Modernize a autenticação com chaves de acesso, credenciais digitais e muito mais

Publicado em: 21 de maio de 2026

No Google I/O 2026, falamos sobre uma Web em que o login não é uma tarefa. Ele precisa ser um ponto de entrada seguro e simplificado que faça os usuários se sentirem seguros. Esta postagem resume como corrigir os fluxos de contas, reduzir a dificuldade e proteger as pessoas desde o início.

Acesso rápido

Por que a modernização é importante

Fluxos de alta dificuldade (como formulários de inscrição confusos, o loop irritante de "esqueci a senha" ou uma parede de botões de login) acabam com o clima. Eles são "assassinos de troca de contexto" que afastam os usuários. As senhas tradicionais e as senhas de uso único (OTPs) também deixam as pessoas vulneráveis a phishing.

Cada segundo de atrito é uma oportunidade para um usuário desistir. A modernização da autenticação protege seus sistemas e usuários. Ao suavizar cada ponto de contato na jornada de identidade, você aumenta naturalmente as taxas de conversão. Por exemplo, o pixiv alcançou uma taxa de sucesso de login surpreendente de 99% (uma melhoria de 29% em relação às senhas) após implementar chaves de acesso. Afastar-se de credenciais fracas torna as coisas mais rápidas e seguras.

Simplificar a criação de contas

A primeira interação de um usuário com seu app define o clima. Simplificar a criação de contas é o primeiro passo para melhorar a adoção e a segurança.

Federação de identidade como o método principal de criação de contas

Você pode permitir que os usuários pulem os formulários de criação de contas tediosos usando federação de identidade, que permite que os usuários se inscrevam com um provedor confiável, como o Google. Isso oferece uma experiência de inscrição robusta e simplificada que permite que os usuários acessem seu app sem a "tarefa" do registro típico.

A federação significa que os usuários não precisam digitar o nome ou e-mail manualmente. Como o provedor já os verificou, você pode pular etapas redundantes para verificá-los de forma independente e atrair mais pessoas.

Além disso, a adoção de uma solução de identidade federada permite herdar o nível de segurança de um IdP (provedor de identidade) dedicado. Como os IdPs são especializados em identidade e segurança, confiar na infraestrutura deles elimina o risco de criar a autenticação do zero.

Adotar a API Gerenciador de credenciais federadas (FedCM)

Se você atua como um IdP, recomendamos adotar a FedCM API. Ela processa a interação pela interface do navegador, que protege a privacidade, evitando o rastreamento, ao mesmo tempo em que oferece aos usuários um login com um toque e simplifica a interface mostrando apenas as contas relevantes.

Uma caixa de diálogo do modo ativo de login da FedCM no computador pedindo que um usuário faça login com a conta dele. A caixa de diálogo contém um ícone de marca e opções para fazer loginimageto no RP com a conta atual fornecida pelo IdP, escolher outra conta ou cancelar. A caixa de diálogo fica centralizada e é maior do que a do modo passivo.
FedCM: caixa de diálogo da interface do modo ativo. Saiba mais sobre os modos de interface disponíveis que o FedCM oferece.

O padrão "Federar e fazer upgrade"

O padrão "Federar e fazer upgrade" combina a velocidade da federação com a segurança de longo prazo das chaves de acesso. Se você solicitar uma chave de acesso logo após uma inscrição federada, o próximo login do usuário será resistente a phishing desde o primeiro dia.

Otimizar formulários para o preenchimento automático

Se formulários manuais forem necessários, use atributos name e id descritivos e valores autocomplete corretos para permitir que o navegador preencha os campos para o usuário. Isso reduz a carga cognitiva e a possibilidade de erros de digitação durante o processo de inscrição. Consulte nossas práticas recomendadas para formulários de inscrição para mais detalhes sobre a otimização de formulários.

<label for="email">Email</label>
<input type="email" id="email" name="email" autocomplete="email">

<label for="password">New Password</label>
<input type="password" id="password" name="password" autocomplete="new-password">

Verificação de atributos sem dificuldades

Fazer com que os usuários saiam do seu app para verificar um código no e-mail deles reduz as taxas de conversão. É nessa troca de contexto que as pessoas se distraem e nunca mais voltam.

Conheça o protocolo de verificação de e-mail (EVP, na sigla em inglês)

O protocolo de verificação de e-mail (EVP), um recurso emergente, permite que seu aplicativo receba um endereço de e-mail verificado diretamente pelo navegador.

