"O que é senha de uso único e como funciona?"

Fazer a verificação de clientes, muitas vezes, é um desafio. As empresas precisam de uma forma segura de verificar a identidade dos usuários para impedir acessos indevidos a contas e sistemas. Por outro lado, é importante reduzir ao máximo os entraves no processo de autenticação, para evitar o abandono ou a redução das taxas de conversão. Com os métodos de autenticação tradicionais, alcançar esse delicado equilíbrio é complicado. Para contornar isso, surgiram as senhas de uso único (one-time passwords, ou OTPs, na sigla em inglês), uma forma fácil e segura de autenticar usuários em um canal conveniente e de alta visibilidade.

Neste artigo, você vai conhecer as senhas de uso único, entender como funcionam e descobrir como elas podem ajudar sua empresa, além de conferir alguns exemplos de OTPs da plataforma do WhatsApp Business. Vamos começar explicando o que é uma OTP.

Uma senha de uso único (OTP) é um código temporário e exclusivo usado para verificar a identidade de um usuário, em geral ao fazer login ou realizar uma transação. A senha pode ter quatro ou seis dígitos (9237 ou A87K90, por exemplo), que mudam cada vez que o código é gerado.

Um exemplo de senha de uso único bem comum é quando o usuário opta por receber de uma empresa (como um banco ou uma loja online) um código de verificação pelo WhatsApp. No momento do login, a empresa verifica a identidade do usuário e envia um código de segurança exclusivo para o WhatsApp dessa pessoa. O usuário precisa, então, inserir o código recebido para concluir o login ou o processo de autenticação.

Essa abordagem se baseia nas mensagens de autenticação pelo WhatsApp, onde as mensagens são transmitidas de forma criptografada, o que dá ao processo uma camada adicional de segurança. Essa camada ajuda a contornar as vulnerabilidades de segurança que existem nas combinações tradicionais de nome de usuário e senha. E a melhor parte é que tudo é feito em um canal que seus clientes já conhecem e amam: o WhatsApp.

As OTPs são códigos numéricos ou alfanuméricos gerados e enviados por canais de confiança, como WhatsApp, SMS e e-mail. Esse tipo de autenticação é essencial para a validação da identidade de um cliente em situações como recuperação de senhas e contas.

O processo da senha de uso único segue uma abordagem padronizada que considera tanto a segurança quanto a experiência do usuário. Com esse método, somente usuários autorizados conseguem acessar contas ou concluir transações mais delicadas:

1. O usuário inicia o processo: um usuário tenta criar uma nova conta, recuperar uma conta já existente, ou realizar uma compra. Essas ações dão início à verificação por OTP.
2. O sistema gera uma OTP: Uma senha de uso único exclusiva é gerada com a ajuda de algoritmos criptografados, como OTPs baseadas em tempo (TOTP) ou em contador (HOTP). Confira mais informações sobre os tipos de OTPs na próxima seção.
3. O sistema envia a OTP para o usuário: Asenha de uso único é enviada para o usuário por mensagem, SMS, e- mail, notificação push, ligação telefônica, ou outros.
4. O usuário recebe a OTP: O usuário recebeo código de verificação e insere na interface onde a senha é solicitada para a verificação da identidade.
5. O sistema verifica o usuário: Se a senha estiver correta, o usuário obtém acesso e pode completar a ação pretendida.
6. O sistema impede o acesso: Se a senha estiver incorreta, o acesso é negado, o que ajuda a impedir que agentes maliciosos realizem essas ações mais delicadas.

Normalmente, a OTP é gerada em segundos, o que torna o processo muito mais rápido e simples para o usuário. A geração de códigos quase em tempo real ajuda a minimizar o atrito na interação com o usuário. Uma vez usada, a senha se torna inválida e não pode ser reutilizada.

Observação: O uso de uma senha e uma OTP ao mesmo tempo é uma forma de autenticação de dois fatores (2FA, na sigla em inglês).

