- As passkeys substituem palavras-passe por pares de chaves criptográficas, combinando segurança forte com autenticação simples no dispositivo.
- Principais sistemas operativos, navegadores e grandes serviços online já suportam passkeys, impulsionando um futuro com menos dependência de senhas.
- Passkeys são resistentes a phishing, não expõem segredos em servidores e reduzem custos operacionais e riscos de fuga de dados para as empresas.
- Apesar de desafios de adoção e recuperação, a aprovação por órgãos como o NIST indica que as passkeys serão o novo padrão de autenticação.
As palavras-passe clássicas estão a ficar para trás num mundo em que os ataques de phishing, fugas de dados e reutilização de credenciais são o pão nosso de cada dia. Em vez de memorizar combinações intermináveis de letras, números e símbolos, a indústria está a apostar em um novo padrão pensado para ser, ao mesmo tempo, mais seguro e muito mais simples de usar: as passkeys.
As passkeys substituem a velha lógica de “algo que sabes” por uma combinação de criptografia de chave pública e autenticação no dispositivo, muitas vezes biométrica. Isso significa que já não precisa decorar senhas diferentes para cada site, nem correr o risco de vê-las expostas em bases de dados comprometidas ou na dark web, onde circulam milhares de milhões de combinações de utilizador e palavra-passe.
O que são passkeys e por que surgiram agora?
Uma passkey é uma credencial digital baseada em criptografia assimétrica, criada para assumir o lugar das palavras-passe tradicionais na autenticação de sites e aplicações. Em vez de escrever uma senha, o utilizador confirma a sua identidade com o método de desbloqueio do dispositivo (impressão digital, reconhecimento facial, PIN, padrão, etc.).
O contexto que levou ao aparecimento das passkeys é preocupante: milhões de credenciais expostas na dark web e utilizadores a reutilizar a mesma palavra-passe em múltiplas contas. Isto torna os ataques de preenchimento de credenciais e as campanhas de phishing extremamente eficazes, já que basta comprometer um único serviço para que o atacante tente a mesma combinação em dezenas de outros.
Grandes empresas de tecnologia como Google, Apple e Microsoft, juntamente com organizações como a FIDO Alliance e o W3C, decidiram atacar o problema pela raiz: eliminar as palavras-passe sempre que possível. As passkeys são o resultado desse esforço coletivo, baseado em normas abertas como FIDO2 e WebAuthn, já suportadas pelos principais sistemas operativos e navegadores modernos.
Em termos práticos, uma passkey é uma forma de “chave criptográfica amigável ao utilizador”, concebida para ser forte por padrão e praticamente imune aos ataques que exploram o erro humano. Não se escreve, não se dita ao telefone, não se envia por email, não se copia para um ficheiro de texto: simplesmente é utilizada de forma transparente pelo dispositivo em que está guardada.
Como funcionam as passkeys por baixo do capô
O funcionamento das passkeys assenta na criptografia de chave pública, também chamada criptografia assimétrica. Em vez de um segredo único (a palavra-passe) que é enviado ao servidor, utilizam-se dois elementos matematicamente ligados: uma chave pública e uma chave privada.
Quando regista uma passkey num site ou aplicação, o seu dispositivo gera automaticamente um par de chaves criptográficas: a chave pública é enviada e guardada no servidor desse serviço, enquanto a chave privada fica armazenada de forma segura no dispositivo do utilizador, em componentes de hardware protegidos.
Em dispositivos Apple, essa proteção costuma acontecer no Secure Enclave; em computadores Windows e muitos equipamentos Android, o papel fica a cargo do Trusted Platform Module (TPM); nalguns telemóveis Samsung, entra em jogo o Samsung Knox. Estes módulos funcionam como cofres isolados do processador principal, desenhados para resistir mesmo em cenários de malware ou tentativas avançadas de extração de dados.
No momento de iniciar sessão, o servidor não pede uma palavra-passe, mas sim que o utilizador desbloqueie a passkey no seu dispositivo. O servidor envia um desafio criptográfico (um conjunto de dados único e com validade muito curta) e o dispositivo responde assinando esse desafio com a chave privada, que nunca abandona o hardware seguro.
O servidor, por sua vez, usa a chave pública associada àquela conta para verificar se a assinatura é válida para aquele desafio e para aquele domínio. Se tudo bater certo, o acesso é concedido. Se alguém tentar reutilizar essa resposta noutro momento ou noutro site, ela deixa de ser válida, o que bloqueia ataques de repetição de sessão e de phishing.
Outro aspeto importante é que as passkeys são limitadas ao domínio para o qual foram criadas, graças a mecanismos definidos no protocolo WebAuthn. Ou seja, uma passkey registada em “minhaempresa.com” simplesmente não será oferecida pelo navegador se o utilizador estiver, por engano, num domínio malicioso como “minhaernpresa.com” (com caracteres trocados).
