| dbo:abstract
|
- Passwordless authentication is an authentication method in which a user can log in to a computer system without the entering (and having to remember) a password or any other knowledge-based secret. In most common implementations users are asked to enter their public identifier (username, phone number, email address etc.) and then complete the authentication process by providing a secure proof of identity through a registered device or token. Passwordless authentication methods typically rely on Public-key cryptography infrastructure where the public key is provided during registration to the authenticating service (remote server, application or website) while the private key is kept on a user’s device (PC, smartphone or an external security token) and can only be accessed by providing a biometric signature or another authentication factor which isn't knowledge-based. These factors classically fall into two categories:
* Ownership factors (“Something the user has”) such as a cellular phone, OTP token, Smart card or a hardware token.
* Inherence factors (“Something the user is”) like fingerprints, retinal scans, face or voice recognition and other biometric identifiers. Some designs might also accept a combination of other factors such as geo-location, network address, behavioral patterns and gestures, as long as no memorized passwords are involved. Passwordless authentication is sometimes confused with Multi-factor Authentication (MFA), since both use a wide variety of authentication factors, but while MFA is often used as an added layer of security on top of password-based authentication, passwordless authentication doesn't require a memorized secret and usually uses just one highly secure factor to authenticate identity, making it faster and simpler for users. "Passwordless MFA" is the term used when both approaches are employed and the authentication flow is both passwordless and uses multiple factors, providing the highest security level when implemented correctly. (en)
- Autenticação sem senha (passwordless) remove completamente a senha do processo de autenticação. Uma pessoa nunca cria uma senha ao configurar uma conta ou digita uma senha para acessar essa conta. A autenticação genuína sem senha não reproduz senhas de nenhuma forma. Quando você acessa um site e é desafiado a fazer o login, não há opção de inserir uma senha. Ao se livrar das senhas, os riscos de segurança associados a elas são eliminados, o que explica por que empresas estão adotando soluções passwordless cada vez mais. A autenticação sem senha depende de um par de chaves criptográficas - uma chave privada e uma chave pública. A chave pública é fornecida durante o registro para o serviço de autenticação (servidor remoto, aplicativo ou site), enquanto a chave privada é mantida no dispositivo de um usuário e só pode ser acessada quando uma assinatura biométrica, token de hardware ou outro fator sem senha é introduzido. Na maioria das implementações comuns, os usuários são solicitados a inserir seu identificador público (nome de usuário, número de telefone celular, endereço de e-mail ou qualquer outro ID registrado) e, em seguida, concluir o processo de autenticação fornecendo uma prova segura de identidade na forma de um fator de autenticação aceito. Esses fatores classicamente se enquadram em duas categorias:
* Fatores de propriedade (“algo que o usuário possui”), como um telefone celular, token OTP, cartão inteligente ou token de hardware.
* Fatores de inerência (“algo que o usuário é”) como impressões digitais, varreduras de retina, reconhecimento facial ou de voz e outros identificadores biométricos. Há a possibilidade de uma combinação de outros fatores, como geolocalização, endereço de rede, padrões de comportamento e gestos, desde que nenhuma senha memorizada esteja envolvida. A autenticação sem senha é às vezes confundida com , uma vez que ambos usam uma ampla variedade de fatores de autenticação, mas enquanto a MFA é usada como uma camada adicional de segurança em cima da autenticação baseada em senha, a autenticação sem senha não requer um segredo memorizado e geralmente usa apenas um fator altamente seguro para autenticar a identidade, tornando-o mais rápido e simples para os usuários. (pt)
|
