Publicado em: 21 de maio de 2026
No Google I/O 2026, falamos sobre uma Web em que fazer login não é uma tarefa difícil. Ele precisa ser um ponto de entrada seguro e simplificado que faça os usuários se sentirem seguros. Esta postagem resume como corrigir os fluxos da sua conta, reduzir o atrito e proteger as pessoas desde o início.
Acesso rápido
- Por que a modernização é importante
- Simplificar a criação de contas
- Verificação de atributos simples
- Implementar chaves de acesso para um login sem problemas
- Adoção estratégica de chaves de acesso
- Gerenciamento de chaves de acesso e recuperação resiliente
Por que a modernização é importante
Fluxos de alta fricção (como formulários de inscrição confusos, o irritante loop de "esqueci minha senha" ou uma parede de botões de login) acabam com o clima. Eles são "assassinos de troca de contexto" que afastam os usuários. Senhas tradicionais e senhas únicas (OTP) também deixam as pessoas vulneráveis a phishing.
Cada segundo de atrito é uma oportunidade para um usuário desistir. Modernizar sua autenticação protege seus sistemas e seus usuários. Ao simplificar cada ponto de contato na jornada de identidade, você aumenta naturalmente as taxas de conversão. Por exemplo, o pixiv alcançou uma taxa de 99% de sucesso no login (uma melhoria de 29% em relação às senhas) depois de implementar as chaves de acesso. Abandonar credenciais fracas torna as coisas mais rápidas e seguras.
Simplifique a criação de contas
A primeira interação de um usuário com seu app define o clima. Simplificar a criação de contas é a primeira etapa para melhorar a adoção e a segurança.
Federação de identidades como o principal método de criação de contas
Você pode permitir que os usuários pulem os formulários de criação de conta usando a federação de identidade, que permite que eles se inscrevam com um provedor confiável, como o Google. Isso oferece uma experiência de inscrição robusta e simplificada que permite aos usuários acessar seu app sem a "chatice" do registro típico.
Com a federação, os usuários não precisam digitar o nome ou e-mail manualmente. Como o provedor já fez a verificação, você pode pular etapas redundantes para verificar as pessoas de forma independente e aumentar o número de participantes.
Além disso, ao adotar uma solução de identidade federada, você herda o nível de segurança de um IdP (provedor de identidade) dedicado. Como os IdPs são especializados em identidade e segurança, confiar na infraestrutura deles elimina o risco de criar a autenticação do zero.
Adotar a API Gerenciador de credenciais federadas (FedCM)
Se você atua como um IdP, recomendamos adotar a API FedCM. Ela processa a interação pela interface do navegador, que protege a privacidade evitando o rastreamento e oferecendo aos usuários um login com um toque, além de simplificar a interface mostrando apenas contas relevantes.
O padrão "federar e depois fazer upgrade"
A federação e upgrade combinam a velocidade da federação com a segurança de longo prazo das chaves de acesso. Se você pedir uma chave de acesso logo após um cadastro federado, o próximo login do usuário será resistente a phishing desde o primeiro dia.
Otimizar formulários para o preenchimento automático
Se formulários manuais forem necessários, use atributos name e id descritivos e valores autocomplete corretos para permitir que o navegador preencha os campos para o usuário. Isso reduz a carga cognitiva e a possibilidade de erros de digitação durante o processo de inscrição. Confira nossas práticas recomendadas para formulários de inscrição e saiba mais sobre a otimização de formulários.
<label for="email">Email</label>
<input type="email" id="email" name="email" autocomplete="email">
<label for="password">New Password</label>
<input type="password" id="password" name="password" autocomplete="new-password">
Verificação de atributos simplificada
Fazer com que os usuários saiam do app para verificar um código no e-mail reduz as taxas de conversão. É nessa mudança de contexto que as pessoas se distraem e nunca mais voltam.
Conheça o protocolo de verificação de e-mail (EVP)
O Protocolo de verificação de e-mail (EVP), um recurso emergente, permite que seu aplicativo obtenha um endereço de e-mail verificado diretamente pelo navegador.
