Meta
Mensagens para empresas

O que é uma senha descartável e como ela funciona?

Cliente verificando uma transação no WhatsApp com o método de autenticação por senha descartável TOTP

A verificação de clientes pode ser complicada. As empresas precisam de uma forma segura de verificar a identidade do usuário para evitar o acesso não autorizado às suas contas ou sistemas. Ao mesmo tempo, devem minimizar o atrito de autenticação que pode resultar no abandono do usuário ou em taxas de conversão reduzidas. Os métodos de autenticação tradicionais podem limitar e afetar esse equilíbrio crítico. Na verdade, as senhas descartáveis (ou códigos de acesso) oferecem formas fáceis e seguras de autenticar os usuários em um canal conveniente e altamente visível.

Neste artigo, você aprenderá o que são as senhas descartáveis, como elas funcionam, quais são seus benefícios comerciais e como elas funcionam na Plataforma do WhatsApp Business. Vamos começar definindo o que são as senhas descartáveis.

O que é uma senha descartável?

A senha descartável é um código único e temporário usado para verificar a identidade de um usuário, geralmente quando ele está acessando sua conta ou realizando uma transação. Essa senha pode ser um código de quatro ou seis dígitos (por exemplo, 9237 ou A87K90) que muda cada vez que o código é gerado.

Um exemplo comum de senha descartável é quando um usuário aceita receber códigos de verificação do WhatsApp de uma empresa, como um banco ou um varejista online. Quando o usuário tentar acessar a conta, a empresa poderá verificar a identidade e enviar um código de segurança exclusivo diretamente via WhatsApp. Ela precisa inserir o código para concluir o processo de login ou autenticação.

Essa abordagem usa as mensagens de autenticação no WhatsApp, em que as mensagens são criptografadas para criar uma camada extra de segurança. Essa camada ajuda a evitar as vulnerabilidades de segurança das combinações tradicionais de nome de usuário e senha, tudo isso enquanto usa um canal que os clientes já conhecem e amam: o WhatsApp.

Como as senhas descartáveis funcionam

exemplo de autenticação por senha descartável com base em tempo para verificação de segurança no app whatsapp business

As senhas descartáveis funcionam com o envio de números gerados ou códigos alfanuméricos por canais confiáveis, como o WhatsApp, SMS e e-mail. Esse tipo de autenticação é fundamental para validar a identidade de um cliente em momentos como a redefinição de senha e a recuperação de contas.

O processo de verificação de senha descartável

O processo de senha descartável segue uma abordagem padronizada que equilibra a segurança com a experiência do usuário. Esse método garante que apenas usuários autorizados possam acessar contas ou concluir transações sensíveis:

  1. O usuário inicia uma ação: um usuário tenta criar uma nova conta, recuperar uma conta ou fazer uma compra. Essas ações iniciam a verificação da senha descartável.
  2. O sistema gera a senha descartável: uma senha única é gerada usando algoritmos de criptografia, como TOTP (baseada em tempo) ou HOTP (baseada em hash). Mais sobre isso na próxima seção.
  3. O sistema envia a senha descartável para o usuário: a senha descartável é enviada ao usuário por mensagem, SMS, e-mail, notificações push, ligação telefônica e outros meios.
  4. O usuário recebe a senha descartável: O usuário recebe o código de verificação e o insere na interface de solicitação para verificar a identidade.
  5. O sistema verifica o usuário: Se estiver correto, o usuário terá acesso para concluir a ação pretendida.
  6. O sistema impede o acesso: se incorreto, o usuário terá o acesso negado, potencialmente impedindo que agentes maliciosos realizem ações críticas.

A geração da senha descartável geralmente ocorre em segundos, tornando o processo uma experiência rápida e descomplicada para os usuários. Como os códigos são compartilhados praticamente em tempo real, isso ajuda a minimizar o atrito do usuário. Após a senha ser usada com sucesso, ela se tornará inválida e não poderá ser reutilizada.

Observação: o uso de uma senha e uma senha descartável é uma forma de autenticação de dois fatores (2FA).

Principais tipos de senhas descartáveis

Quatro exemplos de senhas descartáveis baseadas em tempo para recuperação de conta e autenticação de pedidos via WhatsApp Business

Agora, vamos dar uma olhada nos dois tipos principais de senhas descartáveis: a autenticação TOTP e a autenticação HOTP. Como ambos são usados em sistemas de 2FA e MFA (autenticação multifatorial), é fácil confundir os dois. Vamos defini-los com mais detalhes.

As senhas descartáveis são criadas por meio de HMAC (código de autenticação de mensagem baseado em hash), o algoritmo que combina uma chave secreta e uma função matemática (função de hash) para garantir que a mensagem seja única e autêntica. Ele funciona como uma impressão digital que comprova que a mensagem não foi adulterada e vem de uma fonte confiável. No entanto:

  • Senhas descartáveis ou baseadas em HMAC criam senhas únicas e de uso único com uma chave secreta compartilhada e um contador. Esse contador rastreia cada senha descartável gerada e calcula um novo código a cada solicitação.
  • TOTPs ou senhas descartáveis baseadas em tempo também usam o algoritmo HMAC, mas automatizam o contador de eventos com um contador baseado em tempo. Isso significa que o usuário deve inserir o código que recebe em um prazo especificado ou ele se torna automaticamente inutilizável. Com o contador de tempo, a autenticação por TOTP geralmente é considerada mais segura, pois limita o tempo que um hacker pode explorar os códigos.

Benefícios comerciais do uso de senhas descartáveis em comparação com senhas estáticas

Em comparação com as senhas estáticas, os códigos de senha descartável oferecem um valor comercial mensurável por meio de uma segurança e experiência de usuário aprimoradas, como:

  • Segurança aprimorada: como podem ser usadas apenas uma vez, elas são mais seguras do que senhas estáticas. Por outro lado, as senhas estáticas podem ser usadas repetidamente até serem alteradas.
  • Maior confiança do cliente: a segurança adicional das senhas descartáveis ajuda a garantir aos clientes que suas contas estão protegidas, especialmente durante transações de alto risco, como pagamentos ou alterações na conta.
  • Experiência do usuário simplificada: as senhas descartáveis oferecem um processo de login simples, seguro e conveniente. Quando realizado por meio de um canal amplamente utilizado como o WhatsApp, o processo de autenticação se torna familiar e simples para a maioria dos clientes.
  • Conformidade: as senhas descartáveis ajudam as empresas a cumprir os requisitos de conformidade de segurança e manter a eficiência operacional.

Como a Meta melhorou as taxas de entrega e conversão com mensagens de autenticação por senha descartável no WhatsApp

Antes, quando as pessoas precisavam acessar suas contas, criavam uma nova conta, recuperavam a senha ou faziam a autenticação de dois fatores, as mensagens de autenticação eram enviadas por canais como SMS para verificar a identidade. No entanto, o SMS sozinho pode demorar a ser entregue e não tem indicadores claros de entrega, entre outras desvantagens.

Ao enviar essas mensagens de verificação via WhatsApp, a Meta alcançou maior segurança e uma experiência de usuário aprimorada. As mensagens de autenticação por senha descartável no WhatsApp oferecem recursos interativos e fáceis de usar que verificam as pessoas de forma rápida, aumentando a probabilidade de que a jornada de autenticação seja concluída.

Resultados:

  • 20% de aumento no sucesso de recuperação de contas no Instagram*
  • 11% de aumento no sucesso de recuperação de contas no Facebook*
  • 9% de aumento na criação de novas contas no Instagram**

“Observamos que usar o WhatsApp para a autenticação por senha descartável oferece várias vantagens, incluindo uma experiência de usuário aprimorada, entrega confiável e segura, cobertura expandida e melhor direcionamento. Ao aproveitar esses recursos, melhoramos as taxas de entrega e conversão, trazendo mais pessoas de volta às nossas tecnologias.”

Francisco Varela
Vice-Presidente da Equipe de Crescimento Empresarial da Meta

Boas práticas para implementar senhas descartáveis na sua empresa

Um tipo de processo de autenticação de senha descartável baseada em tempo (TOTP) para verificação de transação

O método certo de como enviar senhas descartáveis para números de celular ou métodos de comunicação adicionais envolve considerar a experiência do usuário, a velocidade, a confiabilidade, a segurança e a conformidade. Veja algumas boas práticas adicionais a serem seguidas durante a implementação.

1. Não se esqueça da segurança

É importante usar uma abordagem multifacetada com um app ou plataforma que inclua geração rápida de códigos e veiculação segura. De um ponto de vista técnico, isso envolve:

  • Usando geradores seguros e aleatórios que definem tempos de expiração de código apropriados, normalmente em questão de minutos para transações padrão e janelas mais curtas para operações de alta segurança.
  • Restringir o número de tentativas de código de senha descartável permitidas em um determinado intervalo de tempo, o que ajuda a evitar ataques de força bruta em que os hackers tentam várias combinações ao mesmo tempo.

2. Oferecer opções de canal para a autenticação aos usuários

Ao permitir que as pessoas escolham a forma de verificação, você pode enviar senhas descartáveis a números de celular ou canais de comunicação nos quais é mais provável que elas cheguem ao usuário. Por exemplo, a autenticação do WhatsApp tem um desempenho particularmente bom em mercados onde o WhatsApp tem altas taxas de adoção, proporcionando uma experiência de usuário familiar.

Se estiver usando o Android, verifique se o WhatsApp está instalado. Se estiver, você pode sugerir que o usuário receba senhas descartáveis via WhatsApp.

Observação: elimine a necessidade de os usuários tocarem ou saírem do seu app para receber uma senha descartável com o Zero Tap, disponível para Android e em breve para iOS.

Insira o nome da empresa, selecione a Página principal, insira seu nome e email comercial. Monitore seu desempenho com mais eficácia

Para gerenciar melhor sua abordagem de autenticação, é importante:

  1. Monitore as principais métricas de desempenho, como taxas de entrega, tempos de resposta e taxas de conclusão do usuário.
  2. Analise regularmente o desempenho para otimizar a experiência do usuário ou identificar problemas com antecedência.
  3. Aborde as ameaças de segurança emergentes e mantenha um registro de auditoria apropriado para conformidade.

Para ajudar a garantir a conformidade, o WhatsApp exige que as empresas obtenham a permissão dos usuários antes de enviar mensagens de autenticação.

Ferramentas de API para autenticação de senha descartável – Plataforma do WhatsApp Business

A Plataforma do WhatsApp Business oferece às empresas recursos de mensagens robustos por meio de uma coleção de APIs que permitem o envio de mensagens automáticas em grande escala. Para simplificar a autenticação, a Plataforma do WhatsApp Business atua como um autenticador de TOTP para ajudar as empresas a verificar a identidade do usuário e a segurança da transação, com modelos de senha descartável personalizáveis para mensagens.

Muitas soluções de terceiros podem ajudar a facilitar as integrações de sites de senha descartável do WhatsApp, incluindo os Parceiros de Business Messaging da Meta. Essas soluções lidam com a complexidade técnica das integrações do site enquanto fornecem recursos adicionais como análise e suporte multicanal.

Comece a usar a Plataforma do WhatsApp Business

Quando implementados corretamente, os sistemas de senha descartável, como os do WhatsApp, podem aumentar a segurança, aumentar a confiança, agilizar processos e até impulsionar novos fluxos de receita, oferecendo uma solução que diferencia sua empresa da concorrência. O WhatsApp oferece uma adoção mais ampla em um ecossistema estabelecido, o que o torna uma escolha confiável para as empresas.

Tudo pronto para começar? Saiba mais sobre os recursos da Plataforma do WhatsApp Business que podem ajudar sua empresa.

*Fonte: dados internos da Meta, 23 de janeiro a 21 de fevereiro de 2025.
**Fonte: dados internos da Meta, 23 de janeiro a 19 de fevereiro de 2025.

Senhas descartáveis: perguntas frequentes

Qual é a forma completa de OTP?

O termo “OTP” significa “senha descartável” ou “código de acesso de uso único”. Ela descreve uma forma de autenticação entre uma empresa e um usuário para melhorar as proteções de segurança.

O que é a autenticação por senha descartável?

A autenticação por senha descartável consiste em usar uma senha ou um código único e temporário para verificar a identidade de um usuário, normalmente quando ele está fazendo login ou realizando uma transação. Um código de autenticação normalmente é um código de quatro ou seis dígitos (por exemplo: 9237 ou A87K90) que muda cada vez que o código é gerado.

Senha descartável e autenticação de dois fatores (2FA) são a mesma coisa?

Não, a senha descartável e a autenticação de dois fatores não são exatamente a mesma coisa. Embora ambas sejam usadas para fins de autenticação, a senha descartável se refere a uma senha ou código único enviado para o dispositivo de um usuário para uso único. Já a 2FA envolve duas formas de verificação separadas, como uma senha e uma senha descartável ou uma verificação biométrica.

Posts relacionados

Para ajudar a personalizar conteúdo, customizar e mensurar anúncios, e fornecer uma experiência mais segura, nós usamos cookies. Ao clicar ou navegar no site, você concorda em permitir a nossa coleta de informações na Meta e fora dela por meio de cookies. Saiba mais, incluindo sobre os controles disponíveis: [privacidade]