AIO APEX
Software & Apps

Passkeys Estão Substituindo Senhas — Onde as Coisas Realmente Estão

Compartilhar:
Passkeys Estão Substituindo Senhas — Onde as Coisas Realmente Estão

Como as Passkeys Funcionam

Uma passkey é uma credencial criptográfica baseada nos padrões WebAuthn / FIDO2. Ao se registrar, seu dispositivo gera um par de chaves pública-privada. A chave privada nunca sai do seu dispositivo; o servidor armazena apenas a chave pública. Ao autenticar, o dispositivo assina um desafio com a chave privada, e o servidor verifica a assinatura com a chave pública.

Como a credencial é vinculada à origem — criptograficamente atrelada a um domínio específico — um site de phishing nunca pode roubar uma passkey. Mesmo que um invasor o engane para visitar paypa1.com, a passkey do paypal.com simplesmente não funcionará lá. Essa imunidade a phishing é o maior salto de segurança que as passkeys oferecem em relação a senhas ou SMS OTP.

Números de Adoção

O Google relatou ter ultrapassado 800 milhões de autenticações com passkey por mês no final de 2025, em mais de 400 milhões de contas. A lista de serviços compatíveis da FIDO Alliance ultrapassou 300 grandes plataformas. A Microsoft relata que mais de 99% dos logins de consumidores agora são sem senha (uma categoria mais ampla que inclui passkeys e Windows Hello).

Quais Serviços Suportam Passkeys

  • Google — passkeys são o login padrão para contas pessoais
  • Apple — suportado em todos os logins da Apple ID; o iCloud Keychain sincroniza entre dispositivos
  • Microsoft — Windows Hello e aplicativo Authenticator em contas pessoais e gerenciadas pelo Entra
  • GitHub — passkeys disponíveis para todos os tipos de conta desde 2023
  • PayPal — passkeys nos EUA e expandindo globalmente
  • eBay — suporte a passkey lançado em 2024
  • Shopify — fluxos de passkey para comerciantes e compradores ativos
  • WhatsApp — passkeys no Android e iOS

Sincronização Entre Dispositivos

As passkeys são mais convenientes quando sincronizadas entre seus dispositivos. Três grandes ecossistemas lidam com isso hoje:

  • Apple Keychain — as passkeys são sincronizadas com criptografia de ponta a ponta entre iPhone, iPad e Mac via iCloud
  • Google Password Manager — as passkeys são sincronizadas entre Android e Chrome em qualquer sistema operacional
  • 1Password & Dashlane — gerenciadores de terceiros que funcionam em várias plataformas e permitem que equipes empresariais compartilhem passkeys

Atrito Entre Plataformas

A aresta mais áspera em 2026 é a autenticação entre ecossistemas. Se sua passkey está no Apple Keychain e você precisa fazer login em um PC com Windows, você deve usar o fluxo híbrido de QR code + Bluetooth: o PC mostra um QR code, você o escaneia no seu iPhone, e a proximidade Bluetooth confirma que você está fisicamente presente. Funciona, mas é irritante o suficiente para que muitos usuários desistam e voltem a usar uma senha.

O progresso está chegando. O Credential Exchange Protocol (CXP) da FIDO Alliance, finalizado em 2025, permite que os usuários exportem passkeys de um gerenciador e as importem em outro — acabando com o vendor lock-in assim que os gerenciadores implementarem o recurso.

Empresas: Okta e Microsoft Entra

As empresas estão adotando passkeys por meio de provedores de identidade. O Okta suporta passkeys FIDO2 em seu Workforce Identity Cloud, e o MFA resistente a phishing agora é um requisito de conformidade para contratados federais dos EUA. O Microsoft Entra (antigo Azure AD) suporta chaves de segurança de hardware e passkeys vinculadas ao dispositivo via Windows Hello for Business, com passkeys sincronizadas no roadmap.

Perda e Recuperação de Dispositivos

A maior questão de usabilidade: o que acontece se você perder seu telefone? Como as passkeys sincronizadas existem na nuvem (criptografadas), recuperá-las está vinculado ao fluxo de recuperação da sua conta na nuvem — contatos de recuperação da Apple ID, e-mail/telefone de recuperação da Conta do Google. Para passkeys vinculadas ao dispositivo (como uma chave de hardware FIDO2), você deve registrar pelo menos duas chaves e armazenar uma fora do local. A maioria dos serviços também mantém um código de recuperação de backup ou fluxo de e-mail, embora isso reintroduza superfície de phishing.

Por que o SMS OTP Persiste

Apesar das vantagens das passkeys, o SMS OTP continua difundido porque não requer configuração no lado do cliente, funciona em qualquer telefone e é familiar para bilhões de usuários. Ataques de SIM-swapping são reais, mas raros em comparação com credential stuffing. Indústrias regulamentadas (bancos, saúde) também enfrentam requisitos de conformidade escritos em torno de OTP. Espere que o SMS OTP desapareça lentamente nos próximos cinco anos à medida que a experiência do usuário das passkeys amadurecer, não da noite para o dia.

Visão Geral da API WebAuthn para Desenvolvedores

Adicionar suporte a passkey requer dois fluxos: registro e autenticação.

Registro:

const credential = await navigator.credentials.create({
  publicKey: {
    challenge: serverChallenge,
    rp: { name: "My App", id: "myapp.com" },
    user: { id: userId, name: userEmail, displayName: userName },
    pubKeyCredParams: [{ type: "public-key", alg: -7 }],
    authenticatorSelection: { residentKey: "required" }
  }
});

Autenticação:

const assertion = await navigator.credentials.get({
  publicKey: { challenge: serverChallenge, rpId: "myapp.com" }
});

No lado do servidor, bibliotecas como SimpleWebAuthn (Node.js), py_webauthn (Python) e webauthn4j (Java) lidam com a verificação criptográfica. Passkeys que usam residentKey: required são armazenadas no autenticador e permitem login totalmente sem senha e sem nome de usuário.

Conclusões Acionáveis

  • Usuários: Ative passkeys no Google, Apple ID e GitHub hoje. Use 1Password ou Dashlane se quiser flexibilidade entre plataformas.
  • Desenvolvedores: Adicione registro WebAuthn junto com seu login existente. A API do navegador é estável; use uma biblioteca de servidor. Suporte tanto credenciais sincronizadas quanto vinculadas ao dispositivo.
  • Empresas: Exija MFA resistente a phishing (passkey ou chave de hardware) para acesso privilegiado. Okta e Entra suportam isso agora.
  • Todos: Mantenha um método de recuperação de backup. Passkeys não são motivo para pular a configuração de recuperação de conta.

A era das senhas não acabou — 300 plataformas entre milhões significa que a maioria das caixas de login ainda espera uma string de caracteres. Mas a infraestrutura está no lugar, a experiência do usuário está melhorando e o caso de segurança é esmagador. A questão não é mais se as passkeys substituirão as senhas, mas com que rapidez.

passkeysauthenticationsecurityFIDO2WebAuthnpasswords
Compartilhar:
Passkeys Estão Substituindo Senhas — Onde as Coisas Realmente Estão | AIO APEX