Todos os posts

Construir ou comprar autenticação: a conta que você não vê chegando

AuthagonalJune 30, 2026
authbuild-vs-buyssosecuritysaas

Traduzido por IA a partir do original em inglês. Ler o original

Autenticação é a funcionalidade que todo engenheiro tem certeza de que consegue construir em um fim de semana, e eles estão certos. Você consegue construir um formulário de login, uma tabela de usuários e um e-mail de redefinição de senha até domingo à noite. O fim de semana é real. O fim de semana também não é o custo. O custo é tudo o que chega depois dele, num cronograma que você não define, para um sistema que você nunca pode desligar.

A parte que você acha que é o trabalho

E-mail e senha. Uma tabela de sessões. Um link de "esqueci a senha" que envia um token por e-mail. Login social, se estiver caprichando. Isso de fato é um fim de semana, e se fosse esse o trabalho todo, você deveria sem dúvida construí-lo. Não é o trabalho todo, e você sabe que não é, e é por isso que você está lendo um artigo sobre construir versus comprar em vez de simplesmente construir.

A conta que você não vê chegando

Agora você é dono de uma superfície de segurança, permanentemente. Hashing de senhas, e re-hashing de cada usuário no dia em que você perceber que o seu fator de custo do bcrypt foi ajustado para hardware de 2019. Rate limiting e bloqueio de contas. Credential stuffing, porque o seu endpoint de login entra para todas as listas de breach-replay em até um mês após o lançamento. E o grande: responsabilidade. No dia em que você armazena credenciais, você se torna um alvo, e um vazamento deixa de ser um risco abstrato na apresentação de preços de outra pessoa. É o seu incidente, o seu e-mail de divulgação, a confiança dos seus clientes e, possivelmente, o seu regulador.

O trabalho de protocolo cai no seu colo no momento em que você vende para alguém sério. SSO corporativo significa SAML, e SAML significa verificação de assinatura XML, que é um gênero próprio de CVE (você realmente não quer encontrar signature wrapping em produção; mais sobre isso aqui). SCIM significa construir provisionamento e desprovisionamento, e desprovisionamento é um controle de segurança: erre nisso e um funcionário demitido mantém o acesso. MFA significa cadastro, códigos de recuperação e a fila de suporte quando alguém perde o celular. Logs de auditoria significam retenção e evidência de adulteração, porque o auditor de SOC 2 do cliente vai perguntar, e "a gente registra em um arquivo em algum lugar" não é uma resposta.

A cauda operacional nunca termina. Rotação de chaves e JWKS. Invalidação de sessão que de fato funciona em todos os dispositivos. Revogação de tokens. E plantão, para o único sistema da sua stack que, quando cai, leva tudo junto: ninguém faz login, nenhuma chamada de API se autentica, o seu produto inteiro vira uma página de erro 500. Autenticação é nível zero. Você está se comprometendo a manter um sistema de segurança de nível zero rodando para sempre, com a mesma equipe que você ia gastar no seu produto de verdade.

A cauda de conformidade é anual. SOC 2, ISO 27001, o questionário de segurança de um prospect: cada um pergunta, em detalhe, sobre cada item acima. Auditores não se encantam com "fizemos o nosso próprio". Comprar autenticação permite que você aponte para os controles de um fornecedor; construí-la torna esses controles seus para documentar, provar e defender, todo ano.

Quando construir é de fato a escolha certa

Este não é um discurso de "compre, sempre", porque isso seria desonesto e você enxergaria através dele na hora. Construa a sua própria autenticação quando:

  • For uma pequena ferramenta interna atrás de uma VPN, um punhado de usuários, nenhuma superfície de conformidade. O fim de semana realmente é o trabalho todo.
  • A autenticação é o seu produto. Se você está construindo uma empresa de identidade, construa identidade. É o seu diferencial, não o seu custo operacional.
  • Você tem requisitos genuinamente incomuns que nenhum provedor atende, e uma equipe de segurança dedicada que vai ser dona do resultado por toda a vida dele. Note as duas metades dessa frase. A equipe é a metade cara.

Fora desses casos, a conta é mais simples do que parece. O custo de "construir" nunca foi o primeiro fim de semana. É a propriedade perpétua de um sistema crítico de segurança que não torna o seu produto nem um pouco melhor, apenas mais seu.

A reformulação honesta

Construir autenticação não torna o seu produto mais valioso para um único cliente. Ninguém jamais comprou o seu software porque você implementou à mão a verificação de assinatura do SAML. Isso só converte a autenticação de problema de outra pessoa em problema seu, para sempre, e gasta a engenharia que você poderia ter colocado naquilo pelo qual as pessoas de fato pagam.

A objeção habitual a comprar, a de que fornecedores de autenticação cobram uma fortuna para ligar os recursos corporativos, é real. Mas isso é um argumento sobre qual fornecedor, não sobre construir versus comprar. Boa parte dessa conta é um imposto de funcionalidades que você não precisa pagar. Compre uma autenticação que inclua SSO, SCIM, MFA e logs de auditoria sem o pedágio por conexão, e a pergunta sobre construir versus comprar praticamente se responde sozinha.

Antes de gastar um sprint em um sistema de login, vale a pena ver exatamente o que os clientes corporativos vão exigir dele. Veja o que está incluído, em todos os planos.