𝗣𝗮𝘀𝘀𝗸𝗲𝘆𝘀 𝗶𝗻 𝟮𝟬𝟮𝟲: 𝗔 𝗣𝗿𝗮𝗰𝘁𝗶𝗰𝗮𝗹 𝗘𝗻𝗴𝗶𝗻𝗲𝗲𝗿𝗶𝗻𝗴 𝗚𝘂𝗶𝗱𝗲

Translated for your language. Ler o original.

AI-assisted draft.

GyaanSetu Editorialanteontem1min de leitura

𝗣𝗮𝘀𝘀𝗸𝗲𝘆𝘀 𝗲𝗺 𝟮𝟬𝟮𝟲: 𝗨𝗺 𝗚𝘂𝗶𝗮 𝗣𝗿á𝘁𝗶𝗰𝗼 𝗱𝗲 𝗘𝗻𝗴𝗲𝗻𝗵𝗮𝗿𝗶𝗮

As senhas estão obsoletas. Elas dependem de segredos compartilhados. Se um servidor armazena uma senha, você dobra sua superfície de ataque.

Dados mostram que o risco é enorme. Credenciais roubadas causam a maioria das violações. Malwares do tipo infostealer coletam milhões de senhas todos os anos. Até o 2FA possui falhas. Códigos SMS enfrentam SIM swapping. Tokens TOTP enfrentam phishing em tempo real.

As passkeys mudam isso. Elas utilizam criptografia de chave pública via WebAuthn e FIDO2.

Como elas funcionam: • Seu dispositivo cria um par de chaves pública-privada. • A chave privada permanece no seu hardware. • O servidor recebe apenas a chave pública. • Durante o login, seu dispositivo assina um desafio aleatório. • Nenhum segredo viaja pela rede.

Isso impede o phishing porque as passkeys são vinculadas ao seu domínio específico. Uma passkey para o seu site não funcionará em um site falso.

Como implementá-las: Não escreva código WebAuthn puro. É fácil cometer erros na implementação. Use SimpleWebAuthn para TypeScript e Node.js. Ele cuida da matemática complexa para você.

Instalação: npm install @simplewebauthn/server @simplewebauthn/browser

Erros comuns a evitar: • Reutilizar desafios. Os desafios devem ser de uso único e gerados pelo servidor. • Ignorar contadores. Sempre atualize o contador de credenciais para detectar chaves clonadas. • Esquecer a recuperação. Se um usuário perder o dispositivo, ele perderá a conta. Construa um caminho de recuperação primeiro. • UX ruim. Fluxos entre dispositivos (cross-device) costumam ter taxas de conclusão mais baixas. Mantenha um fallback durante a migração.

Estratégia de migração:

Estágio 1: Ofereça passkeys como uma opção (opt-in) após o login com senha.
Estágio 2: Torne as passkeys o método principal assim que a maioria dos usuários as adotar.
Estágio 3: Exija passkeys para todos os novos cadastros.

A indústria já avançou. O Google relata taxas de comprometimento de contas muito menores com passkeys. Grandes plataformas como Amazon e TikTok as utilizam. Se você não as suportar, estará ficando para trás.

Fonte: https://dev.to/moksh/passkeys-in-2026-a-practical-engineering-guide-to-passwordless-auth-15pj

𝗣𝗮𝘀𝘀𝗸𝗲𝘆𝘀 𝗶𝗻 𝟮𝟬𝟮𝟲: 𝗔 𝗣𝗿𝗮𝗰𝘁𝗶𝗰𝗮𝗹 𝗘𝗻𝗴𝗶𝗻𝗲𝗲𝗿𝗶𝗻𝗴 𝗚𝘂𝗶𝗱𝗲

Continuar lendo

𝗪𝗵𝘆 𝗣𝗵𝗶𝗹𝗶𝗽𝗽𝗶𝗻𝗲 𝗦𝗠𝗘𝘀 𝗡𝗲𝗲𝗱 𝗖𝘆𝗯𝗲𝗿𝘀𝗲𝗰𝘂𝗿𝗶𝘁𝘆 𝗶𝗻 𝟮𝟬𝟮𝟲

Melhores Práticas de Segurança de Frontend

𝗛𝗶𝗱𝗶𝗻𝗴 𝗶𝘀 𝗡𝗼𝘁 𝘁𝗵𝗲 𝗦𝗮𝗺𝗲 𝗮𝘀 𝗦𝗲𝗰𝘂𝗿𝗶𝗻𝗴

𝗟𝗼𝘀𝗲 𝗬𝗼𝘂𝗿 𝗣𝗵𝗼𝗻𝗲, 𝗟𝗼𝘀𝗲 𝗬𝗼𝘂𝗿 𝗟𝗶𝗳𝗲

Your SaaS Is Leaking Money