Agora, vamos aprender mais sobre os dois principais tipos de OTPs: a autenticação baseada em tempo (TOTP, sigla em inglês) e a autenticação baseada em contador (HOTP, sigla em inglês). É normal fazer confusão entre as duas, já que ambas são usadas em sistemas de 2FA e autenticação multifatorial (MFA, na sigla em inglês). Vamos entender melhor o que cada uma faz.

As OTPs são unidas por um código de autenticação de mensagem com base em contador (hash-based message authentication code, ou HMAC, na sigla em inglês). O HMAC é o algoritmo que combina uma chave secreta e uma função matemática (função hash) para garantir que a mensagem seja exclusiva e autêntica. Funciona como uma impressão digital da mensagem, que garante que ela não foi adulterada e é proveniente de uma fonte confiável. No entanto:

• As HOTPs, ou senhas de uso único baseadas no algoritmo HMAC, criam códigos exclusivos que só podem ser usados uma vez, com uma chave secreta e um contador. Esse contador controla cada OTP gerada e calcula um novo código a cada pedido.
• As TOTPs, ou senhas de uso único baseadas em tempo, também usam o algoritmo HMAC , mas automatizam o contador de eventos com um contador baseado em tempo. Isso significa que o usuário precisa inserir o código recebido dentro de um intervalo de tempo específico, antes que a senha se torne inutilizável. Devido ao contador de tempo, a autenticação TOTP costuma ser considerada mais segura, pois limita o tempo que um hacker tem para se aproveitar dos códigos gerados.

Quando comparados às senhas estáticas, os códigos OTP geram um valor de negócio mensurável ao aperfeiçoar a segurança e a experiência do usuário, como, por exemplo:

• Segurança aprimorada: como só podem ser usadas uma vez, as OTPs são mais seguras do que senhas estáticas. Senhas estáticas, por outro lado, podem ser usadas diversas vezes, até serem alteradas.
• Aumento da confiança do cliente: a segurança adicional das senhas de uso único faz com que o usuário sinta que a conta dele está protegida, principalmente em transações mais arriscadas, como pagamentos ou mudanças na conta.
• Experiência do usuário mais tranquila: as OTPs possibilitam um processo de login simples, seguro e prático. Quando a senha de uso único é enviada por um canal bastante usado, como o WhatsApp, o usuário se habitua rapidamente ao processo.
• Cumprimento de requisitos regulatórios: as OTPs ajudam as empresas a cumprirem com as normas de segurança sem perder eficiência operacional.

Desde a criação das tecnologias da Meta, quando uma pessoa queria acessar ou criar uma conta, recuperar uma senha ou realizar a autenticação de dois fatores, a mensagem de autenticação para verificação de identidade era enviada por canais como SMS. Mas, às vezes, mensagens de SMS demoram a chegar e não contam com confirmações claras de envio, além de outros contratempos.

Ao mandar essas mensagens de verificação pelo WhatsApp, a Meta aumentou a segurança e melhorou a experiência do usuário, tudo em uma tacada só. As mensagens de autenticação por OTP no Whatsapp contam com recursos interativos e fáceis de usar que tornam a verificação mais rápida, o que, por sua vez, aumenta as chances de que o usuário conclua a jornada de autenticação.

Resultados:

• 20% de aumento das recuperações bem-sucedidas de contas no Instagram*
• 11% de aumento das recuperações bem-sucedidas de contas no Facebook*
• Aumento de 9% na criação de novas contas no Instagram**

Se você quer aprender como enviar OTPs para celulares ou outros meios de comunicação do jeito certo, é necessário levar em conta a experiência do usuário, a velocidade, a estabilidade, a segurança e as regulamentações. Confira algumas práticas recomendadas para a implementação:

É fundamental usar uma abordagem multifacetada com um app ou uma plataforma que conte com geração rápida de códigos e envios seguros. De um ponto de vista técnico, isso quer dizer:

• Usar geradores seguros e aleatórios que estabeleçam um tempo de expiração apropriado; em geral, alguns minutos para transações normais e intervalos mais curtos para operações de alta segurança.
• Restringir o número de tentativas com código OTP permitidas em um determinado período de tempo, o que ajuda a prevenir ataques de força bruta, nos quais hackers tentam usar diversas combinações ao mesmo tempo.