Passkeys sincronizadas vs. passkeys ligadas ao dispositivo
Existem dois grandes tipos de passkeys, pensados para cenários de uso diferentes: as passkeys multidispositivo (sincronizadas) e as passkeys ligadas a um único dispositivo. Ambas partem da mesma base criptográfica, mas variam na forma como são geridas e copiadas.
As passkeys sincronizadas são ideais para o utilizador comum, que alterna entre telemóvel, portátil e tablet. Nesse modelo, o ecossistema (Apple, Google, Microsoft, um gestor de palavras-passe compatível, etc.) cifra a chave privada e sincroniza-a entre os dispositivos ligados à mesma conta na nuvem, como iCloud, Google Password Manager ou equivalente.
Isto permite que o utilizador crie a passkey uma única vez e a utilize em vários equipamentos, mantendo a proteção de hardware e de encriptação ponta a ponta, integrando práticas de gestão na nuvem que preservam a confidencialidade da chave privada.
As passkeys ligadas ao dispositivo, por outro lado, nunca são copiadas nem sincronizadas; elas permanecem fisicamente no hardware onde foram geradas. Este modelo é especialmente atrativo para ambientes empresariais com requisitos rígidos de conformidade, onde convém garantir que a credencial de acesso não sai de um token de segurança ou de uma máquina específica.
Chaves de segurança FIDO (como YubiKeys) são um bom exemplo desse tipo de abordagem: a passkey reside no dispositivo físico e só pode ser utilizada quando este está presente e autorizado. Isso reduz drasticamente o risco de compromisso em larga escala, à custa de exigir uma gestão de dispositivos mais rigorosa.
Quem já usa passkeys hoje em dia
A adoção das passkeys deixou de ser teórica: os principais sistemas operativos, navegadores e muitos serviços de grande escala já as oferecem ao público. Isto ajuda a criar um efeito de rede que prepara o terreno para uma Internet cada vez menos dependente de palavras-passe.
No mundo dos sistemas operativos, a Apple suporta passkeys no iOS 16 ou superior para iPhone e iPad, e no macOS Ventura 13 em diante nos computadores Mac. A gestão fica integrada no iCloud Keychain, que sincroniza as credenciais entre os dispositivos do mesmo utilizador.
O Android também embarcou na tendência: dispositivos com Android 9 (Pie) ou mais recente podem usar passkeys, geridas diretamente pelo Google Password Manager. O Windows, por sua vez, integra o suporte através do Windows Hello em versões modernas como Windows 10 e Windows 11, explorando biometria, PIN seguro e hardware de confiança.
Entre os navegadores, o ecossistema é igualmente favorável: Google Chrome e Microsoft Edge oferecem suporte desde as versões 109, Safari a partir da versão 16 e o Firefox já inclui suporte, ainda que com algumas limitações pontuais. Isto significa que, em geral, qualquer utilizador com software atualizado já tem tudo o que precisa para usar passkeys.
No lado dos serviços online, o número de empresas que já permite login com passkeys cresce rapidamente. Plataformas como GitHub, Dropbox e PayPal vêm ativando esse tipo de autenticação, enquanto gigantes do comércio eletrónico (Amazon, Walmart, Best Buy, Target, Shopify, Kayak), redes sociais (X/Twitter, LinkedIn, TikTok), serviços financeiros (Coinbase, Robinhood, Stripe, PayPal, Affirm) e plataformas de desenvolvimento (GitHub, Bitbucket) exploram ou já implementam esta tecnologia.
Por que as passkeys são mais seguras do que palavras-passe?
As palavras-passe, por mais complexas que sejam, têm fraquezas estruturais: podem ser adivinhadas, roubadas, reutilizadas, partilhadas ou armazenadas de forma insegura em servidores de terceiros. Mesmo com políticas de complexidade, a maioria das pessoas tende a reutilizar variantes de uma mesma senha, o que agrava a exposição.
Uma passkey, em contrapartida, é gerada de forma aleatória e com comprimento efetivo muito superior ao que um humano conseguiria memorizar. Não existe o risco de escolher algo baseado em datas, nomes ou padrões previsíveis; o próprio sistema garante que a credencial é forte por desenho.
Como a chave privada nunca é enviada ao servidor, não há um “segredo partilhado” a circular na rede ou a ficar guardado em base de dados. Se um atacante comprometer o servidor, encontrará apenas a chave pública, que é inútil para se autenticar.
A resistência ao phishing é outra grande vantagem. Dado que o navegador só oferece a passkey quando o domínio coincide exatamente com o registo original, ataques que imitam páginas de login deixam de conseguir roubar credenciais reutilizáveis. Mesmo que o utilizador caia num site falso, a passkey não é utilizada ali.
