Como reformular a autenticação do usuário e a verificação de identidade

Ashima Arora
Ashima Arora
LinkedIn
Chirag Desai
Chirag Desai
X LinkedIn
Eiji Kitamura

Este ano, no Google I/O, compartilhamos como o Chrome está remodelando a autenticação de usuários e a verificação de identidade na Web com a API do navegador. Seja usando senhas, chaves de acesso ou federação, o Chrome vai oferecer uma experiência de login e inscrição unificada, mais simples, segura e fácil de usar.

Descubra as ferramentas e práticas recomendadas mais recentes para melhorar o processo de inscrição e login no seu site.

Consulte a página da sessão ou continue lendo para saber mais sobre os principais destaques.

O navegador como seu aliado

A autenticação na Web está em evolução. Com o aumento das expectativas dos usuários, novas regulamentações e um ecossistema crescente de ferramentas de identidade digital, os desenvolvedores precisam oferecer fluxos de login e inscrição seguros, simples e que preservem a privacidade. O Chrome está aqui para ajudar.

Há três áreas principais de foco:

  • Autenticação do usuário: ajuda a oferecer suporte a fluxos de login fortes com melhor gerenciamento de senhas, adoção de chaves de acesso mais fácil e suporte integrado à federação de identidade pelo gerenciamento de credenciais federadas (FedCM, na sigla em inglês).
  • Verificação de identidade: permite solicitar detalhes verificados do usuário, como idade ou propriedade do documento de identificação, usando credenciais digitais de carteiras para dispositivos móveis.
  • Gerenciamento de sessões: ajuda a proteger os usuários após o login vinculando sessões ao dispositivo com credenciais de sessão vinculadas ao dispositivo.

Conheça as ferramentas e APIs que tornam tudo isso possível.

Gerenciador de credenciais para a Web: uma interface de login para todas as suas credenciais

Fazer login precisa ser conveniente. No entanto, com senhas, chaves de acesso e opções federadas, os usuários geralmente enfrentam uma mistura confusa de opções.

O Chrome está ampliando a API Credential Manager, permitindo que você solicite credenciais no navegador, independente do tipo, usando uma interface consistente. Se as credenciais estiverem disponíveis em um gerenciador de senhas, o Chrome as mostrará ao usuário em uma única caixa de diálogo, reduzindo a complexidade para o usuário.

Se o Chrome não encontrar as credenciais, vamos avisar você e você poderá usar seu próprio fluxo de login.

Fluxo de login unificado com a nova API Credential Manager.

Essa nova experiência reduz o atrito e facilita o login.

Esse recurso está em testes com desenvolvedores. Para começar a usar localmente, ative a flag chrome://flags#enable-experimental-web-platform-features, incluindo as credenciais password e publicKey, e use mediation: "immediate" para ativar a mediação imediata.

O snippet de código abaixo mostra como ele deve ficar:

const cred = await navigator.credentials.get({
  password: true,
  publicKey: {
    challenge,
    rpId: 'example.com'
  },
  mediation: 'immediate',
});

Saiba mais no nosso documento sobre como testar a mediação imediata no Chrome.

Senhas: mais inteligentes e seguras

As senhas ainda são o método de autenticação mais comum do mundo. Navegadores e gerenciadores de senhas oferecem ferramentas para melhorar a experiência de login com senhas, mas os sites nem sempre as adotam.

O Chrome oferece suporte a práticas mais seguras com recursos do Gerenciador de senhas do Google, como a geração de senhas em formulários de inscrição ou verificações de violação de senha para alertar os usuários sobre credenciais comprometidas.

Confira algumas ferramentas para melhorar a experiência de uso de senhas no seu site.

Mudança automática de senha: corrija senhas comprometidas com um clique

O recurso Troca de senha automatizada, que será lançado ainda este ano para alguns sites, facilita a resposta dos usuários quando as credenciais deles estiverem em risco.

