De notícias de última hora e entretenimento a esportes e política, o X é um app de mídia social que ajuda quase 500 milhões de usuários no mundo todo a ter acesso a todas as informações com comentários ao vivo. Recentemente, os desenvolvedores do X reformularam o processo de login do app Android para que os usuários nunca percam as conversas de que gostam. Usando a API Credential Manager, a equipe implementou uma nova autenticação por chave de acesso para um acesso mais rápido, fácil e seguro ao app.

Simplificar o login com chaves de acesso

Hoje, os sistemas tradicionais de autenticação baseados em senhas são menos seguros e mais propensos a ataques cibernéticos. Muitos usuários escolhem senhas fáceis de adivinhar, que agentes mal-intencionados podem quebrar com ataques de força bruta. Elas também reutilizam as mesmas senhas em várias contas, o que significa que, se uma senha for hackeada, todas as contas serão comprometidas.

As chaves de acesso resolvem a crescente preocupação com a segurança da conta causada por senhas fracas e ataques de phishing, eliminando completamente a necessidade de senhas. O recurso oferece uma experiência de login mais segura e integrada, sem que os usuários precisem se lembrar de nomes de usuário ou senhas.

"As chaves de acesso são uma maneira mais simples e segura de fazer login, substituindo as senhas por PINs ou dados biométricos, como impressões digitais ou reconhecimento facial", disse Kylie McRoberts, chefe de segurança do X. "Exploramos o uso de chaves de acesso para facilitar e tornar mais seguro o login dos usuários, ajudando a proteger as contas sem o incômodo de lembrar senhas."

Desde a implementação das chaves de acesso, a equipe do X notou uma redução significativa nos tempos de login e métricas que mostram um fluxo de login aprimorado. Com as chaves de acesso, a taxa de login bem-sucedido do app dobrou em comparação com quando ele dependia apenas de senhas. A equipe também notou uma diminuição nos pedidos de redefinição de senha de usuários que ativaram as chaves de acesso.

Segundo os desenvolvedores do X, a adoção de chaves de acesso trouxe benefícios além da segurança aprimorada e de uma experiência de login simplificada, como custos mais baixos e UX melhorada.

"As chaves de acesso nos permitiram reduzir as despesas relacionadas à autenticação de dois fatores baseada em SMS porque oferecem uma autenticação forte e inerente", disse Kylie. "E com a facilidade de login, é mais provável que os usuários interajam com nossa plataforma, já que há menos dificuldade para lembrar ou redefinir senhas."

As chaves de acesso usam a criptografia de chave pública para autenticar usuários e fornecer chaves privadas. Isso significa que sites e apps podem conferir e armazenar a chave pública, mas nunca a chave privada, que é criptografada e armazenada pelo provedor de credenciais do usuário. Como as chaves são exclusivas e ficam vinculadas ao site ou app, elas não correm risco de phishing, o que aumenta ainda mais a segurança.

Integração perfeita usando a API Credential Manager

Para integrar as chaves de acesso, os desenvolvedores do X usaram a API Credential Manager do Android, o que tornou o processo "extremamente tranquilo", de acordo com Kylie. A API unifica o Smart Lock, o recurso de um toque e o Login do Google em um único fluxo de trabalho simplificado. Isso também permitiu que os desenvolvedores removessem centenas de linhas de código, impulsionando a implementação e reduzindo a sobrecarga de manutenção.

No final, a migração para o Credential Manager levou apenas duas semanas para ser concluída por X desenvolvedores, seguidas de mais duas semanas para oferecer suporte total às chaves de acesso. Essa foi uma "migração muito rápida", e a equipe "não esperava que fosse tão simples e direta", disse Saurabh Arora, engenheiro de equipe da X. Graças à API simples e baseada em corrotinas do Credential Manager, as complexidades de lidar com várias opções de autenticação foram essencialmente removidas, reduzindo o código, a probabilidade de bugs e os esforços gerais dos desenvolvedores.

X desenvolvedores tiveram uma melhoria significativa na velocidade de desenvolvimento ao integrar a API Credential Manager. Com a mudança para a adoção de chaves de acesso pela API Credential Manager, eles alcançaram:

• Redução de 80% no código do módulo de autenticação
• Resolução de 90% dos bugs legados de casos extremos
• Redução de 85% no código de processamento do SIG, do um toque e do Smart Lock

Usando os métodos de nível superior da API Credential Manager, como createCredential e getCredential, a integração foi simplificada com a remoção das complexidades de lógica personalizada em torno de protocolos individuais. Essa abordagem uniforme também significava que os desenvolvedores do X podiam usar uma única interface consistente para lidar com vários tipos de autenticação, como chaves de acesso, senhas e logins federados, como o Fazer login com o Google.

"Com os métodos simples da API do Credential Manager, pudemos recuperar chaves de acesso, senhas e tokens federados com uma única chamada, reduzindo a lógica de ramificação e tornando o processamento de respostas mais limpo", disse Saurabh. "Usar diferentes métodos de API, como createCredential() e getCredential(), também simplificou o armazenamento de credenciais, permitindo que processássemos senhas e chaves de acesso em um só lugar."

X desenvolvedores não enfrentaram muitos desafios ao adotar o Fazer login com o Google usando a API Credential Manager. A substituição do código anterior do Login do Google, do um toque e do Smart Lock do X por uma implementação mais simples do Credential Manager significou que os desenvolvedores não precisavam mais lidar com status de conexão ou desconexão e resultados de atividades, reduzindo a margem de erro.

Um futuro com chaves de acesso

A integração das chaves de acesso pelo X mostra que é possível ter uma experiência de autenticação mais segura e fácil de usar. Ao usar a API Credential Manager, os desenvolvedores do X simplificaram o processo de integração, reduziram possíveis bugs e melhoraram a segurança e a velocidade do desenvolvimento, tudo isso aprimorando a experiência do usuário.

"Nosso conselho para desenvolvedores que estão considerando a integração de chaves de acesso é aproveitar a API Credential Manager", disse Saurabh. "Isso simplifica muito o processo e reduz o código que você precisa escrever e manter, melhorando a implementação para os desenvolvedores."

Para o futuro, o X planeja melhorar ainda mais a experiência do usuário permitindo inscrições apenas com chaves de acesso e oferecendo uma tela dedicada de gerenciamento de chaves de acesso.

Primeiros passos

Aprenda a melhorar a UX de login do seu app usando chaves de acesso e a API Credential Manager.