Além disso, as passkeys combinam, num único gesto, mais do que um fator de autenticação. Com frequência, o mesmo acto de desbloquear o dispositivo (algo que possui) inclui um dado biométrico (algo que é) ou pelo menos um PIN do próprio equipamento (algo que sabe). Na prática, a experiência é mais simples do que uma autenticação de dois fatores clássica, mas com segurança equivalente ou superior.
Vantagens das passkeys para utilizadores e empresas
Para o utilizador final, a primeira vantagem é óbvia: não ter de decorar, gerir e atualizar senhas para cada conta. O login passa a ser tão natural quanto desbloquear o telemóvel ou o computador, reduzindo frustração e erros ao escrever palavras-passe complexas.
Outra melhoria clara é a rapidez nos processos de registo e autenticação. Em vez de formular requisitos complicados (mínimo de caracteres, caracteres especiais, renovação frequente), o serviço pode permitir que o utilizador crie a conta diretamente com uma passkey, o que reduz o abandono durante o processo de inscrição.
A privacidade também sai a ganhar, principalmente quando há biometria envolvida. Impressões digitais e reconhecimento facial são verificados localmente, sem que as imagens ou templates biométricos sejam enviados ao site ou aplicação. O serviço só sabe que a autenticação foi bem-sucedida, não tem acesso às suas características físicas. Para reduzir o rastreio e proteger a privacidade do utilizador, é importante combinar passkeys com boas práticas de navegação e bloqueio de rastreadores.
Do ponto de vista das empresas e dos programadores, as passkeys diminuem drasticamente a superfície de ataque associada ao armazenamento de credenciais. Em vez de manter hashes de palavras-passe (que podem ser alvo de ataque de dicionário ou força bruta), o servidor guarda apenas chaves públicas, que não permitem reconstituir a credencial do utilizador.
Isso reduz o impacto reputacional e financeiro em caso de violação de dados, bem como os custos operacionais com redefinições de senha e suporte técnico. Menos pedidos de “esqueci-me da palavra-passe” significam menos carga para as equipas de TI e centros de suporte.
Empresas que operam em sectores regulados, como finanças e saúde, também beneficiam da consolidação normativa em torno desta tecnologia. A aprovação das passkeys sincronizadas pelo NIST, nas diretrizes SP 800-63B, reconhece oficialmente a sua robustez contra phishing e a sua adequação para substituir palavras-passe em contextos de alta exigência de segurança.
Limitações e desafios das passkeys
Apesar de todas as vantagens, as passkeys ainda não são uma bala de prata e apresentam desafios práticos. O primeiro é a adoção: embora grandes plataformas já suportem a tecnologia, ainda há inúmeros sites e aplicações que dependem exclusivamente de palavras-passe.
A dependência dos ecossistemas de sincronização também levanta questões para alguns utilizadores. Quem não pretende usar iCloud, Google Password Manager ou soluções semelhantes pode ter mais trabalho a gerir passkeys, especialmente se preferir tokens físicos ou dispositivos isolados.
Outro ponto sensível é a recuperação de acesso quando se perde o dispositivo principal e não existem backups configurados. Sem uma palavra-passe de recurso ou segundo fator devidamente pensado, o utilizador pode ficar bloqueado, obrigando o serviço a disponibilizar mecanismos alternativos de recuperação (códigos, suportes secundários, contacto com suporte, etc.). Para reduzir riscos relacionados com o acesso remoto e detectar sessões suspeitas, as empresas também devem complementar passkeys com monitorização e alertas.
Também há uma curva de aprendizagem, sobretudo para utilizadores menos familiarizados com conceitos como biometria, nuvem ou gestores de credenciais. Muitas pessoas ainda associam segurança a etapas manuais (inserir códigos, escrever senhas longas), e podem desconfiar de um processo que “parece simples demais”.
Para as organizações, a transição exige planeamento: definir políticas internas, formar colaboradores, ajustar fluxos de login e garantir compatibilidade com dispositivos heterogéneos. É por isso que muitos cenários adotam um modelo híbrido durante algum tempo, oferecendo passkeys em paralelo com palavras-passe e outros fatores de autenticação.
Passkeys na prática: integração e ferramentas para programadores
Para quem desenvolve aplicações ou gere a identidade de clientes, a boa notícia é que não é preciso reinventar a roda para implementar passkeys. A pilha tecnológica FIDO2/WebAuthn já está bem estabelecida, e existem inúmeras bibliotecas e serviços prontos a usar.
