Por que NÃO usar CPF como login no e-commerce (e o que fazer no lugar)

1) Segurança & LGPD: o CPF não é credencial — é dado fiscal

O CPF é um identificador civil permanente. Quando você o usa como login, ele passa a circular por logs, cookies, prints de tela, integrações e relatórios. Em um incidente, o cliente não pode “trocar de CPF” como trocaria um e-mail — o dano é duradouro e a responsabilidade recai sobre a loja (princípios de finalidade, necessidade, minimização, prevenção e segurança da LGPD).

2) Ataques ficam mais fáceis

Como o CPF tem formato conhecido (11 dígitos), é trivial gerar listas válidas e automatizar tentativas. Metade do segredo (o usuário) já está resolvido; resta a senha.

3) Usabilidade & confiança

Clientes lembram e confiam mais em e-mail ou celular. Pedir CPF logo no login gera atrito e desconfiança (“por que precisam do meu CPF agora?”). Guarde o CPF para o momento fiscal: emissão de NF-e/NFC-e/NFS-e.

4) Alternativas recomendadas (com opinião)

Minha recomendação: combine e-mail e/ou celular + OTP, com MFA opcional e caminho para passkeys. CPF somente no faturamento.

5) Onde e como coletar o CPF (de forma correta)

• ✅ Solicite o CPF apenas no checkout (ou na área fiscal do cadastro).
• ✅ Valide (DV) e mascare na exibição (***.***.***-**).
• ✅ Criptografe em repouso (ex.: AES-256) e minimize logs.
• ✅ Controle de acesso por perfil (somente times que precisam).
• ✅ Base legal e transparência na política de privacidade.
• ❌ Não use CPF em URLs, chaves públicas, IDs de sessão ou e-mails.

6) Checklist de migração (passo a passo)

1. Desacople o identificador de login do CPF no seu modelo de usuário.
2. Habilite e-mail como usuário (e opção por celular+OTP).
3. Implemente MFA (TOTP/app autenticador) e limite de tentativas.
4. Adicione passkeys como caminho progressivo (WebAuthn).
5. Crie migrador suave: na primeira entrada, peça e-mail/celular, envie link/OTP e vincule à conta antiga.
6. Revise políticas de privacidade, consentimentos e retenção.
7. Ajuste relatórios e integrações para não usarem CPF como chave técnica.
8. Monitore taxa de conversão e tentativas bloqueadas pós-mudança.

7) Dicas técnicas rápidas (funciona bem em plataformas como PrestaShop, Woo, etc.)

• Formulário de login: apenas e-mail ou celular. CPF só em “Dados fiscais”.
• Auditoria: evite logar campos de documentos; se inevitável, hash/mascare.
• APIs: nunca envie CPF em parâmetros de GET; use corpo POST e HTTPS.
• Banco: criptografia por coluna e rotation de chaves; mascaramento na camada de visão.
• Detecção de fraude: rate limiting, device fingerprint, reCAPTCHA “invisível” somente ao detectar risco.

FAQ

Posso manter CPF como opção de login?

Pode, mas não é recomendado. Se mantiver, trate como exceção, com MFA obrigatório e mascaramento total, e avalie o risco/benefício.

E se meu ERP “pede” CPF no cadastro?

Tudo bem — cadastro fiscal é uma etapa; só não use como usuário de login. Integre os sistemas com chaves técnicas (IDs internos) e deixe o CPF restrito ao domínio fiscal.

Isso impacta SEO ou marketing?

Para melhor: menos atrito no login, mais contas criadas, menos suporte por bloqueio. Impacto positivo em taxa de conversão.

Conclusão

CPF como login é um atalho perigoso. Trate CPF como dado fiscal sensível e adote e-mail/celular + MFA, evoluindo para passkeys. Sua loja ganha em segurança, confiança e conversão.