Como o NHS England melhorou os tempos de login e economizou mais de £ 1 milhão com chaves de acesso

Yu Tsuno
Yu Tsuno
Darren Hutton
Darren Hutton
Pelin Dem
Pelin Dem

Publicado em: 10 de julho de 2026

O Serviço Nacional de Saúde (NHS) é o sistema público de saúde do Reino Unido. Como provedor de identidade digital segura para o NHS England e o NHS Wales, o NHS login oferece uma maneira única e confiável para dezenas de milhões de cidadãos acessarem serviços de saúde e assistência social. Com uma base de usuários dessa escala e com dados tão sensíveis, a fricção de autenticação e a segurança são fundamentais.

Trabalhando com o parceiro de serviços digitais Hippo, a equipe do NHS implementou chaves de acesso. A Hippo conduziu a pesquisa de UX e a integração técnica das chaves de acesso, o que resultou em um acesso mais rápido, fácil e seguro para os usuários, além de uma redução drástica nos custos operacionais e de suporte.

Principais resultados

  • Tempo de login reduzido: os usuários se autenticam oito vezes mais rápido usando chaves de acesso. Os tempos medianos de login caíram de 43 segundos (senha + OTP por SMS) para apenas 5 segundos usando a interface condicional.
  • Alta adoção e escala: 6,7 milhões de chaves de acesso criadas por usuários desde o lançamento do recurso há dois anos, gerando 6 milhões de logins com chave de acesso por mês.
  • Custos de transação mais baixos: até £ 1,2 milhão economizados em custos de OTP desde o lançamento.
Métrica principal Impacto
8x Login mais rápido usando chaves de acesso (5 segundos em vez de 43 segundos)
6,7 milhões Chaves de acesso criadas pelos usuários desde o lançamento
6 milhões Logins com chaves de acesso todos os meses
£ 1,2 milhão Economia nos custos de OTP por SMS desde o lançamento

Fricção, custo e fadiga de senhas

O login do NHS serve como gateway digital centralizado para usuários que acessam vários serviços de saúde. Para garantir que nenhum usuário seja deixado para trás, a plataforma mantém o suporte para métodos de autenticação multifator (MFA) baseados em senha e SMS. No entanto, esses métodos apresentam desafios sistêmicos:

  • Senhas esquecidas: os usuários perdem o acesso aos serviços de saúde com frequência porque esquecem as senhas.
  • Riscos de segurança: senhas e códigos por SMS continuam vulneráveis a ataques de phishing.
  • Aumento dos custos: enviar milhões de mensagens de texto SMS para autenticação de dois fatores é caro.
  • Obstáculos à inclusão: para usar o SMS, os usuários precisam ter um smartphone com um sinal confiável, o que pode ser uma barreira para algumas pessoas.

Como o NHS e a Hippo implementaram chaves de acesso

A abordagem da equipe foi centrada no usuário e iterativa, focando na integração das chaves de acesso como um método de autenticação novo e opcional, em vez de uma substituição forçada. Isso permitiu a adoção gradual e o feedback dos usuários no mundo real.

A equipe se concentrou em dois fluxos principais de desenvolvedores na plataforma atual: registro e autenticação de chaves de acesso.

Fazer upgrade de usuários com o registro de chaves de acesso sem problemas

Em vez de forçar todos os usuários a registrar uma chave de acesso imediatamente, a equipe segmenta usuários ativos e autenticados. Depois que um usuário faz login usando o método padrão (senha + SMS), ele vê uma solicitação clara para criar uma chave de acesso e fazer logins mais rápidos e seguros no futuro.

Nosso maior desafio foi encontrar o equilíbrio certo entre educar e capacitar os usuários. Quanto mais tentávamos explicar as chaves de acesso, mais hesitantes os usuários ficavam. Mudamos para uma experiência liderada por dispositivos usando termos conhecidos, como "Impressão digital" e "Face ID". Os usuários entenderam o conceito muito mais rápido ao usá-lo.

Pelin Demir, designer de UX na Hippo

O fluxo de registro depende da API WebAuthn padrão nativa do navegador. Confira a seguir um exemplo conceitual da sequência de registro:

// Simplified example of the registration call
async function createPasskey() {
  try {
    // 1. Fetch challenge and options from the NHS Login server
    const createOptions = await fetch('/api/passkey/register-options', {
      method: 'POST'
    }).then(r => r.json());

    // 2. Trigger the browser/OS to create the passkey
    const credential = await navigator.credentials.create({
      publicKey: createOptions
    });

    // 3. Send the public key credential back to the server for verification and storage
    await fetch('/api/passkey/register-verify', {
      method: 'POST',
      body: JSON.stringify(credential)
    });

    // 4. Show success message to the user
    showSuccess('Passkey saved');

  } catch (err) {
    console.error('Error creating passkey:', err);
    showError('Could not create passkey. Please try again.');
  }
}
Fluxo de registro de chave de acesso por etapas no login do NHS.
Fluxo de registro de chaves de acesso do NHS login.