Para ativar esse recurso, adicione um campo de entrada oculto com o atributo
autocomplete="email-verification-token" e com um challenge. O navegador analisa o domínio de e-mail da entrada e solicita que o emissor do e-mail verifique se o usuário tem controle sobre ele. Após a verificação, o navegador apresenta uma declaração de e-mail verificada que seu back-end pode verificar instantaneamente. Para o usuário, esse fluxo acontece sem problemas. Ele só recebe uma
notificação após a verificação do e-mail.
O EVP elimina a necessidade de atritos que afastam as pessoas (como links mágicos ou OTPs por e-mail) para fazer login, se inscrever e redefinição de senha.
<input id="email" type="email" autocomplete="email">
<input type="hidden" name="token" challenge="1234" autocomplete="email-verification-token">
Vale lembrar que o suporte ao EVP depende de cada provedor de serviços de e-mail. Verifique com seu provedor específico se ele planeja oferecer suporte ao EVP. Se você tiver um domínio personalizado, poderá conectá-lo a um provedor de e-mail compatível para usar o EVP também.
Como ainda estamos em uma fase experimental, agradecemos seu feedback sobre esse recurso no repositório do GitHub.
API Digital Credentials
Para detalhes sensíveis, como nome civil ou idade, a API Digital Credentials oferece uma maneira de solicitar dados verificados da carteira de um usuário por mediação do navegador usando divulgação seletiva. Isso significa que você pode verificar se um usuário tem mais de uma determinada idade sem receber a data de nascimento completa ou o nome civil, preservando a privacidade dele.
Consulte API Digital Credentials: identidade segura e privada na Web.
Implementar chaves de acesso para um login integrado
As chaves de acesso são mais do que apenas uma substituição para senhas. Elas são uma mudança fundamental para uma autenticação integrada e resistente a phishing.
Modo de interface imediato
A partir do Chrome 149, o Modo de interface imediato está disponível. Ele permite que o site verifique as credenciais no momento em que um usuário navega até seu site. Se uma chave de acesso ou senha estiver disponível no gerenciador de senhas, o navegador vai mediar o fluxo com uma lista de contas disponíveis em uma caixa de diálogo de login imediatamente.
Isso elimina a necessidade de um usuário selecionar um método de login. Ao oferecer proativamente a credencial da conta selecionada, você cria uma experiência "com um toque" sem atrito que parece mágica para o usuário.
const credential = await navigator.credentials.get({
password: true,
uiMode: 'immediate',
publicKey: publicKeyObject,
});
Consulte Modo de interface imediato para logins.
Preenchimento automático de formulários com chaves de acesso: use o preenchimento automático de formulários durante a transição para chaves de acesso
Para usuários em um site que está em transição de senhas para chaves de acesso, o preenchimento automático de formulário de chave de acesso permite que as chaves de acesso apareçam nas sugestões de preenchimento automático quando o campo de entrada está em foco. Isso significa que, se um usuário já tiver uma chave de acesso, no momento em que ele focar o campo de nome de usuário em um formulário de login. Caso contrário, eles ainda poderão usar a senha salva.
Para ativar isso, anote o campo de nome de usuário com autocomplete="username webauthn"
e defina o valor mediation como 'conditional' ao chamar
navigator.credentials.get().
Essa é uma ponte essencial durante a transição para um futuro sem senhas, já que familiariza os usuários com as chaves de acesso em uma interface conhecida.
Consulte a lista de verificação de autenticação com chaves de acesso.
Adoção estratégica de chaves de acesso
A adoção geralmente é uma questão de tempo. Instruir um usuário no momento certo pode aumentar significativamente a probabilidade de ele registrar uma chave de acesso.
Criação automática de chaves de acesso
Ninguém quer vasculhar as configurações de segurança só para configurar um novo método de login. Para usuários de senha atuais, como e quando você deve pedir que eles façam upgrade para chaves de acesso?
É aí que entra a criação automática de chaves de acesso. Com o Conditional Create, o navegador pode fazer upgrade automático dos usuários de senhas para chaves de acesso no momento exato em que um usuário faz login com o gerenciador de senhas.
Ao transmitir mediation: 'conditional' para a API navigator.credentials.create(), acionada pelo login recente do usuário usando a senha salva no gerenciador de senhas, o navegador gera uma nova chave de acesso de forma nativa sem forçar o usuário a passar por telas de configuração extras.
