Uma senha é comprometida quando é vazada em uma violação de dados e disponibilizada na dark web, permitindo que outras pessoas obtenham acesso não autorizado às
While both magic links and passkeys are methods of passwordless authentication, they’re not exactly the same. Some of the key differences between magic links and passkeys are how they work, their security, where a website server stores them and whether or not they expire after being used to log in to an account.
Continue lendo para saber mais sobre o que torna os links mágicos e as passkeys diferentes e semelhantes entre si.
O que são links mágicos?
Links mágicos são um tipo de login sem senha no qual o usuário recebe um link por e-mail ou SMS após inserir seu nome de usuário ou endereço de e-mail um portal de login. O link enviado ao usuário é chamado de link mágico. Quando o usuário clica nesse link mágico, ele faz login automaticamente em sua conta sem inserir uma senha. Os links mágicos também são comumente utilizados como método de autenticação multifator (MFA).
Para um indivíduo poder fazer login em uma conta utilizando um link mágico, o site ou aplicativo deve ser compatível com essa função.
O que são passkeys?
As passkeys são um tipo mais recente de login sem senha que permite aos usuários autenticar sua identidade da mesma maneira que desbloqueiam seus dispositivos, por exemplo, com sua impressão digital, reconhecimento facial ou inserindo um PIN. As passkeys são compostas por uma chave pública e uma chave privada, e ambas são necessárias para autenticar a identidade de um usuário antes de acessar sua conta. A chave pública é armazenada nos servidores da empresa, enquanto a chave privada é armazenada localmente no dispositivo do usuário. Quando um usuário faz login em sua conta utilizando uma passkey, é solicitado que utilize sua biometria ou insira o PIN do dispositivo sem precisar digitar uma senha manualmente.
Para começar a utilizar passkeys, o site ou aplicativo no qual desejar utilizá-las deve ser compatível.
Principais diferenças entre links mágicos e passkeys
Aqui estão algumas das principais diferenças entre links mágicos e passkeys.
Como funcionam
Links mágicos e passkeys funcionam de formas muito diferentes. Ao utilizar um link mágico para entrar em uma conta, o usuário recebe um link por e-mail ou SMS. Quando o usuário clicar nesse link, ele fará login em sua conta. Fazer login com um link mágico geralmente exige que o usuário alterne entre guias, aplicativos ou dispositivos momentaneamente. Com passkeys, os usuários não recebem nada por e-mail ou SMS. Ao invés disso, utilizam biometria ou o PIN do dispositivo para fazer login em sua conta imediatamente.
Segurança
Em termos de segurança, as passkeys são fortes por padrão. As passkeys não podem ser facilmente comprometidas como os links mágicos porque são desenvolvidas com base no padrão WebAuthn, que utiliza criptografia de chave pública para autenticar a identidade de um usuário. Para acessar uma conta com passkeys habilitadas, o usuário sempre precisará do “autenticador” para fazer login. O autenticador é o que a pessoa utiliza para criar a passkey, que pode ser um celular, tablet, computador ou gerenciador de senhas.
Links mágicos, por outro lado, podem ser inseguros. Se a conta de e-mail de alguém não estiver protegida com uma senha forte e MFA, um cibercriminoso poderá comprometê-la facilmente e acessar um link mágico para entrar em outras contas do usuário. Links mágicos enviados por SMS também são vulneráveis a comprometimento através de ataques de troca de SIM. A troca de SIM ocorre quando um cibercriminoso convence sua operadora móvel a ativar um novo cartão SIM. Se um cibercriminoso conseguir convencer sua operadora móvel a ativar um novo cartão SIM, ele receberá todas as suas mensagens SMS e chamadas telefônicas, o que significa que ele poderá entrar em suas contas utilizando links mágicos e redefinições de senhas enviadas para o seu número de telefone.
Armazenamento
Quando uma passkey é criada para um site ou aplicativo, a parte da chave pública da passkey é sempre armazenada no servidor da empresa. É importante entender que, mesmo embora o servidor armazene a chave pública, essa parte é inútil sem a chave privada relacionada, que é armazenada localmente no dispositivo do usuário. Quando se trata de links mágicos, o token do link mágico reside nos servidores da empresa apenas por um curto período. Após esse período, é necessário gerar um novo token para uma nova tentativa de login.
Expiração
Quando uma passkey é criada para uma conta, ela não expira até que você decida excluí-la. As mesmas chaves pública e privada são sempre utilizadas para fazer login na sua conta. Isso é diferente dos links mágicos, que são apenas temporários e expiram após um período definido. Quando um usuário recebe um link mágico, esse link expira após ser acessado pelo usuário. Alguns links mágicos até expiram após um período definido caso você demore demais para abri-los, o que significa que precisará solicitar um novo.
Semelhanças entre links mágicos e passkeys
Embora os links mágicos e as passkeys tenham diferenças, também são semelhantes em alguns aspectos.
Ambos são tipos de autenticação sem senha
A autenticação sem senha é um método de verificação da identidade de alguém sem utilizar uma senha para fazer login em uma conta. Os links mágicos e as passkeys são tipos de autenticação sem senha que permitem aos usuários entrar em suas contas e aplicativos online sem precisar digitar uma senha manualmente.
Ambos podem ser utilizados como métodos de MFA
Embora os links mágicos e as passkeys possam ser utilizados como métodos de login, também podem ser utilizados como métodos de autenticação multifator. No entanto, isso depende que o site ou aplicativo seja compatível com a utilização de links mágicos e passkeys. Por exemplo, alguns sites podem suportar a utilização de passkeys apenas como método de MFA, enquanto outros sites podem ser compatíveis com a utilização de passkeys como método de login e de MFA.
Ambos aprimoram a experiência de login do usuário
Como os links mágicos e as passkeys eliminam a necessidade de criar e memorizar senhas, eles tornam a experiência de login do usuário muito mais fácil. Eles também eliminam a necessidade do usuário redefinir suas senhas porque as esqueceu, removendo o risco de criar senhas fracas por serem mais fáceis de memorizar.
Autenticação sem senha com links mágicos e passkeys
Links mágicos e passkeys podem ser utilizados como maneiras de fazer login em suas contas sem precisar digitar uma senha. No entanto, é importante entender que links mágicos podem ser inseguros às vezes, de modo que, se houver a opção de habilitar passkeys como método de login, além de simplificar sua experiência de login, isso também tornará sua conta muito mais segura. Para ver quais sites e aplicativos são compatíveis com o uso de passkeys como método de login, confira nosso Diretório de Passkeys.
Nem todos os sites e aplicativos suportam passkeys, de modo que ainda é necessário criar senhas fortes para algumas de suas contas. Um gerenciador de senhas como o Keeper® pode ajudar a criar senhas fortes e gerenciar suas senhas e passkeys.