Estes links representam um avanço no futuro da autenticação sem a necessidade de senhas.
A autenticação de usuários é uma questão delicada para qualquer aplicação empresarial. É crucial que ela seja extremamente segura, mas ao mesmo tempo fluida, alcançando um equilíbrio perfeito entre segurança e satisfação do usuário.
Desde o início da internet, as senhas têm sido o principal método de autenticação. Começou com combinações simples como “1234” ou “qwerty”, que eram suficientes até que os cibercriminosos começaram a explorá-las.
Em seguida, surgiram os gestores de senhas, que geram e armazenam senhas complexas para uma experiência de login mais segura. No entanto, eles ainda causam alguma fricção, e muitas pessoas ainda hesitam em usar essas ferramentas por diversos motivos:
Fonte: statista.com
Assim, era necessário encontrar uma alternativa mais fácil e, ao mesmo tempo, mais segura.
E assim surgiu a autenticação sem senha!
Esta é uma alternativa moderna e, comparativamente, mais segura às senhas. É simples de usar e mais transparente.
Por exemplo, o Face ID da Apple é uma forma de autenticação sem senha que muitos apreciam. Da mesma forma, a autenticação biométrica e as senhas de uso único também se encaixam nessa categoria.
Existem ainda outras técnicas, incluindo os Links Mágicos.
O que são Links Mágicos?
Links mágicos são um método onde os usuários inserem seu nome de usuário e recebem um link no e-mail associado, no qual devem clicar para efetuar o login.
Num cenário ideal em que todos os e-mails funcionassem perfeitamente e todas as plataformas usassem a autenticação via link mágico, os usuários só precisariam se lembrar da senha do seu provedor de e-mail.
Todo o resto seria gerido pelos Links Mágicos. Isso seria infinitamente mais conveniente para o usuário. Além disso, tornaria as tentativas de hacking de senhas irrelevantes e inúteis.
A seguir, apresentamos algumas ferramentas que o podem ajudar a integrar este sistema na sua aplicação.
Stytch
O ponto forte do Stytch é a sua implementação direta e um plano gratuito para começar.
Há duas formas de integrar links mágicos com o Stytch: através da API ou dos SDKs.
Atualmente, os SDKs do Stytch estão disponíveis em JavaScript, React e Next.js. Esta é a maneira mais rápida de começar, com o mínimo de esforço. Obtém uma interface de utilizador pré-construída, que pode ser personalizada com a sua marca.
A API do Stytch, por outro lado, oferece controlo total sobre o design.
O plano gratuito funciona para 5000 utilizadores ativos mensais (MAUs); depois, o serviço é pré-pago.
As subscrições pagas oferecem mais opções de personalização de design e removem a marca Stytch.
FusionAuth
O FusionAuth também possui uma interface própria que requer uma configuração mínima e uma API sem senha para total flexibilidade.
Os links mágicos enviam um código com limite de tempo que o usuário deve inserir no formulário de login para continuar. No entanto, a opção de API permite o envio desse código por SMS ou notificação push, para uma experiência ainda mais facilitada.
Além disso, o FusionAuth também oferece a autenticação Google One Tap, que deteta automaticamente as contas Google ativas no navegador, permitindo ao usuário fazer login com um único clique.
O FusionAuth tem dois tipos de subscrição, baseados na hospedagem.
Pode usar a hospedagem própria (self-hosting), que tem um plano gratuito com suporte da comunidade sem limites de utilizadores ativos mensais. A hospedagem na nuvem, por outro lado, não tem um plano gratuito. No entanto, pode experimentar uma avaliação gratuita de 14 dias do plano básico.
WorkOS
O WorkOS tem SDKs disponíveis em várias linguagens de programação, como Node.js, Ruby, Python, Java, .Net, entre outras.
Pode usar a API do WorkOS ou um provedor de e-mail personalizado para enviar os e-mails de autenticação com links mágicos. Esses links únicos permanecem válidos por 15 minutos.
O WorkOS oferece também modelos de e-mail que podem ser personalizados para se adequarem à sua marca.
Por fim, pode começar gratuitamente, sem qualquer pagamento inicial.