Para aceitar usar esse recurso, anexe um campo de entrada oculto com o autocomplete="email-verification-token" atributo e com um challenge. O navegador analisa o domínio de e-mail da entrada e solicita que o emissor do e-mail verifique se o usuário tem controle desse e-mail. Após a verificação, o navegador apresenta uma declaração de e-mail verificada que seu back-end pode verificar instantaneamente. Para o usuário, esse fluxo acontece sem problemas. Ele só recebe uma notificação após a verificação do e-mail.

O EVP elimina a necessidade de dificuldades que afastam as pessoas (como links mágicos ou OTPs de e-mail) para login, inscrição e redefinição de senha.

<input id="email" type="email" autocomplete="email">
<input type="hidden" name="token" challenge="1234" autocomplete="email-verification-token">

Observe que cabe aos provedores de serviços de e-mail individuais oferecer suporte ao EVP. Verifique com seu provedor específico se ele planeja oferecer suporte ao EVP. Se você tiver um domínio personalizado, poderá conectá-lo a um provedor de e-mail compatível para oferecer suporte ao EVP também.

Como ainda está em fase experimental, agradecemos seu feedback sobre esse recurso no repositório do GitHub.

Exemplo do fluxo do protocolo de verificação de e-mail (EVP, na sigla em inglês).

API Digital Credentials

Para detalhes sensíveis, como um nome civil ou idade, a Digital Credentials API oferece uma maneira de solicitar dados verificados da carteira de um usuário por mediação do navegador usando divulgação seletiva. Isso significa que você pode verificar se um usuário tem mais de uma determinada idade, sem receber a data de nascimento completa ou o nome legal, preservando a privacidade dele.

Consulte API Digital Credentials: identidade segura e privada na Web.

Implementar chaves de acesso para login fácil

As chaves de acesso são mais do que apenas uma substituição para senhas. Elas são uma mudança fundamental para a autenticação resistente a phishing.

Modo de interface imediato

A partir do Chrome 149, o modo de interface imediato está disponível. Ele permite que o site verifique as credenciais no momento em que um usuário navega até seu site. Se uma chave de acesso ou senha estiver disponível no gerenciador de senhas, o navegador vai mediar o fluxo com uma lista de contas disponíveis em uma caixa de diálogo de login imediatamente.

Isso elimina a necessidade de um usuário selecionar um método de login. Ao oferecer proativamente a credencial para a conta selecionada, você cria uma experiência "com um toque" sem dificuldades que parece mágica para o usuário.

const credential = await navigator.credentials.get({
  password: true,
  uiMode: 'immediate',
  publicKey: publicKeyObject,
});

Consulte Modo de interface imediato para logins.

Preenchimento automático de formulários de chaves de acesso: usar o preenchimento automático de formulários durante a transição para chaves de acesso

Para usuários em um site que está em transição de senhas para chaves de acesso, o preenchimento automático de formulários de chaves de acesso permite que as chaves de acesso apareçam nas sugestões de preenchimento automático quando o campo de entrada está em foco. Isso significa que, se um usuário já tiver uma chave de acesso, no momento em que ele focar o campo de nome de usuário em um formulário de login. Se não tiver, ele ainda poderá usar a senha salva.

Exemplo de seleção de chave de acesso pelo preenchimento automático de formulários.

Para ativar isso, anote o campo de nome de usuário com autocomplete="username webauthn" e defina o valor mediation como 'conditional' ao chamar navigator.credentials.get().

Essa é uma ponte essencial durante a transição para um futuro sem senhas, já que familiariza os usuários com chaves de acesso em uma interface familiar.

Consulte a lista de verificação de autenticação de chaves de acesso.

Adoção estratégica de chaves de acesso

A adoção geralmente é uma questão de tempo. Instruir um usuário no momento certo pode aumentar significativamente a probabilidade de ele registrar uma chave de acesso.

Criação automática de chaves de acesso

Ninguém quer procurar nas configurações de segurança apenas para configurar um novo método de login. Para usuários de senhas atuais, como e quando você deve pedir que os usuários façam upgrade para chaves de acesso?

É aí que entra a criação automática de chaves de acesso. Com a criação condicional, o navegador pode fazer upgrade automático dos usuários de senhas para chaves de acesso no momento exato em que um usuário faz login com o gerenciador de senhas.

Fluxo de solicitação de chave de acesso com criação condicional.

