- As passkeys substituem senhas com criptografia forte, biometria e melhor experiência de login.
- Grandes plataformas e serviços já usam passkeys, com dois modelos principais: sincronizadas e ligadas ao dispositivo.
- Utilizadores comuns, equipas críticas e setores regulados ganham muito ao adotá-las cedo.
- A migração exige planeamento, educação e integração técnica, mas reduz fraudes e custos com suporte.
As senhas acompanharam a internet desde o início, mas hoje já não dão conta do recado sozinhas. Vazamentos gigantescos, ataques de phishing cada vez mais sofisticados e o hábito de repetir a mesma senha em tudo criaram um cenário em que basta um erro para um invasor tomar conta de várias contas ao mesmo tempo. Para reduzir esse risco, veja dicas para deixar seu e-mail mais seguro.
É nesse contexto que entram as passkeys, ou chaves de acesso, apontadas por Google, Apple e Microsoft como o próximo passo da autenticação online. Elas prometem aposentar a combinação de utilizador + senha, trocar texto digitado por criptografia forte e biometria e, de quebra, tornar o login mais rápido e menos chato. Vamos ver com calma o que são, quem deve usá-las, como funcionam e quais os desafios por trás dessa mudança.
O que é uma passkey e por que ela está a substituir as senhas
Uma passkey é uma credencial digital baseada em criptografia de chave pública e privada que permite iniciar sessão sem precisar lembrar ou digitar uma senha. Em vez de um segredo que você memoriza, tem-se um par de chaves criptográficas: a chave pública fica com o serviço (site ou app) e a chave privada permanece guardada com segurança no seu dispositivo.
Na prática, isso significa que o login passa a ser feito com algo que você tem (o dispositivo) e algo que você é ou sabe (biometria ou PIN), num único passo. Você toca no sensor de impressão digital, usa reconhecimento facial ou insere um PIN do aparelho, o dispositivo assina um desafio com a chave privada e o servidor valida essa assinatura com a chave pública registrada. Nenhuma senha é enviada pela rede nem armazenada no servidor.
Esse modelo segue os padrões FIDO2 e WebAuthn, desenvolvidos pela FIDO Alliance em conjunto com o W3C. A FIDO Alliance foi criada em 2012 por empresas como PayPal e Lenovo exatamente com o objetivo de “matar” as senhas, e desde então o ecossistema evoluiu até chegar às passkeys sincronizadas que usamos hoje em navegadores modernos e sistemas operacionais atuais.
Do ponto de vista técnico, a passkey é um par de chaves assimétricas gerado no momento em que você cria a conta ou ativa o método de login num serviço compatível. A chave pública é enviada ao servidor e armazenada como identificador da sua credencial; a chave privada é preservada em hardware seguro no dispositivo, como o Secure Enclave nos equipamentos Apple, o TPM (Trusted Platform Module) em PCs Windows e Android, ou tecnologias como Samsung Knox em smartphones Galaxy.
Ao contrário de uma senha, essa chave privada nunca sai do dispositivo, não pode ser anotada num papel, copiada para um ficheiro ou reutilizada noutro site. Isso elimina uma série de problemas típicos das senhas: reutilização entre serviços, criação de combinações fracas, roubo via phishing, keyloggers ou vazamentos de bases de dados com hashes de senhas.
Como as passkeys funcionam passo a passo
O funcionamento das passkeys pode ser entendido em três momentos: criação, autenticação e sincronização entre dispositivos. Apesar de usar criptografia avançada, para o utilizador final o processo acaba por ser bem simples, muitas vezes reduzido a tocar num botão e confirmar com biometria.
No momento do registo ou ativação, o site ou app pede ao navegador ou ao sistema operativo para criar uma nova credencial FIDO/WebAuthn. O dispositivo gera localmente um par de chave pública/privada, armazena a chave privada em hardware seguro e devolve ao serviço a chave pública, acompanhada de metadados (como o tipo de autenticador e o identificador de credencial).
Quando você volta para iniciar sessão, o serviço envia um “desafio” aleatório ao navegador, que o repassa ao autenticador no dispositivo. Se o utilizador aprovar a operação (via impressão digital, rosto, PIN local ou outro método de desbloqueio configurado), o autenticador assina o desafio com a chave privada correspondente àquele domínio.