Quando o Chrome detecta uma senha comprometida durante o login, o Gerenciador de senhas do Google oferece ao usuário a opção de corrigir automaticamente.

Em sites com suporte, o Chrome pode gerar uma substituição forte e atualizar a senha do usuário automaticamente.

Isso reduz o atrito e ajuda os usuários a manter a conta segura, sem precisar procurar nas configurações da conta ou abandonar o processo no meio do caminho.

Mudança automática de senha em uso.

Há algumas ações que você pode fazer para otimizar seu site e garantir que ele funcione bem com navegadores e gerenciadores de senhas.

  • Otimização do preenchimento automático: use autocomplete="current-password" e autocomplete="new-password" para acionar o preenchimento automático e o armazenamento. Consulte nossos guias de logon e inscrição.
  • URLs para alteração de senha: faça um redirecionamento de <your-website-domain>/.well-known/change-password para o formulário de alteração de senha no seu site (URL conhecido para alteração de senha). Quando uma senha vulnerável é detectada, os gerenciadores de senhas podem direcionar o usuário para a página de alteração de senha.

Compartilhamento de credenciais integrado: um único login no app e na Web

Os gerenciadores de senhas fazem mais do que apenas armazenar senhas. Eles ajudam a evitar o phishing oferecendo credenciais somente quando o domínio corresponde. No entanto, os usuários ainda podem ter problemas quando o serviço abrange vários domínios e plataformas.

Exemplo:

  • Um usuário se inscreve no seu app Android e depois visita seu site em um laptop.
  • Ou você oferece vários domínios ou apps que aceitam o mesmo login

Sem uma credencial compartilhada, não oferecemos uma senha salva. Por isso, os usuários podem ter dificuldades para fazer login.

O compartilhamento de credenciais integrado ajuda a corrigir isso. Ao associar seus apps e sites, o Gerenciador de senhas do Google pode compartilhar a senha entre esses recursos, resultando em uma experiência de login mais fácil e simplificada.

O eBay aumentou a taxa de login bem-sucedido em 10%. Saiba mais com este estudo de caso: Como o eBay melhorou as taxas de sucesso de login em 10% com o compartilhamento de credenciais perfeito.

Chaves de acesso: um método de login mais simples e seguro

As chaves de acesso são uma alternativa mais segura às senhas que ajudam os usuários a fazer login com segurança em sites e apps usando o mecanismo de desbloqueio do dispositivo, como biometria (por exemplo, impressões digitais ou rosto), PIN ou padrão. Elas são resistentes a phishing, são fáceis de usar e são um padrão amplamente adotado em navegadores e sistemas operacionais.

Sincronizar chaves de acesso entre plataformas

Os usuários armazenam chaves de acesso no gerenciador de senhas, mas alguns deles não as sincronizam. Isso pode causar problemas se um usuário tentar fazer login em um dispositivo em que a chave de acesso não está disponível. Nesse caso, o Chrome mostra um código QR para que o usuário possa concluir o login em outro dispositivo que tenha a credencial.

Para reduzir esse atrito, o Chrome adicionou suporte à sincronização de chaves de acesso no Gerenciador de senhas do Google.

Com a extensão do suporte ao iOS, as chaves de acesso no Gerenciador de senhas do Google podem ser sincronizadas em todas as principais plataformas, incluindo Android, Windows, macOS, ChromeOS e Linux. Saiba mais no artigo Ambientes com suporte.

Mediação imediata: solicite apenas as credenciais disponíveis

Alguns usuários não sincronizaram chaves de acesso em todos os dispositivos. Se uma chave de acesso não for encontrada localmente, o Chrome poderá mostrar um código QR para que o usuário possa usar outro dispositivo que tenha a credencial. Isso funciona, mas pode causar problemas.

