Verificação Biométrico vs. Palavras-Passe: A Superioridade Biométrico em 2026 (PT-PT)

Uma palavra-passe é um segredo partilhado — você sabe-o, e o servidor que a armazenou também. Um dado biométrico não é um segredo partilhado: é uma propriedade mensurável da pessoa, não uma sequência que pode ser copiada, vendida ou adivinhada.

Essa distinção é o motivo pelo qual a autenticação biométrica está a substituir o login baseado em palavra-passe em serviços financeiros, aplicações críticas de identidade e fluxos de reautenticação de alto risco. As palavras-passe têm uma falha estrutural fundamental: devem ser transmitidas, armazenadas e posteriormente recuperadas — e cada passo é uma superfície de ataque. A biometria, quando implementada corretamente com deteção de vivacidade, associa a autenticação a uma pessoa real e fisicamente presente.

Principais pontos

• As palavras-passe falham através de quatro mecanismos distintos: phishing, reutilização de credenciais, "credential stuffing" e fugas de dados. Cada um é independente — defender-se contra um deixa os utilizadores expostos aos outros.
• A autenticação biométrica elimina o segredo partilhado — não há palavra-passe para "phish", reutilizar ou roubar de um servidor.
• A deteção de vivacidade é o que torna a autenticação biométrica resistente a "spoofing": confirma que o rosto registado está presente e vivo no momento da autenticação, e não reproduzido a partir de uma foto ou vídeo.
• A deteção de ataque de apresentação (PAD) da Didit tem certificação iBeta Nível 1: 0% de sucesso de ataque e 0% de IAPAR (Taxa de Aceitação de Apresentação de Ataque de Impostor) em 360 tentativas.
• A Autenticação Biométrica com Didit custa 0,10 € por autenticação — comparável ou mais barata do que a infraestrutura de SMS OTP, com segurança substancialmente mais forte.
• 500 verificações gratuitas por mês, sem mínimos.

O que é autenticação biométrica?

A autenticação biométrica verifica a identidade usando uma característica física — rosto, impressão digital, voz ou íris — em vez de um fator de conhecimento (palavra-passe) ou um fator de posse (token de hardware ou telefone). Em contextos de integração digital e reautenticação, a biometria facial tornou-se a abordagem dominante: as câmaras são ubíquas, o registo é sem atrito e um rosto é difícil de esquecer.

O mecanismo central é uma correspondência facial 1:1: no registo, um modelo biométrico de referência é capturado e armazenado. Na autenticação, uma nova captura é comparada com o modelo armazenado, e uma pontuação de correspondência determina o resultado. Sozinho, isto é uma verificação de similaridade. Emparelhado com a deteção de vivacidade, torna-se uma verificação de presença — não apenas "é este o rosto certo" mas "é este o rosto certo, ao vivo, agora mesmo."

Por que as palavras-passe falham

As palavras-passe têm quatro modos de falha, e eles agravam-se.

Phishing. Um utilizador que recebe uma página de login convincente e insere as suas credenciais entregou a palavra-passe a um atacante. Nenhuma defesa técnica no lado do servidor impede isso; o modelo mental do utilizador de "uma página web que parece correta" é a única barreira, e falha constantemente. O phishing continua a ser o vetor de acesso inicial mais comum em violações reportadas ano após ano.

Reutilização de credenciais. A maioria dos utilizadores reutiliza palavras-passe em vários serviços. Uma violação num site de baixo valor — um fórum, um retalhista — produz uma lista de pares de e-mail-palavra-passe. Os atacantes testam esses pares sistematicamente contra alvos de alto valor: banca, criptomoedas, e-commerce. Um subconjunto de utilizadores partilha a palavra-passe. Isso não requer engano, apenas automação.

Credential stuffing. A exploração automatizada de credenciais reutilizadas em larga escala. Botnets testam milhões de pares de nome de utilizador-palavra-passe por hora em milhares de serviços simultaneamente. A limitação de taxa abranda-o; não o impede. Mesmo uma taxa de sucesso de 0,5% numa lista de 100 milhões de credenciais vazadas representa 500.000 contas comprometidas.

Fugas de dados. As palavras-passe armazenadas pelos servidores são alvos. Mesmo palavras-passe com hash são reversíveis dada capacidade de computação suficiente e algoritmos fracos. O armazenamento em texto simples ainda ocorre. Quando um serviço é violado, a sua base de dados de palavras-passe torna-se um ativo para o atacante — um que permanece valioso por anos, pois os utilizadores não mudam palavras-passe que não sabem que foram expostas.

Nenhum destes modos de falha se aplica à biometria da mesma forma. Não há "string" biométrica para "phish". Não há base de dados de credenciais de modelos faciais que, se violada, permita a autenticação contra um serviço diferente. A reutilização não acarreta o mesmo risco: o seu rosto é o seu rosto em todos os serviços, mas um vazamento de modelo de correspondência facial não desbloqueia outras contas.

Por que a vivacidade é a adição crítica

Uma correspondência facial sem vivacidade ainda é uma verificação de similaridade. Se um atacante tiver uma foto do utilizador registado — das redes sociais, de uma violação, de um documento de integração "phished" — pode passar uma correspondência facial segurando a foto para uma câmara.