MojoAuth
Com integrações para plataformas como WordPress, Webflow, Bubble, entre outras, o MojoAuth garante uma implementação rápida de links mágicos.
Os seus SDKs estão disponíveis em várias linguagens e plataformas, como Node.js, Java, Android, Golang, iOS, PHP, Asp.net, etc.
Além disso, a sua API é destinada a desenvolvedores que desejem construir uma aplicação personalizada, de acordo com o caso de uso. O MojoAuth também permite usar links mágicos numa configuração típica de autenticação multifator (MFA) com as suas APIs independentes.
Um dos pontos fortes do MojoAuth é uma interface de utilizador com marca branca para os seus utilizadores e uma garantia de tempo de atividade de 99,9%.
O plano básico começa com 1000 MAUs e todos os planos incluem recursos como utilizadores ilimitados, logins ilimitados, OTP de e-mail, gestão de equipa, etc. Não existe um plano gratuito, mas oferece um período de teste gratuito de 30 dias.
Supabase
Supabase é uma ferramenta de código aberto para gerir a autenticação via link mágico.
Existem duas formas de usar o Supabase. A primeira é adicionar a autenticação sem senha diretamente nos projetos Supabase, como uma base de dados Postgres. Em alternativa, pode-se inserir o código de login nas suas aplicações usando JavaScript ou Flutter.
Relativamente aos preços, pode começar gratuitamente até 50.000 MAUs e 200 conexões simultâneas. Os planos pagos adicionam recursos como suporte por e-mail, backups diários, retenção de log de 7 dias, maior largura de banda, etc.
Clerk
O Clerk garante uma funcionalidade superior de links mágicos, implementada e em funcionamento em poucos minutos.
A sua autenticação por link mágico inclui redirecionamento com um link sem uma senha de uso único (OTP). Além disso, é possível adicionar links mágicos como parte de um processo de MFA.
A API do Clerk está disponível em Next.js, React e JavaScript. Pode usar a autenticação por link mágico para registos, logins e verificação de endereço de e-mail.
O seu plano gratuito oferece 5.000 MAUs, contas totais ilimitadas, domínios personalizados e suporte à comunidade com a sua própria marca. Os planos pagos oferecem MAUs ilimitados e domínios personalizados, lista branca/lista negra, MFA, duração de sessão personalizada e mais.
Descope
Os links mágicos do Descope permitem URLs de login e OTPs e oferecem um generoso nível gratuito, que permite até 7.500 MAUs para startups.
A implementação é fácil, com opções flexíveis, como SDKs, API e fluxos.
O Descope Flows é uma interface de arrastar e soltar sem código, que pode usar para criar respostas de interação do usuário. Inclui um construtor de fluxo, construtor de tela e personalizador de design, sendo a maneira mais rápida de começar.
Além disso, os SDKs oferecem opções em SDKs de cliente e SDKs de back-end, dependendo se pretende que o Descope faça a gestão das sessões ou se pretende integrar o seu próprio servidor com os serviços do Descope.
As suas APIs REST são para casos de uso mais avançados, oferecendo grande flexibilidade.
Uma das vantagens do Descope é que não tem marca d’água no nível gratuito e oferece um SLA de 99%, o que o torna uma opção interessante para qualquer startup.
EZiD
O EZiD é mais indicado para desenvolvedores que desejem implementar autenticação via link mágico nas suas aplicações.
É possível usar as suas APIs para construir fluxos de autenticação conforme as suas necessidades.
O EZiD não tem um nível gratuito. O seu plano básico permite até 500 MAUs e inclui a marca própria. Só ao subir de nível é possível remover a marca EZiD da interface do usuário.
Uma das vantagens é o preço pré-pago, sem limites para o número de logins.
São Mágicos!
Se conseguir garantir uma excelente capacidade de entrega de e-mails, não há razão para evitar a autenticação via link mágico.
Eles são, geralmente, mais rápidos e mais fáceis de usar do que as senhas. No entanto, é melhor evitar usar OTPs nos e-mails de link mágico, pois isso anula o objetivo principal. Um único link que efetua o login do utilizador é preferível.
Isto é tudo da minha parte. Até à próxima!
PS: Consulte um guia completo sobre autenticação multifator.