O padrão "o e-mail é a autenticação"

 (rubenerd.com)
4 pontos por GN⁺ 2024-09-09 | 1 comentários | Compartilhar no WhatsApp
  • A maioria das pessoas não usa bloqueadores de anúncios, JavaScript restrito, gerenciadores de senhas etc.
  • Muitas pessoas passam pelo seguinte processo de login
    • Ir para a página de login
    • Clicar em "Esqueci minha senha"
    • Ir para o e-mail
    • Clicar no link de recuperação
    • Inserir uma senha temporária que não vão lembrar
    • Repetir
  • Quando se pergunta por que as pessoas passam por esse processo, a maioria não sabe o motivo
  • Já se discutiu muito sobre gerenciadores de senhas, riscos de roubo de identidade e a necessidade de autenticação em dois fatores e multifator
  • Fica a dúvida de por que as pessoas usam "Esqueci minha senha" como meio de autenticação
  • Isso não é uma decisão consciente, mas um hábito formado ao longo do tempo
  • Surge a reflexão sobre se é possível aproveitar esse hábito para projetar sistemas que façam as pessoas usar o sistema de uma forma melhor

Resumo do GN⁺

  • Este texto trata do hábito de as pessoas se autenticarem por meio do processo de esquecer a senha
  • Embora já se tenha discutido bastante a necessidade de gerenciadores de senhas e autenticação em dois fatores, ele levanta a questão de por que as pessoas seguem determinado processo
  • Explora a possibilidade de aproveitar esse hábito para projetar sistemas de segurança melhores
  • Produtos com funções semelhantes incluem LastPass, 1Password etc.

Leituras relacionadas

1 comentários

 
GN⁺ 2024-09-09
Opinião do Hacker News

  • Contas de e-mail são o método mais comum de autenticação online

    • Números de telefone também são competitivos, mas as pessoas podem perder o celular
    • A segurança de números de telefone é menor do que a de contas de e-mail
    • Ao projetar um sistema de autenticação de usuários, é preciso considerar a recuperação de conta

  • Quando uma empresa oferece simplicidade, ela usa um sistema de autenticação por e-mail

    • O usuário insere o e-mail
    • Um código de autenticação é enviado por e-mail
    • Quando o usuário insere o código, ele permanece conectado por "tempo indeterminado"
    • Se for um e-mail novo, uma conta é criada automaticamente
    • Alguns usuários podem acidentalmente criar novas contas ao usar vários e-mails
    • Esse método melhora bastante a conversão entre cadastro e login

  • Sistemas de autenticação baseados em senha são pouco realistas

    • As senhas são usadas de duas formas
      • Protegidas por uma senha única via gerenciador de senhas
      • Reutilizadas em vários serviços com a mesma senha
    • A maioria dos serviços oferece recuperação por e-mail
    • Contas pessoais de e-mail quase nunca são trocadas, não são compartilhadas e não são reutilizadas

  • Sugestão de login por link URL de uso único enviado por e-mail

    • O link expira em 10 minutos e é de uso único
    • Quem tiver o link pode entrar, mas ele só é acessível pelo e-mail
    • A segurança depende da conta de e-mail

  • O motivo de provedores de serviço causarem incômodo aos usuários é simples

    • Provedores de e-mail quase nunca encerram a sessão
    • Dá para definir o token de autenticação do serviço com a mesma duração da sessão do Gmail, ou permitir login por OTP

  • A maioria das pessoas tenta fazer algo no computador e vai resolvendo

    • Softwares são feitos por pessoas que entendem bem o sistema, mas os usuários não
    • Quando encontram um padrão que funciona, os usuários tendem a ficar com ele
    • Muitas escolas usam tablets, então as pessoas não desenvolvem familiaridade com o uso de computadores

  • Existem sites que pulam a etapa de esquecer a senha e usam o e-mail como autenticação

    • Inserir o endereço de e-mail
    • Receber um e-mail com um código
    • Inserir o código e fazer login
    • Isso pode ser incômodo para quem usa vários e-mails

  • A Best Buy usa um método parecido

    • A senha é salva em um gerenciador de senhas, mas por causa da proteção contra ATO a senha aparece como inválida
    • Depois de cansar de tentar resolver o problema, a pessoa acaba seguindo o caminho mais fácil

  • O fluxo de login é parecido

    • A) Visitar o site, copiar e colar a senha pelo gerenciador de senhas, receber por e-mail uma solicitação de TOTP
    • B) Visitar o site, clicar em esqueci a senha, receber um link de login, inserir uma string aleatória
    • Às vezes o método B é mais rápido

  • O motivo de os usuários não salvarem senhas é que não têm um gerenciador de senhas

    • Mesmo conhecendo gerenciadores de senhas, trocar de conta em um PC compartilhado na nuvem pode ser trabalhoso
    • Em sites sem recurso para salvar senha, a senha não é salva