O servidor então valida a assinatura com a chave pública armazenada e, se tudo estiver correto, autoriza o acesso à conta. Toda a verificação acontece em milissegundos, e o utilizador apenas vê um pedido de confirmação no ecrã. Como a chave privada é específica para aquele domínio, não faz sentido para um atacante tentar reutilizar a mesma credencial noutro site.
Outro ponto importante é que as passkeys atuais podem ser sincronizadas entre vários dispositivos dentro do mesmo ecossistema de nuvem. No mundo Apple, por exemplo, elas ficam nas Chaves do iCloud; no universo Google, são guardadas e sincronizadas pelo Gestor de Palavras-passe da Google; em Windows, podem integrar-se ao Windows Hello e soluções de identidade na nuvem.
Quem já está a usar passkeys hoje
A adoção de passkeys cresceu bastante a partir de 2022, com as grandes empresas de tecnologia a puxarem a fila. Navegadores, sistemas operativos e serviços populares já oferecem suporte, mesmo que muitos utilizadores ainda nem se tenham dado conta de que estão a usar chaves de acesso.
Entre os dispositivos e sistemas operativos, a Apple suporta passkeys em iPhones e iPads com iOS 16 ou posterior e em Macs com macOS Ventura (13) em diante. No ecossistema Android, aparelhos com Android 9 (Pie) ou superior podem usar chaves de acesso sincronizadas via Gestor de Palavras-passe da Google, enquanto no Windows 10 e 11 o Windows Hello atua como autenticador principal.
No lado dos navegadores, Chrome, Safari e Microsoft Edge suportam passkeys a partir de versões recentes, enquanto o Firefox já oferece suporte, embora ainda com algumas limitações em certos cenários. Isso significa que, em grande parte, basta o utilizador ter o sistema atualizado e um navegador moderno para poder começar a usar o recurso.
Serviços online também estão a aderir em massa. Plataformas de comércio eletrónico como Amazon, Walmart, Best Buy, Target e lojas baseadas em Shopify já permitem login com passkeys; redes sociais como X (antigo Twitter), LinkedIn e TikTok suportam o método; serviços financeiros e de cripto, como Coinbase, Robinhood, Stripe, PayPal e Affirm, também passaram a oferecer a opção; e plataformas de desenvolvimento como GitHub e Bitbucket disponibilizam chaves de acesso para proteger contas de programadores.
Empresas de tecnologia nativas de segurança e identidade, bem como soluções de self-service corporativo, estão a incorporar passkeys dentro dos seus fluxos de autenticação. Isso inclui produtos focados em identidade zero trust, autoatendimento de conta e proteção contra ataques a credenciais, que aproveitam o facto de não precisarem mais armazenar senhas sensíveis em servidores.
Tipos de passkeys: sincronizadas e ligadas ao dispositivo
Quando se fala em passkeys, é importante diferenciar dois modelos principais: as chaves sincronizadas entre dispositivos e as chaves ligadas a um único dispositivo. A diferença não é apenas técnica; ela afeta diretamente a conveniência e o nível de segurança exigido.
As passkeys multidispositivo, também chamadas de passkeys sincronizadas, são as mais comuns para uso pessoal. Elas são guardadas num gestor de credenciais da plataforma (como iCloud Keychain ou Google Password Manager) e replicadas de forma encriptada para outros dispositivos em que o mesmo utilizador iniciou sessão na conta de nuvem.
Isso torna a experiência bem fluida: você configura a chave de acesso uma vez e pode iniciar sessão tanto no telemóvel quanto no portátil ou no tablet sem trabalho extra. O risco é que passa a existir dependência do ecossistema de nuvem (Google, Apple, Microsoft, etc.) para gerir esse backup e sincronização, o que nem sempre é desejável em ambientes muito regulados.
Já as passkeys ligadas a dispositivo são típicas de cenários corporativos de alta segurança, nos quais a organização não quer que a credencial seja copiada, exportada ou sincronizada para aparelhos não controlados. Aqui, a chave privada fica presa a um autenticador físico específico (um token USB/NFC ou um laptop corporativo com TPM, por exemplo), e não há sincronização automática via nuvem pública.