Simplificar o fluxo de login usando a interface condicional

A melhoria mais significativa na experiência do usuário vem da interface condicional (preenchimento automático do WebAuthn). Ao adicionar autocomplete="username webauthn" ao campo de login, o navegador solicita proativamente que o usuário se autentique usando biometria.

<form action="/login" method="post">
  <label for="username">Email or NHS number</label>
  <input type="text"
         id="username"
         name="username"
         autocomplete="username webauthn"
         required>
  <button type="submit">Continue</button>
</form>

A implementação da interface condicional aumentou o uso de chaves de acesso em quase 1,7 vez, demonstrando que a remoção da fricção de entrada acelera diretamente a adoção.

Processar chaves desatualizadas com a API Signal

Um desafio operacional conhecido com as chaves de acesso são as credenciais desatualizadas, casos em que um usuário remove uma credencial das configurações da conta, mas a chave de acesso permanece armazenada no gerenciador de senhas do dispositivo. A tentativa de usar uma chave desatualizada resulta em uma falha de autenticação confusa.

Para resolver isso, a equipe incorporou a API WebAuthn Signal. Quando uma credencial é revogada ou atualizada no back-end, o servidor sinaliza o provedor de chave de acesso para sincronizar, removendo chaves inválidas das sugestões de preenchimento automático do usuário sem problemas.

Oferecer acesso sem interrupções e segurança aprimorada

Os usuários estão adotando cada vez mais as chaves de acesso como um mecanismo de autenticação.

  • Experiência do usuário sem atrito: remover o atrito de autenticação significa que os usuários podem acessar os serviços do NHS e gerenciar a saúde de forma proativa, sem a frustração ou desistências causadas por credenciais esquecidas.
  • Segurança sem concessões: as chaves de acesso oferecem resistência integrada ao phishing, protegendo dados de saúde altamente sensíveis e abrindo caminho para um futuro sem senhas e SMS.
  • Eficiência operacional: além da economia financeira direta em senhas únicas por SMS, reduzir a dependência de senhas melhora fundamentalmente a eficiência do NHS. A redução nas ligações de suporte relacionadas a senhas libera a equipe para lidar com consultas mais complexas.

Principais lições

Ao integrar chaves de acesso aos serviços do NHS, a equipe identificou as seguintes lições principais:

  • UX em vez de complexidade técnica: a implementação técnica da WebAuthn foi simples. O principal desafio era otimizar a experiência do usuário para uma ampla adoção demográfica.
  • Capacitação em vez de educação: os usuários esperam que a plataforma gerencie a segurança de forma silenciosa. Explicar demais a mecânica das chaves de acesso criou uma carga cognitiva. Confiar em solicitações de dispositivos familiares (biometria) provou ser muito mais eficaz.
  • Jornadas entre dispositivos: um usuário pode criar uma chave de acesso no smartphone, mas depois tentar fazer login em um computador de biblioteca. O tratamento do fluxo entre dispositivos (em que o computador mostra um QR code lido pelo smartphone) foi uma jornada essencial para projetar e testar. Eles também adicionaram uma nova seção no gerenciamento de contas do usuário mostrando chaves de acesso e identidade para ajudar no gerenciamento de chaves de acesso (consulte Determinar o provedor de chaves de acesso com AAGUID).
  • Recuperação de conta: as chaves de acesso não eliminam a necessidade de uma recuperação de conta robusta. A equipe precisou garantir que um usuário que perdesse o dispositivo ainda pudesse recuperar o acesso à conta com segurança, um fluxo de alto risco para serviços relacionados à saúde.
  • Equilibrar inovação e inclusão: embora as chaves de acesso ofereçam uma experiência superior, elas não podem substituir completamente os sistemas legados da noite para o dia sem deixar alguns usuários vulneráveis para trás. A equipe manteve deliberadamente senha + OTP por SMS como um caminho paralelo, aceitando o custo contínuo para garantir que nenhum usuário fosse excluído por requisitos de dispositivo ou cobertura de rede ruim.

A seguir

Com mais de 6,7 milhões de chaves de acesso criadas, a Hippo está trabalhando para melhorar os avisos que convidam os usuários a criar uma chave de acesso. Em vez de forçar uma troca, eles usam testes para encontrar os melhores momentos de oferecer chaves de acesso, ajudando mais usuários a fazer upgrade sem problemas.

Saiba mais