Para reduzir essa dificuldade, o Chrome oferece uma nova opção: mediation: 'immediate'. Isso permite que seu site solicite apenas credenciais que já estão disponíveis no dispositivo atual. Se nenhuma for encontrada, o usuário não vai ver nada. Sem comandos, sem QR codes, sem interrupções. O Chrome informa isso para que você possa mostrar sua IU de login normal.

Isso melhora a experiência, evitando fluxos de código QR para usuários sem credenciais.

Use essa abordagem quando um usuário realizar uma ação significativa, como clicar em um botão de login ou de finalização da compra. Quando você usa navigator.credentials.get() com mediation: 'immediate', se uma chave de acesso estiver disponível no dispositivo atual, o Chrome vai solicitar a confirmação do usuário imediatamente. Caso contrário, o usuário continua sem interrupção, e você pode mostrar um campo de senha, um código único ou outro método.

Também é possível aumentar as chances de ajudar o usuário a fazer login definindo password: true. Isso permite que o Chrome retorne senhas salvas com chaves de acesso, se disponíveis.

O exemplo a seguir mostra como solicitar uma chave de acesso com mediação imediata:

navigator.credentials.get({
  publicKey: {
    challenge: new Uint8Array([/* your challenge here */]),
    rpId: 'example.com'
  },
  mediation: 'immediate',
  //< password: true == enable this to request passwords alongside passkeys
}).t>hen(credential = {
  // Use the credential for sign in
>}).catch(error = {
  if (error.name === 'NotAllowedError') {
    // No credential found on this device, fall back to another method
  } else {
    console.error('Error during sign-in', error);
  }
});

Esse recurso está em trilhas para desenvolvedores. Saiba mais sobre ele na explicação sobre a mediação imediata da WebAuthn.

Criação automática de chaves de acesso

Muitos usuários ainda fazem login com senhas. Para ajudar na adoção de chaves de acesso, o Chrome apresenta uma API que ajuda a criar uma chave de acesso para os usuários, de forma automática, após um login com senha bem-sucedido.

Basta solicitar a criação de uma chave de acesso. Se o usuário tiver uma senha salva usada recentemente, o gerenciador de senhas vai criar uma chave de acesso e informar se ela foi bem-sucedida. O usuário pode receber uma notificação quando a chave de acesso estiver disponível. Isso não exclui a senha do usuário.

Se a chave de acesso não for criada, o navegador não vai interromper o usuário nem mostrar nenhuma interface.

Isso permite que os usuários adotem as chaves de acesso gradualmente, sem interromper o fluxo de login.

Esse recurso está disponível no Chrome 136. Saiba mais no artigo Ajudar os usuários a adotar chaves de acesso de forma mais simples.

Limpar chaves de acesso com a API Signal

Se um usuário excluir uma chave de acesso do seu site ou app, o gerenciador de senhas ainda poderá oferecê-la durante o login, causando falhas e confusão. A API Signal permite que seu app notifique o gerenciador de senhas quando uma chave de acesso for removida, mantendo as listas de credenciais limpas e precisas.

Você também pode ajudar a manter as chaves de acesso atualizadas enviando uma lista de chaves de acesso conhecidas para o gerenciador de senhas. Isso permite limpar todas as chaves de acesso não usadas para o usuário.

A API Signal está disponível a partir do Chrome 132. Saiba mais em Manter as chaves de acesso consistentes com as credenciais no seu servidor com a API Signal.

Importar e exportar: leve suas credenciais com você

Os usuários que alternam entre gerenciadores de senhas geralmente têm dificuldade para transferir as credenciais. O Chrome está adicionando suporte à importação e exportação de chaves de acesso e senhas, com base nos padrões FIDO. O usuário não precisa processar arquivos.

Melhorias de preenchimento automático

Para mostrar as credenciais armazenadas de forma amigável ao usuário, o Chrome pode mostrar automaticamente o menu suspenso de preenchimento automático quando o formulário de login estiver pronto. Basta oferecer suporte a senhas e chaves de acesso no formulário e aplicar o foco automático ao campo de entrada.