A deteção de vivacidade fecha esta lacuna. A Vivacidade Passiva usa PAD (Deteção de Ataque de Apresentação) para confirmar que o rosto apresentado é real e tridimensional, não uma fotografia plana ou uma reprodução de ecrã. A Vivacidade Ativa adiciona um desafio em tempo real — virar, piscar ou seguir um alvo — que uma foto não pode realizar. Juntas, elas associam a autenticação a uma pessoa viva e presente, não ao conhecimento de como essa pessoa se parece.

A vivacidade passiva da Didit é certificada iBeta Nível 1 PAD (ISO/IEC 30107-3), alcançando 0% de sucesso de ataque e 0% de IAPAR em 360 tentativas testadas. A atestação Tesoro/SEPBLAC/CNMV — a única certificação governamental de um estado membro da UE de que um método de verificação remota é mais seguro do que a identificação presencial — aplica-se ao fluxo biométrico completo, incluindo a vivacidade.

Casos de uso

Reautenticação Fintech. Ações de alto valor — grandes transferências, alterações de credenciais, recuperação de conta — justificam uma verificação adicional além de um cookie de sessão. A Autenticação Biométrica a 0,10 € confirma que o titular legítimo da conta está presente, não um atacante que obteve acesso ao dispositivo.

Login em Neobancos e carteiras digitais. O login sem palavra-passe com autenticação facial biométrica substitui o ciclo de SMS OTP — mais rápido para os utilizadores e mais difícil de intercetar do que um código enviado pela rede celular, que é vulnerável a ataques de "SIM-swap".

Confiança em plataformas de mercado e "gig economy". A reverificação periódica de que a pessoa que opera uma conta corresponde ao utilizador registado — útil para plataformas que assumem a responsabilidade por fraude em atividades de vendedor ou motorista — custa 0,10 € por verificação sem exigir que o utilizador reenvie documentos.

Ações de alto risco em cripto e VASP. Pedidos de levantamento, alterações de endereço de carteira e operações de recuperação de dois fatores são alvos de alto valor para a apropriação de contas. A autenticação biométrica com vivacidade é substancialmente mais forte do que TOTP (palavra-passe de uso único baseada em tempo) ou SMS.

Como a Didit ajuda

A Autenticação Biométrica da Didit funciona dentro de uma sessão ou como um passo em qualquer fluxo de trabalho. O módulo compara uma captura ao vivo com o dado biométrico facial registado durante o KYC (Know Your Customer) — não é necessário um passo de registo separado se o utilizador já tiver concluído uma verificação alimentada pela Didit.

1. Adicione o módulo Autenticação Biométrica a um fluxo de trabalho na Consola de Negócios.
2. Crie uma sessão: POST /v3/session/ com os vendor_data do utilizador para que a Didit possa recuperar o seu modelo registado.
3. Redirecione o utilizador para session.url — a captura de vivacidade e a correspondência facial 1:1 são executadas no fluxo alojado.
4. Leia o resultado do webhook session.status.updated ou GET /v3/session/{sessionId}/decision/.

A Autenticação Biométrica custa 0,10 € por autenticação. 500 verificações gratuitas por mês, sem mínimos. Emparelhe-a com a Vivacidade Passiva (0,10 €) para confirmação total de presença, ou deixe o Construtor de Fluxos de Trabalho encaminhar sessões de maior risco para a Vivacidade Ativa (0,15 €) automaticamente com base no dispositivo, IP ou sinais comportamentais — sem necessidade de alterações de código.

Perguntas frequentes

A autenticação biométrica é mais segura do que a autenticação de dois fatores (2FA) com SMS?

Para a maioria dos modelos de ameaça, sim. O 2FA baseado em SMS é vulnerável a ataques de "SIM-swap", interceção SS7 e phishing em tempo real que reencaminha códigos para o atacante. A autenticação biométrica com vivacidade requer a presença física do rosto registado — uma classe de garantia fundamentalmente diferente.

A autenticação biométrica substitui as palavras-passe completamente?

Isso depende do seu modelo de risco. A autenticação biométrica pode substituir as palavras-passe como fator primário num fluxo sem palavra-passe, ou complementá-las como um fator de "step-up" para ações de alto risco. A maioria das implementações começa com a reautenticação de "step-up" e expande a partir daí.

E se o rosto do utilizador registado mudar significativamente?

Os modelos faciais capturam características biométricas que são estáveis ao longo do envelhecimento normal e mudanças de aparência. Alterações significativas — cirurgia, lesões graves — podem exigir um novo registo. O sistema pode ser configurado para sinalizar correspondências de baixa confiança para revisão manual em vez de uma recusa categórica.

Quanto custa a Autenticação Biométrica Didit?

0,10 € por verificação de autenticação. 500 verificações gratuitas por mês em todos os módulos Didit. Sem mínimos, sem licenças de utilizador, sem taxas de plataforma.

A autenticação biométrica funciona para "step-up" dentro de uma aplicação em execução?

Sim. Uma sessão Didit pode ser iniciada no meio da aplicação para autenticação de "step-up" — crie uma sessão, redirecione dentro da aplicação e receba o resultado via webhook. SDKs estão disponíveis para Web, iOS, Android, React Native e Flutter.

Pronto para começar?

• Aprenda sobre a funcionalidade → Documentação de Autenticação Biométrica
• Veja na plataforma → Página do produto Verificação de Identidade
• Verifique o preço → Preços — Autenticação Biométrica 0,10 €, 500 gratuitas/mês
• Comece gratuitamente → business.didit.me