Ao transmitir mediation: 'conditional' para a navigator.credentials.create() API, acionada pelo login recente do usuário usando a senha salva no gerenciador de senhas, o navegador gera uma nova chave de acesso nativamente sem forçar o usuário a passar por telas de configuração extras.

A inscrição sem dificuldades significa que os usuários não precisam tomar uma decisão consciente para melhorar a segurança. Isso acontece automaticamente, protegendo-os sem exigir nenhum esforço extra. Por exemplo, a adidas teve um aumento de 8% nas criações de chaves de acesso usando essa estratégia de zero instruções .

await navigator.credentials.create({
  mediation: 'conditional',
  publicKey: { ... },
});

Consulte a lista de verificação de registro de chaves de acesso

Gerenciamento de chaves de acesso e recuperação resiliente

É importante que os usuários tenham as credenciais disponíveis em dispositivos, sites e serviços. Além de gerenciá-las e garantir que eles possam recuperar as contas se um dispositivo for perdido ou roubado.

Consistência multiplataforma

Se você tiver várias propriedades (por exemplo, um app Android e um site ou vários sites) que compartilham um sistema de login, poderá melhorar a experiência dos usuários. Com o compartilhamento de credenciais integrado, os gerenciadores de senhas podem sugerir a credencial certa para o usuário em todas as suas propriedades.

O compartilhamento de credenciais sem dificuldades consiste em duas tecnologias: Digital Asset Links para senhas e solicitações de origem relacionadas para chaves de acesso.

O uso do Digital Asset Links garante que as senhas criadas na Web estejam disponíveis no seu app Android e vice-versa. Ele também permite que os gerenciadores de senhas sugiram uma credencial já salva em diferentes domínios que você possui e que compartilham o mesmo back-end de autenticação.

Use solicitações de origem relacionadas para disponibilizar chaves de acesso em diferentes domínios e apps pelo gerenciador de credenciais do usuário.

Essa é apenas mais uma maneira de tornar a experiência de login mais tranquila para seus usuários.

Capacitar os usuários com uma página de gerenciamento de chaves de acesso

Exemplo de uma página de gerenciamento de chaves de acesso mostrando boas práticas.

Para uma experiência sofisticada de chaves de acesso, sugerimos que você crie uma página de gerenciamento de chaves de acesso dedicada com suporte para nomes de provedores claros, tempos de uso e controles. Isso ajuda os usuários a gerenciar as configurações com confiança. A transparência gera confiança.

Consulte a lista de verificação de gerenciamento de chaves de acesso .

Recuperação de conta resiliente

Os dispositivos podem ser perdidos ou atualizados. As chaves de acesso são inerentemente resilientes porque usam proteção no nível do hardware e também são sincronizadas na nuvem, permitindo que os usuários as restaurem em um novo dispositivo. No entanto, ter um fallback, como um endereço de e-mail verificado, garante que os usuários nunca percam o acesso à vida digital.

Em vez de fazer com que alguém espere em uma chamada de help desk, você pode provar que é o proprietário usando indicadores em que já confia, como federação de identidade ou verificação de e-mail.

A combinação desses indicadores em uma estratégia de recuperação permite restaurar o acesso no local. Depois que eles voltarem, registre uma nova chave de acesso imediatamente para que eles fiquem protegidos contra phishing novamente.

Proteção de sessões com DBSC

Para proteger os usuários contra sequestros de contas, manter os cookies de sessão seguros é outra camada importante de defesa. As credenciais de sessão vinculadas ao dispositivo (DBSC, na sigla em inglês) são uma maneira de vincular uma sessão ao hardware. Isso atenua o sequestro de sessão porque, mesmo que um cookie seja roubado, apenas o mesmo dispositivo pode solicitar uma nova emissão do cookie, adicionando outra camada de segurança à sessão.

O DBSC é um recurso experimental, agora disponível no Windows. Saiba mais sobre essa atualização no anúncio das credenciais de sessão vinculadas ao dispositivo no Windows. Também estamos trabalhando para ampliar o suporte ao DBSC para macOS.

Habilidades do agente de chaves de acesso

Incluímos habilidades de chaves de acesso que abrangem muitos aspectos descritos nesta postagem em nosso projeto de orientações da Web moderna. Em breve, vamos publicar uma postagem no blog especificamente sobre habilidades de chaves de acesso.

Tudo pronto para criar o futuro da autenticação?

Confira nossos guias detalhados e comece a modernizar hoje mesmo: