segura, armazená-la com segurança e que o site em si não é vulnerável.

Além disso, você definitivamente já usa senhas fortes e exclusivas para cada site e serviço, porque essa é a prática mais segura.

No entanto, é este último que se tornou difícil. A criação de uma senha de uso único forte para cada site viu os usuários criarem senhas facilmente memoráveis, mas terríveis. E mesmo que você crie uma senha segura, uma olhada no número de violações de dados a cada mês pode prejudicar seus esforços.

Com a autenticação sem senha, você não precisa confiar no site com uma senha. Em vez de inserir uma senha a cada vez, os logons sem senha usam alguns métodos de autenticação diferentes.

Autenticação sem senha baseada em email

O sistema de login sem senha mais comum atualmente é via email. Muitos usuários encontrarão o login sem senha baseado em email no sistema mais familiar, funcionando de maneira semelhante a uma redefinição de senha.

Ao tentar fazer login, você fornece um endereço de email. O serviço envia um email seguro para o endereço associado à conta e o email contém um link mágico seguro e de uso único para inserir sua conta de serviço. O link mágico inclui um token de login exclusivo que o serviço verifica, trocando-o por um token de validação de longa data.

Existem outras variantes no sistema de email. Por exemplo, no caso de uma conta existente, o serviço pode enviar ao usuário um código de chave DKIM de uso único, vinculado aos detalhes da conta. O usuário recebe o código DKIM e o insere no site. O site verifica o código com os detalhes do usuário existente e conclui o processo de login.

Login sem senha baseado em SMS

Nesse caso, o usuário digita um número de telefone válido. O serviço envia um código de uso único para o número de telefone. O usuário pode fazer login no serviço. Como alternativa, alguns serviços se oferecem para "chamar robo" o usuário, onde um serviço de conversão de texto em fala lê o código diretamente.

A segurança do SMS está sendo examinada, no entanto. A grande maioria de nós tem pouco com o que se preocupar. Mas vários indivíduos de alto valor (especialmente aqueles com grandes volumes de criptomoedas) sofreram ataques de hackers por SMS. Confira exatamente o que ataque de troca sim é e como você se protege contra ele O que é a troca do cartão SIM? 5 dicas para se proteger deste golpeCom o aumento do acesso à conta de celular e o 2FA para segurança, a troca de cartão SIM é um risco crescente à segurança. Aqui está como parar. consulte Mais informação .

Login sem senha baseado em biometria

Alguns métodos de login sem senha usam serviços de verificação biométrica para autenticar sua identidade. Os serviços de autenticação biométrica estão aparecendo em mais dispositivos do que nunca. (Você deveria mude para um serviço biométrico para o seu smartphone?)

A idéia é que, quando você deseja acessar um site, um prompt é exibido no seu smartphone. Você desbloqueia o smartphone usando seu sistema biométrico preferido e o desbloqueio atua como verificação da sua identidade.

No entanto, além do Face ID da Apple (para dispositivos que incluem e fabricam após o iPhone X, iPad Pro terceira geração e iPod touch sétima geração), a varredura biométrica de dispositivos móveis não é inteiramente seguro.

Outros fabricantes enfrentam que o hardware de digitalização não é tão avançado e é enganado com uma fotografia, enquanto é preciso uma cabeça totalmente impressa e pintada em 3D para enganar o Face ID da Apple. Em outros casos, scanners de impressões digitais permitem reconhecimento parcial 5 maneiras pelos quais os hackers ignoram os scanners de impressões digitais (como se proteger)Acha que seu leitor de impressões digitais torna seu dispositivo seguro? Pense de novo! Aqui estão 5 maneiras pelas quais os scanners de impressões digitais podem ser invadidos. consulte Mais informação para desbloquear um dispositivo.

No momento, um sistema de login biométrico sem senha provavelmente não é a melhor opção. No futuro, no entanto, poderia se tornar a melhor opção.

Chave física Login sem senha

As chaves de segurança física oferecem outra opção de autenticação de login sem senha. Uma chave de segurança física é uma chave de segurança USB especial. Quando você deseja acessar sua conta, conecte sua chave de segurança ao seu computador. O serviço online valida sua conta através da chave de segurança, eliminando a necessidade de uma senha.

Os principais exemplos de uma chave de segurança física incluem a série Titan do Google e a série Yubikey de Yubico.

Logins sem senha são como autenticação de dois fatores?

Sim e não.

Sim, um login sem senha é semelhante à autenticação de dois fatores (2FA), pois você acessa sua conta usando um método de autenticação alternativo. O 2FA funciona protegendo sua conta usando dois fatores separados, geralmente uma senha e um dispositivo separado.

Não, não é o mesmo porque, embora você esteja usando um dispositivo separado para autenticar sua conta, ainda é apenas um fator.

Um login sem senha é mais seguro?

Tudo o que impede os usuários de criar senhas terríveis é bom, certo? Logins sem senha removem outro ponto de falha do usuário final. No momento, logons sem senha não são comuns. Vários serviços importantes os estão usando, como o Gmail (como mencionado acima) e o Slack Magic Links.

O maior ponto positivo para os proprietários e moderadores de sites é a súbita falta de lidar com as senhas dos usuários. Senhas não criptografadas armazenadas em um arquivo de texto não criptografado são coisas de pesadelos; é o material dos sonhos para um hacker. Os usuários que raramente acessam um serviço também não precisariam passar pelo rigmarole "redefinir sua senha".

Logons sem senha também podem ajudar os usuários a entrar no serviço rapidamente. Por outro lado, se você for desconectado regularmente do serviço, a necessidade de autorizar novamente por e-mail ou SMS pode se tornar irritante, dependendo do período de tempo.

Por enquanto, use um gerenciador de senhas

Os logins sem senha levarão tempo para se tornar o mainstream. A bola está rolando, no entanto. A maioria dos principais navegadores (exceto o Safari) suporta login sem senha de um tipo ou de outro. Em fevereiro de 2019, o Google também anunciou que os dispositivos com Android 7 (Android Nougat) ou posterior também receberiam suporte de login sem senha.

Isso significa suporte de login sem senha para quase 50% de todos os dispositivos Android. E os padrões de login sem senha, como FIDO2 e WebAuthn, continuarão recebendo atualizações, garantindo ainda mais o método de autenticação.

No momento da redação, você ainda precisa de uma senha. Você precisa de uma senha forte e de uso único. Com aquilo em mente, por que não considerar o uso de um gerenciador de senhas Os melhores gerenciadores de senhas para todas as ocasiõesEstá lutando para lembrar suas senhas cada vez mais elaboradas? É hora de contar com um desses gerenciadores de senhas gratuitas ou pagas! consulte Mais informação ?