Esse modelo é especialmente interessante para empresas com políticas rígidas de proteção de dados, que preferem gerir diretamente os dispositivos e as chaves de segurança emitidas para funcionários. Em compensação, a usabilidade pode ser um pouco inferior, já que o colaborador precisa daquele dispositivo ou chave física específica para autenticar.
Vantagens das passkeys para utilizadores e empresas
As passkeys trazem um pacote de benefícios muito claro para o utilizador comum: mais segurança, menos fricção e menos dores de cabeça com senhas. Do outro lado, empresas e programadores ganham redução de custos, simplificação de compliance e menor exposição a violações por roubo de senhas.
Do ponto de vista da segurança, o ganho mais evidente é a resistência nativa a phishing. Como a chave privada é específica para o domínio registado, o autenticador só responde a desafios do site legítimo; se o utilizador clicar num link malicioso que imite o login do banco, por exemplo, a passkey simplesmente não funciona ali.
Outro benefício é que cada passkey é automaticamente “forte”. Não existe a opção de criar uma credencial fraca, curta ou óbvia, porque o par de chaves criptográficas é gerado de forma aleatória e com entropia elevada; não se baseia em nomes de animais de estimação, datas de aniversário ou sequências simples.
Para a privacidade, há uma vantagem importante: dados biométricos usados para desbloquear o dispositivo (impressão digital, rosto, padrão comportamental) nunca são enviados ao site ou app. Eles ficam confinados ao hardware seguro do aparelho, servindo apenas para autorizar o uso da chave privada localmente.
Do lado da experiência de utilização, o login com passkey tende a ser muito mais rápido e amigável. Nada de trocar de aba para procurar código de confirmação em SMS, abrir app de segundo fator ou tentar lembrar qual variação de senha usou naquele serviço; um toque no sensor biométrico costuma ser suficiente.
Para programadores e equipas de produto, as chaves de acesso ajudam a melhorar a conversão em fluxos de registo e login, reduzindo abandono por frustração com senhas ou problemas de recuperação de conta. Menos gente clica em “Esqueci a senha”, menos tickets chegam à equipa de suporte, menos recursos são gastos em processos de reset.
Desafios, desvantagens e limitações atuais
Apesar de todo o potencial, as passkeys ainda não são perfeitas e apresentam desafios tanto técnicos quanto de adoção. Alguns problemas são temporários, enquanto o ecossistema amadurece; outros dependem mais de decisões de UX e padronização entre plataformas.
Uma primeira limitação é a compatibilidade parcial: nem todos os sites e serviços suportam chaves de acesso hoje. Muitas plataformas grandes já aderiram, mas uma quantidade enorme de aplicações menores continua presa ao modelo clássico de utilizador + senha + MFA.
Outro ponto sensível é a dependência de ecossistemas de nuvem e a interoperabilidade ainda incompleta entre eles. Há relatos de utilizadores que ativaram passkeys num iPhone e depois, ao tentarem usar a mesma conta num portátil Windows ou num dispositivo fora do “jardim murado” da Apple, perceberam que a experiência não é tão transparente assim.
Desenvolver uma implementação robusta de WebAuthn e FIDO2 também não é trivial. Programadores reclamam, com razão, de documentação fragmentada, APIs complexas e diferenças subtis entre navegadores, o que pode levar a bugs e experiências inconsistentes de login em diferentes ambientes.
Do ponto de vista de UX, há ainda uma barreira cultural importante: décadas de hábito fizeram as pessoas associar login a algo que se lembra e digita. Quando tudo passa a depender de um dispositivo físico e de uma chave invisível, a sensação de controlo muda – e a ansiedade com perda de acesso aumenta.
A recuperação de contas em caso de perda de todos os dispositivos confiáveis é um dos problemas mais delicados. Embora Google, Apple e outros fornecedores ofereçam mecanismos de recuperação (códigos de backup, dispositivos de reserva, métodos alternativos), ainda não existe um processo totalmente padronizado, e cada serviço acaba por definir as suas próprias regras.
