Esta receita faz parte da série Aprenda CIAM por exemplo: Quatro receitas para melhorar a segurança e a experiência do usuário dos seus aplicativos. Você pode saber mais sobre a série baixando nossas quatro receitas em formato de livro de receitas. Nesta receita, você aprenderá como adicionar autenticação sem senha ao seu aplicativo usando passkeys. |
Os vetores de ataque estão se tornando mais sofisticados a cada dia, e as senhas não são o único alvo fácil para comportamentos maliciosos.
Consumidores, legisladores e organizações estão se tornando mais conscientes da segmentação maliciosa com IA para fazer phishing ou convencer fraudulentamente uma parte a compartilhar informações confidenciais.
Por exemplo, se o número de um usuário vazar, agentes maliciosos podem implantar um bot para assediar eles com uma enxurrada de notificações push através de seus dispositivos registrados, para pressioná-los a autorizar uma transação, ou mesmo redirecioná-los com um QR Code para uma página de fornecedor falsa para fazer login para roubar ainda mais dados.
As táticas de *phishing* incluem, mas não se limitam a implantação de *malware*, monitoramento de *spyware* e tomada de controle de contas para enganar os usuários a compartilhar mais dados pessoais que podem ser repetidamente abusados.
O que é uma passkey?
Uma passkey é um par de chaves — uma para você que é pública e outra para seu usuário conhecido que é privada e você nunca vê.
Os usuários podem contar com a chave privada de sua passkey para autorizar qualquer canal com uma chave pública associada, o que significa que seus usuários nunca precisam configurar biometria diretamente com você, mas, em vez disso, se beneficiam da reutilização de sua biometria existente em seus serviços e serviços de parceiros.
Os desenvolvedores podem ficar tranquilos sabendo que os agentes mal-intencionados não podem fazer nada com sua chave pública hospedada porque nenhuma informação de perfil do consumidor ou credenciais estão associadas a uma chave pública — apenas uma chave privada autorizada pelo usuário pode se conectar com a chave pública para conceder acesso.
Com as passkeys, as organizações podem fazer com que os consumidores façam login em redes usando a tecnologia móvel existente de seus smartphones, tornando possível autenticar em quase qualquer lugar usando a mesma biometria ou PIN que usam para desbloquear seus dispositivos.
Por que as chaves de acesso estão tão em alta agora?
Os clientes querem gastar menos tempo fazendo login.
A forma como enviamos mensagens de texto, fazemos chamadas e até mesmo publicamos atualizações de mídia social é a mesma tecnologia que provedores de serviços como Apple e Google incorporaram em seus produtos para facilitar e acelerar o login em seus ecossistemas.
Agora, as organizações podem criar seus próprios ecossistemas de fornecedores e oferecer aos usuários maneiras mais seguras de fazer login e gerenciar seus dados sem uma senha. As passkeys também podem acelerar a autenticação em 2,6x em sua plataforma.
As passkeys oferecem uma melhor experiência do usuário (UX) que oferece às organizações mais controle sobre suas propriedades digitais em todos os sistemas e dispositivos, com o benefício adicional para os usuários de evitar senhas por completo.
Fundamentalmente, as chaves de acesso deixam os consumidores felizes porque podem mudar de dispositivo em diferentes contextos e ambientes e manter uma experiência perfeita, e as organizações podem impulsionar seu funil.
Embora possa parecer intimidante adicionar mais uma credencial digital à lista, as passkeys são apoiadas por fortes padrões criptográficos que valem o hype, e qualquer organização pode adicionar passkeys à sua estratégia anti-phishing com Auth0 by Okta.
Receita
Ingredientes:
As passkeys são super fáceis de configurar. Com apenas algumas etapas no painel do Auth0, seu Novo Login Universal hospedado na nuvem atualizará o restante, com passkeys disponíveis para todos os usuários.
- Navegue até Authentication > Authentication Profile e selecione Identifier First
- Navegue até Authentication > Database e selecione Create DB Connection. Nomeie-o como "Passkeys" e clique em Create. Selecione a aba Authentication Methods na próxima tela e habilite Passkey
- E é isso! Ao fazer login ou se inscrever, você verá a passkey como uma opção, com todas as práticas recomendadas de UX e autenticação segura integradas
Passkeys: A segurança amigável ao cliente
As passkeys facilitam para os usuários atravessar com segurança várias redes e canais porque as passkeys cortam várias redes de fornecedores sem compartilhar credenciais, incluindo senhas.
As passkeys nunca são compartilhadas fora de seu dispositivo ou serviços e capturam o consentimento de um usuário (tocando duas vezes no botão lateral) para acessar suas propriedades digitais sem inserir uma senha.
Software-bound
As passkeys podem autenticar usuários sem senhas em dispositivos e serviços para continuar transmitindo seu programa favorito do seu smartphone para o seu tablet.
Digamos que seu usuário se cadastrou em seu serviço de streaming usando suas credenciais do Google, mas ele usa seu Apple ID para tudo o mais porque ele tem um iPhone e um iPad.
A *passkey* do iPhone de um usuário pode ser usada (com o consentimento dele) para criar uma *passkey* para esse serviço de *streaming* em seu iPad para sua conta do Google, sem nenhuma das etapas envolvidas no registro e compartilhamento normal de biometria entre fornecedores, que são substituídas por uma *passkey* sincronizada.
Vinculado ao dispositivo
O hardware de passkey, como um Yubikey, é o padrão ouro para resistência a phishing e segurança disponível ao consumidor. Na verdade, quando realizada por meio de comunicação de campo próximo, é a maneira mais segura de usar uma passkey porque a passkey nunca sai do dispositivo, e o uso de um dispositivo físico acomoda a prova de presença.
Uma passkey vinculada ao dispositivo pode ser usada para realizar autenticação entre dispositivos em proximidade um do outro — e sincronizar, fazer login (e iniciar o streaming) instantaneamente entre dispositivos, e é considerado o padrão de passkey mais seguro.
As marcas podem proteger seus perímetros incentivando o uso de hardware de passkey e, como uma gigante da mídia, veem taxas de conversão mais altas e uma diminuição drástica nas solicitações de serviço de conta, tudo isso enquanto protegem contra atividades maliciosas e oferecem uma experiência segura e sem atritos que os consumidores adoram.
Para saber mais sobre as passkeys device-bound, confira nossa postagem sobre como configurar com o Auth0.
Qual o próximo passo?
Parabéns por adicionar passwordless aos seus aplicativos com chaves de acesso! Agora, estamos prontos para verificar a privacidade dos dados! Para proteger totalmente as informações de seus clientes e cumprir regulamentos como GDPR, HIPAA e CCPA, seu aplicativo precisa fornecer recursos adicionais, como consentimento do usuário, auditoria de dados e uma central de preferências.
Em nossa próxima receita, vamos nos aprofundar em elementos essenciais para colocar seu aplicativo em conformidade com a privacidade de dados. Para obter todas as receitas em um guia abrangente, baixe nosso *cookbook*.