Provedores de identidade e plataformas de Customer Identity and Access Management (CIAM) já oferecem suporte nativo a passkeys. Ferramentas desse tipo permitem acrescentar autenticação sem palavra-passe aos fluxos existentes sem reconstruir todo o sistema de login, além de facilitar auditorias, análises e conformidade regulatória.
Para implementações mais customizadas, bibliotecas como SimpleWebAuthn, WebAuthn4J e soluções semelhantes em várias linguagens abstraem a parte mais delicada da criptografia do lado do servidor. Elas ajudam a gerir registo de credenciais, gestão de desafios e validação de assinaturas de forma padronizada.
Em aplicações móveis, tanto o ecossistema Apple como o Google fornecem APIs específicas para trabalhar com passkeys. Os Serviços de Autenticação da Apple e os serviços de identidade da Google permitem integrar de forma relativamente simples o login baseado em FIDO2, aproveitando biometria e cofres de segurança locais.
Além disso, plataformas especializadas em identidade digital disponibilizam SDKs e APIs completas. Estas soluções focam-se em oferecer experiências de login fluidas e seguras com poucas linhas de código, incluindo funcionalidades extra como personalização da interface de autenticação, recolha de métricas de conversão e opções de recuperação de conta.
Passkeys, MFA e autenticação sem palavra-passe
Durante anos, a recomendação padrão para reforçar a segurança foi “ativa a autenticação em dois fatores (2FA)”. Normalmente isso significava combinar a palavra-passe com um código enviado por SMS, um e-mail, ou com um token gerado por aplicação.
As passkeys mudam um pouco esse paradigma, ao incorporar por desenho uma autenticação multifator num único passo. Por um lado, o utilizador precisa possuir o dispositivo ou chave física onde está guardada a credencial; por outro, precisa provar que tem autorização para a usar, via biometria ou PIN local.
Do ponto de vista do utilizador, pode parecer que o processo se tornou mais simples do que um MFA clássico, porque desaparece a etapa de introduzir códigos temporários. Mas, na realidade, há pelo menos dois fatores a serem verificados, e ambos são muito mais difíceis de contornar do que uma simples combinação de utilizador e palavra-passe.
É por isso que as passkeys são vistas como a evolução natural da autenticação sem palavra-passe. Elas permitem que as empresas reduzam atrito no login, sem abdicar da robustez exigida para proteger contas sensíveis, especialmente quando combinadas com políticas de risco e acesso condicional.
Para muitos serviços, o caminho será oferecer passkeys como método principal de login e manter palavras-passe ou outros fatores apenas como alternativas de contingência. À medida que a adoção cresce e a literacia digital melhora, a tendência é que o papel das senhas clássicas se torne cada vez mais residual.
O futuro da identidade digital com passkeys
O movimento em torno das passkeys faz parte de uma transformação maior na forma como a identidade digital é gerida. A combinação de autenticação forte, experiências de utilização sem fricção e padrões abertos cria as bases para modelos mais avançados, como identidade auto-soberana e credenciais verificáveis. Para quem acompanha iniciativas europeias, os projetos de cibersegurança mostram como esta transformação está a ser apoiada por políticas e financiamento.
Embora hoje as formas mais populares de autenticação biométrica sejam as impressões digitais e o reconhecimento facial, a investigação já explora sinais mais exóticos como batimentos cardíacos, ondas cerebrais ou até marcadores genéticos. Com o tempo, alguns desses métodos poderão ser integrados a sistemas baseados em passkeys, desde que cumpram critérios rigorosos de privacidade e segurança.
A tecnologia blockchain e outras infraestruturas de confiança distribuída também abrem caminho para cenários em que o próprio utilizador controla de forma mais direta as suas credenciais. Nesse contexto, as passkeys podem funcionar como o mecanismo seguro para provar posse dessa identidade em diferentes serviços, sem que cada um tenha de guardar dados sensíveis localmente.
O reconhecimento por parte de entidades como o NIST e a rápida adoção por grandes fornecedores de software indicam que as passkeys não são uma moda passageira. Pelo contrário, tudo aponta para que, nos próximos anos, representem o padrão de facto para autenticação segura na web e em aplicações móveis.
À medida que mais empresas integrarem passkeys e mais utilizadores se habituarem a iniciar sessão apenas com um toque ou olhar, o cenário atual de fugas massivas de senhas e campanhas de phishing recorrentes tende a perder espaço. O caminho até uma Internet verdadeiramente “sem palavras-passe” é gradual, mas cada nova implementação de passkeys é um passo concreto nessa direção.
A evolução das passkeys demonstra que é possível elevar bastante o nível de segurança online enquanto se simplifica a vida do utilizador, reduzindo erros humanos, ataques de engenharia social e impactos de fugas de dados, e ao mesmo tempo abrindo portas para modelos de identidade digital mais modernos e centrados na privacidade.