Quem deve usar passkeys: perfis e cenários prioritários
A resposta direta é: praticamente qualquer pessoa que use serviços online se beneficia de passkeys, mas alguns perfis e contextos ganham ainda mais ao adotá-las cedo. Entre estes, destacam-se utilizadores que lidam com dados sensíveis, equipas empresariais, administradores de sistemas e organizações expostas a forte risco de phishing.
Para utilizadores comuns que vivem a vida digital em plataformas como e-mail, redes sociais, bancos, carteiras digitais e comércio eletrónico, as passkeys reduzem drasticamente o risco de perda de conta por senha roubada. Quem já caiu num golpe de phishing ou teve dados expostos num vazamento sabe o tamanho do transtorno que isso causa.
Profissionais que lidam com informação crítica – como administradores de sistemas, developers com acesso a repositórios de código, pessoal financeiro ou de recursos humanos – são candidatos óbvios para adoção prioritária. Esses perfis costumam ser alvos diretos de engenharia social, e o uso de chaves de acesso resistentes a phishing adiciona uma camada crucial de proteção.
Empresas em setores regulados, como bancos, fintechs, seguradoras e saúde, encontram nas passkeys uma ferramenta poderosa para cumprir exigências de autenticação forte. A aprovação do uso de passkeys sincronizadas em diretrizes como o suplemento do NIST SP 800-63B mostra que reguladores começam a reconhecer esse modelo como compatível com requisitos de segurança de alto nível.
Organizações com força de trabalho distribuída ou em regime híbrido também podem reduzir muito o risco associado a logins remotos. Em vez de depender de OTP por SMS ou apps frágeis em dispositivos desatualizados, podem exigir chaves ligadas a dispositivos corporativos ou tokens FIDO físicos para acesso a sistemas internos.
Por fim, utilizadores preocupados com privacidade digital e com o crescimento de ataques com deepfakes ganham um aliado importante. Como a passkey é validada por prova criptográfica entre dispositivo e serviço, não há como um atacante “imitar” a autenticação apenas com um vídeo falsificado ou uma chamada enganosa.
Obstáculos de adoção em empresas e como contorná-los
Dentro de organizações, migrar de senhas para passkeys não é só uma mudança técnica, é uma mudança cultural. Funcionários habituados a senhas e a gestores de passwords podem resistir a um modelo que fala de chaves criptográficas e dispositivos de confiança.
Um primeiro obstáculo clássico é a resistência à mudança: se as pessoas não entenderem claramente as vantagens, vão ver a novidade apenas como mais um “capricho de TI”. Aqui, programas de educação e formação prática fazem toda a diferença, mostrando casos reais de ataque evitados por passkeys, simplificação do dia a dia e redução de bloqueios de conta.
Outro desafio comum é a interoperabilidade entre sistemas legados, aplicações antigas e o novo modelo de autenticação. Algumas aplicações críticas podem não suportar FIDO2/WebAuthn nativamente, exigindo gateways, proxies de autenticação ou integração com soluções de identidade que façam essa ponte.
Há ainda preocupações legítimas sobre a segurança dos dados biométricos e o armazenamento das chaves. Empresas precisam explicar e comprovar que biometria não sai do dispositivo, que as passkeys residem em hardware seguro e que a infraestrutura segue padrões robustos de encriptação e autenticação multifator, incluindo práticas como ativar o bloqueio automático da área de trabalho.
Questões de custo e logística também pesam, especialmente quando se fala em chaves físicas FIDO para cada colaborador. É necessário planear aquisição, distribuição, recuperação de dispositivos perdidos e processos de revogação, além de garantir que o helpdesk saiba lidar com esses cenários.
Boas práticas para implementar passkeys na organização
Para que a adoção de passkeys num ambiente corporativo seja bem-sucedida, é preciso encarar o projeto como uma iniciativa de segurança e de experiência do utilizador, não apenas como uma troca de tecnologia. Isso inclui planeamento, definição de políticas claras, integração técnica e treino contínuo.
Um primeiro passo é definir o caso de uso e o alcance: a empresa quer apenas permitir que funcionários usem passkeys em serviços de terceiros (como Google Workspace, Microsoft 365, ferramentas SaaS), ou pretende implementar login sem senha também em aplicações próprias? A resposta impacta diretamente a complexidade do projeto.