Isso é útil porque as credenciais são mostradas sem exigir que o usuário clique em um campo. Em vez disso, o usuário pode tocar na credencial que quer usar, reduzindo o atrito.

Saiba mais no artigo Fazer login com uma chave de acesso usando o preenchimento automático de formulários.

Recursos de aprendizado atualizados

Reformulamos nossos recursos de aprendizado sobre chaves de acesso para garantir que você possa oferecer a melhor experiência possível aos seus usuários.

FedCM: como melhorar a identidade federada

A API Federated Credential Management (FedCM) permite que os usuários façam login com provedores de identidade confiáveis usando um fluxo mediado pelo navegador que prioriza a privacidade e a experiência do usuário. A FedCM ajuda a simplificar as experiências de inscrição e login na Web, para que os desenvolvedores possam oferecer suporte à autenticação perfeita com menos esforço.

Interface mais inteligente

Agora, o FedCM oferece mais controle sobre como e quando o comando de login aparece. Ele oferece suporte a dois modos:

  • Modo passivo: o navegador mostra automaticamente o comando de login para provedores de identidade conhecidos quando os usuários retornam ao site. Isso funciona bem para usuários conhecidos, mas pode parecer intrusivo se mostrado muito cedo.
  • Modo ativo: o comando aparece somente depois que o usuário clica em um botão de login, criando uma experiência mais deliberada.

Isso é importante porque reduz a confusão e evita surpreender os usuários. Com o modo ativo, os usuários podem permanecer no site e nunca receber um redirecionamento ou outras caixas de diálogo.

Mas o Chrome também está trabalhando para tornar o modo passivo mais inteligente. As próximas atualizações vão testar técnicas de machine learning que incorporam indicadores do site e do usuário para determinar quando e como mostrar a interface para oferecer uma experiência ótima ao usuário.

APIs mais flexíveis

O FedCM oferece mais flexibilidade e controle sobre como os usuários fazem login com a identidade federada.

Por exemplo, o suporte a vários provedores de identidade permite mostrar aos usuários uma lista de provedores em vez de apenas um. Isso significa que os usuários podem escolher a conta que funciona para eles e melhorar as taxas de login enquanto mantêm uma forte privacidade do usuário.

O navegador ainda media cada etapa. Os provedores de identidade só veem o que os usuários permitem explicitamente, e a privacidade permanece protegida durante todo o fluxo.

Credenciais digitais: verificação de identidade rápida e particular on-line

As credenciais digitais estão se tornando mais comuns em todo o mundo. Elas permitem que os usuários verifiquem atributos como idade, status de estudante ou identidade usando uma carteira digital. A API Digital Credentials permite que os usuários compartilhem declarações verificadas, como idade ou status da licença, da carteira para dispositivos móveis diretamente com sites.

Estamos trabalhando com o W3C e líderes do setor para tornar isso um padrão. Nosso objetivo é oferecer uma experiência fácil de usar, segura, privada e consistente em todas as plataformas.

Alguns recursos interessantes:

Credenciais de sessões vinculadas ao dispositivo: permaneça conectado e protegido

As sessões de usuários são frequentemente identificadas pelos cookies, que podem ser roubados por malware do dispositivo de um usuário.

As credenciais de sessões vinculadas ao dispositivo vinculam uma sessão a um dispositivo específico. Isso reduz o risco de invasão de sessão e melhora a proteção quando você faz login nas suas contas de e-mail ou mídias sociais ou acessa serviços governamentais.

As DBSCs ajudam os desenvolvedores a criar sessões mais seguras e estáveis ao vincular a autenticação ao dispositivo usado durante o login.

Feedback

Queremos saber o que você achou de tudo o que compartilhamos. Teste os recursos, explore os links neste documento e diga o que você achou.

Enviar feedback