Vamos explorar a autenticação sem senhas no WordPress, um método inovador que aponta para o futuro da segurança digital.
Em breve, as senhas, como as conhecemos, podem se tornar obsoletas. Apesar de terem sido criadas para aumentar a segurança, acabaram por gerar mais complicações do que soluções.
Começamos com senhas complexas, e depois passamos para a autenticação de dois fatores, que adiciona etapas extras (ou seja, mais trabalho) que muitos preferem evitar.
Recentemente, surgiu uma alternativa: os links mágicos. Esse sistema permite que o usuário insira seu nome de usuário e, em vez de digitar uma senha, acesse um link enviado por e-mail.
Embora esse método seja mais seguro, pois a proteção se concentra nas contas de e-mail, e essa segurança se estende a outros acessos, ele não é o mais rápido.
Login sem Senha no WordPress
O WordPress é conhecido pela sua facilidade de uso, mas essa simplicidade traz consigo um risco maior de segurança. Apesar de ser possível usar senhas robustas com o iThemes Security, o objetivo é combinar segurança e praticidade.
Em resumo, o iThemes Security é uma ferramenta de segurança indispensável para projetos WordPress, disponível nas versões gratuita e paga. Funciona como um plugin que ajuda a fortalecer a segurança do seu site de forma simples.
Este guia é independente, mas recomendamos que você leia nossa análise do iThemes Security Pro para um melhor entendimento.
Além de várias funcionalidades, o iThemes Security Pro possibilita a implementação de logins biométricos no seu site WordPress. Isso significa que você pode usar as funcionalidades do Apple (Touch ID, Face ID), Android (impressão digital, PIN, padrão) e Windows (Windows Hello).
Ao ativar essa função, os usuários visualizarão a seguinte tela na página de login:
Essa opção oferece uma forma alternativa (e simples) de fazer login em seu site WordPress.
Entendendo as Chaves de Acesso
O método de login sem senha utiliza as chaves de autenticação que já são usadas nos dispositivos que você possui, como smartphones ou computadores.
Além de ser o método mais fácil de desbloquear o WordPress, ele também é considerado mais seguro.
Por exemplo, a chance de um usuário fornecer seus dados em uma página de login falsa (phishing) é muito maior do que com as chaves de acesso, que eliminam essa possibilidade.
As chaves de acesso são baseadas no WebAuthn, um sistema de autenticação criptográfica que utiliza um par de chaves: pública e privada.
A chave pública é armazenada na nuvem, enquanto a privada fica no dispositivo do usuário. Ao utilizar a impressão digital na página de login do WordPress, o sistema reconhece o usuário e o direciona para o painel de controle.
Nesse contexto, a única coisa a proteger é sua biometria, em vez de um nome de usuário e senha que podem ser roubados por ataques de phishing.
Para demonstrar a confiabilidade do sistema, o WebAuthn foi desenvolvido com a colaboração de gigantes da tecnologia como Google, Microsoft, Mozilla e Yubico.
Em outras palavras, é um sistema seguro e robusto.
Configurando o Login Biométrico
Apesar da complexidade da segurança, a configuração desse método é simples.
Primeiro, você precisa adquirir o iThemes Pro.
Em seguida, vá em Segurança > Configurações no painel do WordPress. Por fim, ative as opções de login sem senha e de chaves de acesso.
Sem a opção de chaves de acesso, o sistema utilizaria links mágicos. Contudo, ao ativar essa opção, os links são substituídos pelas chaves de acesso, a menos que ambos sejam ativados (veremos mais adiante).
O administrador pode escolher quais usuários poderão usar a nova política de login, na seção Grupos de usuários do painel do iThemes Security Pro.
É possível selecionar grupos de usuários predefinidos (administradores, autores, editores, assinantes, etc.) ou criar um grupo personalizado.
Em seguida, o administrador aplica o login sem senha aos grupos de usuários selecionados:
Na aba Configurar > Segurança de login do iThemes Security, é possível ativar os dois métodos (link mágico e chave de acesso) para o login.
O sistema mostrará na URL de login a opção de usar um Link Mágico por E-mail ou Usar sua Chave de Acesso:
Ao clicar no link mágico, um e-mail será enviado para o endereço cadastrado. O segundo método, por sua vez, exibirá um erro caso a chave de acesso não tenha sido configurada.
Usando Senhas
O primeiro passo para configurar a autenticação biométrica é através da opção Login com sua senha, localizada abaixo do botão Use Your Passkey.
No momento da redação deste artigo, não foi possível encontrar uma opção que permita usar exclusivamente senhas sem acesso às chaves de acesso no WordPress. Portanto, é essencial aplicar uma política de senhas robustas, já que um usuário poderá optar por uma senha fraca caso contrário. Essas opções podem ser encontradas em Grupos de usuários > Recursos. A duração da senha pode ser configurada em Configurar > Segurança de login > Requisitos de senhas.
Após o login, todos os usuários serão solicitados a configurar o login com chave de acesso. O botão Adicionar Chave de Acesso exibirá as opções compatíveis com o dispositivo.
Por exemplo, em um computador com Windows 10, o sistema exibirá a opção de usar o Windows Hello.
Após inserir o PIN correto, o login poderá ser feito apenas com o nome de usuário e o PIN do Windows.
Da mesma forma, é possível configurar a chave de acesso no Android (ou iOS):
É importante destacar que o sistema não solicitará a configuração novamente caso o usuário escolha a opção Ignorar configuração. Nesse caso, a chave de acesso poderá ser configurada na seção de perfil do usuário no WordPress.
Clique em Gerenciar Chaves de Acesso na parte inferior e, em seguida, em Adicionar Chave de Acesso para iniciar a configuração.
O Futuro é sem Senha!
Sem dúvida, esse é o futuro da segurança digital. A autenticação sem senhas (no WordPress) é a forma mais segura e simples disponível atualmente.
Apesar de ser necessário configurar a chave de acesso em cada dispositivo, o trabalho inicial compensa nos futuros logins.
Em resumo, esse é o login biométrico com o iThemes Security Pro. Embora a versão gratuita seja útil, os recursos abordados são exclusivos do plano premium, que pode ser assinado sem risco com a garantia de reembolso.
PS: Os backups são essenciais para qualquer site, e os projetos WordPress não são exceção. Descubra como fazer isso com outro produto iThemes: o Backupbuddy.