É fundamental garantir que o parque de dispositivos e navegadores seja compatível. Idealmente, todos devem estar em versões recentes de Windows, macOS, Android ou iOS, com browsers atualizados (Chrome, Edge, Safari ou Firefox) e suporte a FIDO2/WebAuthn.
Para quem usa apenas serviços de terceiros como Google Workspace ou Microsoft 365, muito do trabalho já está feito. A consola de administração do Google e o portal de Azure AD permitem ativar e exigir chaves de segurança FIDO/passkeys, configurar políticas de MFA resistente a phishing e até forçar caminhos passwordless em certos grupos.
Se a organização desenvolve as suas próprias aplicações, entra em cena a camada técnica de backend e frontend. É preciso implementar suporte a FIDO2/WebAuthn no servidor, armazenar chaves públicas associadas aos utilizadores, lidar com desafios de registo e login e integrar as chamadas à API WebAuthn no frontend.
Para simplificar, muitas equipas optam por usar provedores de identidade (IdPs) que já oferecem suporte completo a passkeys ou bibliotecas especializadas, como SimpleWebAuthn ou WebAuthn4J. Há também plataformas que fornecem SDKs e APIs completas, incluindo personalização de UX, analytics e recursos de compliance, integrando-se com poucas linhas de código ao site ou app.
Definir uma política interna de autenticação é outro ponto crítico. Entre as decisões, estão: quais cargos ou grupos são obrigados a usar passkeys, se múltiplas chaves por utilizador serão permitidas, como se dará o registo inicial de dispositivos e o que fazer em caso de perda ou roubo de um autenticador.
Por fim, a adoção deve ser gradual. Começar com um grupo piloto (equipa de TI, segurança, áreas críticas), recolher feedback, ajustar fluxos e só depois expandir para toda a organização tende a reduzir resistência e problemas operacionais. Monitorizar métricas de adesão, incidentes evitados e impacto no helpdesk ajuda a demonstrar o valor da mudança.
Passkeys vs. senhas tradicionais e gestores de palavra-passe
Comparar diretamente passkeys com senhas tradicionais revela porque tanta gente diz que “a era das palavras-passe está a chegar ao fim”. Hoje temos bilhões de combinações de utilizadores e senhas expostas na dark web, reutilização massiva de credenciais e ataques automatizados sofisticados a explorá-las.
As senhas são frágeis por projeto: dependem da memória humana, são frequentemente reaproveitadas, podem ser capturadas em sites falsos e precisam de complementos como MFA para oferecer um nível aceitável de segurança. Mesmo assim, continuam vulneráveis a engenharia social, malware e violações de bases de dados.
As passkeys atacam exatamente esses pontos fracos. Não há o que “adivinhar” ou roubar do lado do utilizador, porque a chave privada nunca é exibida ou partilhada; não existe campo de senha para ser capturado; não há base de dados de segredos reutilizáveis no servidor que possa ser comprometida.
Gestores de palavras-passe, por sua vez, ainda são hoje uma excelente solução de transição e continuam muito úteis enquanto a adoção de passkeys não é universal. Eles permitem gerar senhas fortes e únicas, armazená-las de forma encriptada e sincronizar entre plataformas, resolvendo parte do problema da reutilização e da memória.
Porém, o modelo continua dependente de segredos partilhados, campos de senha em formulários e, em muitos casos, de um “cofre” central que, se comprometido, expõe credenciais em massa. Passkeys evitam essa arquitetura vulnerável usando prova de posse de chave em vez de conhecimento de segredo.
Na prática, o cenário mais realista no curto e médio prazo é um convívio entre os dois mundos. Em serviços que já suportam chaves de acesso, vale a pena ativá-las; para tudo o que ainda depende de senha, um bom gestor de passwords segue sendo recomendável. Com o tempo, à medida que mais sites abandonarem as senhas, o peso do gestor tende a diminuir.
À medida que ataques ficam mais sofisticados, reguladores exigem autenticação forte e gigantes da tecnologia padronizam o suporte, as passkeys tendem a consolidar-se como a forma “normal” de iniciar sessão, cabendo a utilizadores e organizações aproveitar desde já essa mudança para reduzir riscos, simplificar logins e preparar o terreno para um futuro em que segredos memorizados sejam a exceção, não a regra.