Ao fornecer opções para a verificação, você pode enviar OTPs para celulares ou canais de comunicação em que os usuários possam receber os códigos com mais facilidade. A autenticação por WhatsApp, por exemplo, tem um desempenho muito bom em mercados onde o WhatsApp tem altas taxas de adoção, oferecendo uma experiência de usuário muito mais natural.

No Android OS, você pode conferir se o WhatsApp está instalado. Se estiver instalado, você pode sugerir que o usuário receba códigos de OTP via WhatsApp.

Observação: Ajude o usuário a receber uma OTP sem tocar na tela ou sair do seu app com a autenticação sem toque, disponível para Android e em breve para iOS.

Para melhorar o gerenciamento da sua autenticação, é importante:

1. Monitorar as principais métricas de desempenho, como taxa de envio, tempo de resposta e taxa de conclusão pelos usuários.
2. Avaliar o desempenho com regularidade para otimizar a experiência do usuário e identificar problemas com antecedência.
3. Lidar com as ameaças à segurança que surgirem e manter registros de auditoria adequados para atender aos requisitos regulatórios.

Com o intuito de ajudar a cumprir com os requisitos regulatórios, o WhatsApp exige que as empresas obtenham o consentimento dos usuários antes de enviar mensagens de autenticação.

A Plataforma do WhatsApp Business fonece às empresas recursos robustos de mensagens por meio de uma série de APIs que permitem o envio automatizado em grande escala. Para simplificar a autenticação, a Plataforma do WhatsApp Business funciona como um autenticador TOTP que ajuda empresas a verificar a identidade dos usuários e a segurança das transações, além de contar com modelos personalizáveis de OTPs para mensagens.

Existem diversas soluções de terceiros que ajudam na integração de sites com as OTPs por WhatsApp, como os parceiros de mensagens da Meta. Essas soluções lidam com a complexidade das integrações de sites, além de oferecerem recursos adicionais como métricas e atendimento multicanal.

Quando implementados corretamente, sistemas de OTP como os do WhatsApp ajudam a aprimorar a segurança, conquistar a confiança do público, simplificar processos e até mesmo gerar novas fontes de renda, pois você estará oferecendo uma solução que ajudará sua empresa a se destacar no mercado. O WhatsApp possibilita uma adoção muito mais ampla em todo um ecossistema já estabelecido, o que faz do WhatsApp uma opção segura para as empresas.

Tudo pronto para começar? Saiba mais sobre os recursos da Plataforma do WhatsApp Business que podem ajudar a sua empresa.

O que significa OTP?

OTP é a sigla em inglês para "one-time password", ou senha de uso único. Trata-se de uma forma de autenticação entre uma empresa e um usuário que aumenta a proteção de segurança.

O que é autenticação por OTP?

A autenticação por OTP consiste no envio de um código temporário e exclusivo usado para verificar a identidade de um usuário, em geral ao fazer login ou realizar uma transação. O código de autenticação pode ter quatro ou seis dígitos (9237 ou A87K90, por exemplo), que mudam cada vez que o código é gerado.

OTP e 2FA são a mesma coisa?

Não, OTP (senha de uso único) e 2FA (autenticação de dois fatores) não são a mesma coisa. Embora ambas sejam usadas para autenticar usuários, a OTP é um código enviado para o dispositivo do usuário que só pode ser usado uma vez, enquanto a 2FA se refere a duas formas diferentes de autenticação, como uma senha e uma OTP ou uma verificação biométrica.