O Fim das Senhas Está Perto: Por Que Passkeys Estão Dominando a Autenticação

Se você ainda gerencia dezenas de senhas, anota em post-its ou reutiliza a mesma em múltiplos serviços, há um movimento crescente na indústria que quer acabar com isso. As passkeys — credenciais criptográficas baseadas no padrão FIDO2 — estão se tornando a principal aposta das grandes empresas de tecnologia para substituir senhas de uma vez por todas. Um thread recente no r/cybersecurity gerou centenas de comentários de profissionais da área discutindo exatamente por que esse modelo é diferente de tudo que tentamos antes.

O Que É uma Passkey, Afinal?

Uma passkey é um par de chaves criptográficas — uma privada e uma pública — gerada e armazenada localmente no seu dispositivo. A chave pública fica registrada no servidor do serviço que você usa. A chave privada nunca sai do seu aparelho e é protegida pelo mesmo mecanismo que você usa para desbloqueá-lo: biometria (impressão digital, Face ID), PIN ou padrão.

A definição oficial da FIDO Alliance é direta: uma passkey é uma credencial de autenticação FIDO que permite ao usuário fazer login com o mesmo processo usado para desbloquear o dispositivo. Não há senha para digitar, não há código SMS para esperar.

Por Que Senhas São o Problema

O Verizon Data Breach Investigations Report 2024 mostra que phishing e roubo de credenciais continuam entre os vetores de ataque mais eficazes. O problema é estrutural: senhas dependem de algo que o humano consegue lembrar e digitar, e isso as torna intrinsecamente fracas. Reutilização, força bruta, credential stuffing, ataques man-in-the-middle — toda a cadeia de ataques funciona porque a senha é um segredo compartilhado entre você e o servidor.

Passkeys eliminam esse modelo. Como não há segredo compartilhado, não há nada para interceptar em um ataque de phishing. A chave privada nunca é transmitida — apenas uma prova criptográfica assinada pelo seu dispositivo, vinculada ao domínio original do serviço.

Como Funciona na Prática

O fluxo é simples: ao criar uma conta em um site compatível, você escolhe “salvar uma passkey” em vez de definir uma senha. Seu dispositivo gera o par de chaves e registra a pública no servidor. Na próxima vez que for fazer login, o site envia um desafio criptográfico, seu dispositivo assina com a chave privada, e você aprova com biometria ou PIN.

Para sincronizar entre dispositivos, os principais ecossistemas (Google, Apple, Microsoft) oferecem backup criptografado — via iCloud Keychain, Google Password Manager ou Windows Hello. A FIDO Alliance também padronizou credenciais sincronizáveis, permitindo que provedores de password managers como 1Password e Bitwarden armazenem passkeys multiplataforma.

Adoção no Mundo Real

Uma pesquisa encomendada pela FIDO Alliance revelou que 53% das pessoas já ativaram passkeys em pelo menos uma conta, e 22% ativaram em todas as contas possíveis. Google, Apple, Microsoft, GitHub, WhatsApp, TikTok e uma série de bancos e serviços financeiros já suportam o padrão.

No Brasil, a adopção ainda está em fase inicial, mas os mesmos serviços globais que brasileiros usam diariamente (Google, Microsoft, Apple) já oferecem passkeys. Bancos digitais e fintechs são os próximos da fila — o segmento tem alto incentivo para reduzir fraudes baseadas em roubo de credenciais.

Limitações e Desafios

Não é tudo perfeito. Passkeys ainda dependem de suporte do lado do serviço — se o site não implementou WebAuthn, não funciona. A sincronização entre ecossistemas (por exemplo, de iPhone para Android) pode ser inconveniente. E se você perder o dispositivo sem backup, a recuperação da conta pode ser complexa — cada serviço lida disso de forma diferente.

Para equipes de TI, a gestão de passkeys corporativas exige planejamento: políticas de MDM, provedores de credenciais sincronizáveis e educação do usuário são essenciais.

Como Começar Hoje

  • Google: acesse g.co/passkeys e ative passkeys na sua conta Google. Se usa Android, provavelmente já tem.
  • Apple: no iPhone com iOS 16+, passkeys são salvas automaticamente no iCloud Keychain quando um site suporta.
  • Password managers: 1Password, Bitwarden e Dashlane já suportam passkeys e permitem sincronização entre plataformas.
  • Para sites próprios: implemente WebAuthn — bibliotecas como SimpleWebAuthn (Node.js) e webauthn4j (Java) facilitam a integração.

Referências