O registro sem atrito significa que os usuários não precisam tomar uma decisão consciente para melhorar a segurança. Isso acontece automaticamente, protegendo os usuários sem exigir nenhum esforço extra. Por exemplo, a adidas teve um aumento de 8% na criação de chaves de acesso usando essa estratégia de zero solicitação.
await navigator.credentials.create({
mediation: 'conditional',
publicKey: { ... },
});
Confira a lista de verificação de registro de chaves de acesso.
Gerenciamento de chaves de acesso e recuperação resiliente
É importante que os usuários tenham as credenciais disponíveis em dispositivos, sites e serviços. Além de gerenciar e garantir que eles possam recuperar as contas se um dispositivo for perdido ou roubado.
Consistência multiplataforma
Se você tiver várias propriedades (por exemplo, um app Android e um site ou vários sites) que compartilham um sistema de login, poderá melhorar a experiência dos usuários. Com o compartilhamento de credenciais integrado, os gerenciadores de senhas podem sugerir a credencial certa para o usuário em todas as suas propriedades.
O compartilhamento de credenciais otimizado consiste em duas tecnologias: Digital Asset Links para senhas e Related Origin Requests para chaves de acesso.
Usar Digital Asset Links garante que as senhas criadas na Web estejam disponíveis no seu app Android e vice-versa. Ele também permite que os gerenciadores de senhas sugiram uma credencial já salva em diferentes domínios que você possui e que compartilham o mesmo back-end de autenticação.
Use Solicitações de origem relacionada para disponibilizar chaves de acesso em diferentes domínios e apps pelo gerenciador de credenciais do usuário.
Essa é apenas mais uma maneira de facilitar a experiência de login para seus usuários.
Capacitar os usuários com uma página de gerenciamento de chaves de acesso
Para uma experiência sofisticada com chaves de acesso, sugerimos que você crie uma página de gerenciamento de chaves de acesso dedicada com suporte para nomes de provedores, tempos de uso e controles claros. Isso ajuda os usuários a gerenciar as configurações com confiança. A transparência gera confiança.
Confira a lista de verificação de gerenciamento de chaves de acesso.
Recuperação de conta resiliente
Os dispositivos podem ser perdidos ou atualizados. As chaves de acesso são inerentemente resilientes porque usam proteção no nível do hardware e geralmente são sincronizadas na nuvem, permitindo que os usuários as restaurem em um novo dispositivo. No entanto, ter um substituto, como um endereço de e-mail verificado, garante que os usuários nunca percam o acesso à vida digital deles.
Em vez de fazer alguém esperar em uma ligação para o help desk, você pode provar que a pessoa é proprietária usando sinais em que já confia, como federação de identidade ou verificação de e-mail.
Ao combinar esses indicadores em uma estratégia de recuperação, você pode restaurar o acesso na hora. Assim que a pessoa voltar, registre uma nova chave de acesso imediatamente para que ela fique protegida contra phishing novamente.
Como proteger sessões com DBSC
Para proteger os usuários contra invasões de contas, manter os cookies de sessão seguros é outra camada importante de defesa. As credenciais de sessões vinculadas ao dispositivo (DBSC) são uma forma de vincular uma sessão ao hardware. Isso reduz o sequestro de sessão porque, mesmo que um cookie seja roubado, apenas o mesmo dispositivo pode solicitar uma nova emissão do cookie, adicionando outra camada de segurança à sua sessão.
O DBSC é um recurso experimental, agora disponível no Windows. Saiba mais sobre essa atualização no anúncio sobre credenciais de sessão vinculadas ao dispositivo no Windows. Também estamos trabalhando para expandir o suporte do DBSC para macOS.
Habilidades do agente de chaves de acesso
Incluímos habilidades de chaves de acesso que abrangem muitos aspectos descritos nesta postagem no nosso projeto de orientação para a Web moderna. Em breve, vamos publicar uma postagem no blog sobre as habilidades de chave de acesso.
Tudo pronto para criar o futuro da autenticação?
Confira nossos guias detalhados e comece a modernizar hoje mesmo: