AIO APEX
Security

Passkeys em Escala Corporativa: Lições Práticas de Implantações Reais

Compartilhar:
Passkeys em Escala Corporativa: Lições Práticas de Implantações Reais

Em 2023, o Data Breach Investigations Report da Verizon constatou que 74% de todas as violações envolveram o elemento humano — phishing, roubo de credenciais ou uso indevido — a um custo médio de US$ 4,45 milhões por incidente. Senhas são a causa raiz. Apesar de décadas de exigências de MFA, códigos SMS são vítimas de SIM swap, notificações push são exploradas por fadiga, e sementes TOTP são capturadas por proxies adversary-in-the-middle como o Evilginx2. Passkeys — baseadas no padrão FIDO2 — são o primeiro tipo de credencial arquitetonicamente resistente a phishing. Mas equipes de TI corporativas que passam rápido pelos slides brilhantes dos fornecedores logo descobrem que a implantação em produção é um animal completamente diferente.

Por que Senhas — e a Maioria dos MFAs — Continuam Falhando

O problema não é o comportamento do usuário; é o protocolo. Segredos compartilhados (senhas, OTPs) precisam ser transmitidos e verificados no lado do servidor, criando superfícies de interceptação em cada salto. As categorias de MFA resistente a phishing da NIST SP 800-63B exigem autenticadores baseados em posse, onde a chave privada nunca sai do dispositivo e o domínio do relying party é criptograficamente vinculado ao desafio. Apenas chaves de segurança hardware (FIDO2/CTAP2) e passkeys atendem a esse requisito. No entanto, chaves hardware estagnaram em escala de consumo devido a custo e atrito UX. Passkeys resolvem o problema de distribuição sincronizando por meio de keystores de plataforma.

O que Passkeys Realmente São (Tecnicamente)

Uma passkey é uma credencial FIDO2 armazenada como um par de chaves assimétricas. A chave privada reside dentro de um secure enclave ou authenticator de plataforma — Apple Secure Enclave, Android Strongbox, Windows Hello TPM — e nunca é exportada. O registro gera um credential ID, uma chave pública enviada ao servidor relying party e, opcionalmente, uma cadeia de certificados de atestação. A autenticação produz uma assertion assinada sobre um desafio do servidor concatenado com a origin (scheme + host + porta), tornando a assinatura inválida em qualquer outro domínio. Essa é a garantia anti-phishing.

O WebAuthn Level 3 spec adiciona três tipos de credenciais relevantes para empresas:

  • Passkeys de plataforma (sincronizadas): Armazenadas no iCloud Keychain, Google Password Manager ou Windows Hello — sincronizadas entre dispositivos via vaults E2EE. Conveniente, mas o material da chave privada sai do perímetro do dispositivo (criptografado).
  • Passkeys de plataforma (vinculadas a dispositivo): Vinculadas a um único TPM de dispositivo ou Secure Enclave. Alta garantia, mas sobrevive mal a uma formatação — a credencial simplesmente desaparece.
  • Roaming authenticators (CTAP2): Chaves físicas como YubiKey 5 series ou FEITIAN BioPass. Garantia máxima, sem sincronização, e o gargalo para distribuição em larga escala corporativa.

O CTAP2.1 adicionou PIN/UV Auth Protocol 2, gerenciamento de credenciais (listar/excluir credenciais no dispositivo) e armazenamento de blobs grandes. Implantações corporativas visando AAL3 (NIST) ou Authenticator Assurance Level 3 geralmente exigem authenticators vinculados a dispositivo ou roaming.

Realidades da Implantação Corporativa

Gerenciamento de Dispositivos e Verificação de Atestação

Demostrações de passkeys para consumidores pulam a atestação; implantações corporativas não podem. A atestação permite que o relying party verifique o modelo e fabricante do authenticator antes de aceitar um registro. O Microsoft Entra ID suporta imposição de política de atestação — você pode restringir registros de passkeys a YubiKey 5 series ou dispositivos Android específicos com chaves backed por hardware. O Okta FastPass também vincula atestação de dispositivo ao status de conformidade MDM via recurso Device Trust; um dispositivo macOS não matriculado no Jamf Pro falhará no registro. Duo's trusted endpoints impõem gates semelhantes por meio de seu agente endpoint.

O desafio: certificados de atestação precisam ser buscados no FIDO Metadata Service (MDS3), armazenados em cache e revalidados. As entradas MDS3 têm revogação — um modelo de authenticator comprometido pode ser incluído em uma blocklist, e seu código deve lidar com isso de forma elegante sem bloquear usuários existentes com credenciais já registradas.

Sincronização Cross-Platform e o Problema da Fragmentação de Ecossistema

Apple, Google e Microsoft operam vaults de passkeys separados. Um funcionário que registra uma passkey em seu iPhone (iCloud Keychain) não pode usá-la em seu laptop corporativo Windows 11, a menos que use um fluxo de autenticação cross-device — um escaneamento de QR code via transporte híbrido CTAP2, que depende de proximidade Bluetooth LE. Isso é suportado no Chrome 109+ e Safari 16+ em todas as plataformas, mas requer Bluetooth ativado — algo que muitas políticas de hardening de endpoints corporativos desativam.

Windows Hello for Business com Entra ID hybrid join funciona bem dentro do ecossistema Microsoft. Mas um ambiente misto BYOD+corporativo com macOS, iOS, Android e Windows cria até quatro vaults de credenciais separados que precisam ser gerenciados, monitorados e contabilizados durante o offboarding. Nenhum deles federam entre si nativamente. A oferta de passkeys empresariais do 1Password — disponível a partir do 1Password 8 — atua como um gerenciador de passkeys de terceiros que faz a ponte entre ecossistemas, mas introduz um novo perímetro de confiança e requer a extensão de navegador do 1Password para lidar com chamadas WebAuthn via API publicKeyCredential.isConditionalMediationAvailable().

Onboarding e Offboarding de Funcionários

Onboarding é a metade mais fácil. A maioria dos IdPs agora suporta registro inicial de passkeys: Okta e Entra ID podem enviar um link de matrícula com prazo limitado que permite que um novo funcionário registre uma passkey imediatamente após verificar sua identidade por meio de um canal separado (email OTP ou prova de identidade verificada pelo gerente). A metade difícil é o offboarding. Revogar uma passkey requer revogar a credencial no relying party — que é uma operação imediata no lado do servidor — mas a credencial ainda pode existir no iCloud Keychain ou Google Password Manager, podendo tentar autenticação que agora será rejeitada. Funcionários que saem em termos ruins não podem "levar suas passkeys com eles" para autenticar com sucesso, mas as equipes de TI precisam de runbooks claros para não confundirem revogação de credencial (feita) com exclusão de credencial do vault pessoal do dispositivo do usuário (não é sua jurisdição).

Fallbacks de UI Condicionais

Nem todo navegador, dispositivo ou versão de SO suporta passkeys. Safari adicionou suporte a passkeys no iOS 16 / macOS Ventura 13. Chrome adicionou UI estável de passkeys na versão 108. Firefox adicionou suporte a passkeys na versão 122 — notavelmente tarde. Passkeys do Windows Hello exigem Windows 10 22H2 ou Windows 11 21H2 no mínimo. Seu fluxo de autenticação deve implementar Conditional Mediation — chamando navigator.credentials.get() com mediation: "conditional" — para exibir passkeys no estilo autofill sem bloquear usuários em navegadores não suportados de caírem para senhas ou TOTP. Remover o fallback cedo demais bloqueará usuários de dispositivos legados e gerará tickets imediatos de helpdesk.

O Panorama de Fornecedores

Microsoft Entra ID é a história de passkeys corporativas mais completa hoje. O suporte a chaves de segurança FIDO2 (device-bound) está GA desde 2021; passkeys sincronizadas para Windows Hello foram adicionadas em 2024. Filtragem de atestação, number matching para push MFA e políticas Conditional Access podem bloquear o registro de passkeys apenas para dispositivos em conformidade. O ponto fraco: cenários de hybrid Azure AD join em ambientes mais antigos de Windows Server AD têm arestas, especialmente com apps on-prem que passam pelo AD FS em vez do Entra.

Okta suporta FIDO2 WebAuthn como um fator autenticador dentro do Okta Verify FastPass. Suas integrações Device Trust (Jamf, Microsoft Intune, VMware Workspace ONE) permitem atestar que o dispositivo está matriculado no MDM antes de permitir a matrícula. O suporte a passkeys do Okta como fator primário sem senha (substituindo senhas completamente, não apenas como step-up MFA) atingiu GA no final de 2024.

Duo Security (Cisco) adicionou suporte a WebAuthn como um fator Duo, mas sua história de passkeys para fluxos totalmente sem senha é menos madura que Entra ou Okta. Duo se destaca em ambientes heterogêneos onde nem todos os apps suportam SAML/OIDC — seus plugins Unix PAM e Windows Credential Provider permitem garantia equivalente a passkeys para fluxos SSH e RDP.

1Password Business permite armazenar e usar passkeys dentro do vault do 1Password, com políticas de compartilhamento em nível de equipe e logs de auditoria. Útil para contas de serviço compartilhadas, mas introduz risco de vendor lock-in e requer avaliar se seus requisitos AAL permitem um gerenciador de passkeys baseado em software.

Modos de Falha Comuns em Produção

  • Política de atestação quebra rollout: Ativar atestação estrita antes de auditar os modelos de authenticator do seu parque de dispositivos bloqueará funcionários em dispositivos Android mais antigos ou hardware não certificado FIDO2. Comece com atestação "indirect" e endureça depois.
  • Bluetooth desativado por política mata auth cross-device: Identifique fluxos de autenticação cross-device baseados em QR code que dependem de BLE e crie exceções ou direcione usuários para chaves hardware roaming.
  • iCloud Keychain sincroniza com dispositivos pessoais: Macs corporativos compartilham iCloud Keychain com iPhones pessoais de funcionários se o mesmo Apple ID for usado. Perfis MDM não conseguem isolar isso sem um Apple ID gerenciado — planeje sua matrícula no Apple Business Manager de acordo.
  • RP ID mismatch quebra apps de terceiros: Apps registrados com um relying party ID de app.company.com rejeitarão passkeys registradas contra company.com e vice-versa. Audite todas as configurações de SP/RP ID antes do rollout.
  • Sem caminho de recuperação de conta: Um dispositivo perdido com uma passkey device-bound e nenhum authenticator de backup significa reprovação de identidade assistida por helpdesk do zero. Defina o SLA de recuperação antes do go-live.

Framework de Rollout Passo a Passo

O framework a seguir assume Entra ID ou Okta como IdP, um parque misto Windows/macOS/iOS/Android e o objetivo de eliminar senhas como fator primário em 18 meses.

  1. Mês 1-2 — Auditoria: Inventarie os modelos de authenticator em seu parque via MDM. Verifique versões de navegador. Mapeie o método de autenticação de cada aplicativo (SAML, OIDC, NTLM legado). Identifique requisitos AAL por camada de aplicação.
  2. Mês 2-3 — Design de política: Defina quais segmentos de usuário recebem passkeys sincronizadas vs. device-bound. Elabore política de atestação (comece indireta). Defina runbooks de recuperação de conta. Confirme que políticas Conditional Access / Adaptive MFA não bloquearão a matrícula.
  3. Mês 3-5 — Piloto: Lance para equipe de TI e early adopters. Ative passkeys como fator adicional opcional junto com senhas. Instrumente taxas de sucesso de registro, tentativas de auth cross-device e taxas de fallback nos logs do IdP.
  4. Mês 5-10 — Matrícula ampla: Envie campanhas de matrícula com links de auto-serviço. Mire 80% da força de trabalho matriculada. Mantenha senhas ativas como fallback. Monitore volume de tickets de helpdesk — tickets de recuperação de conta e perda de passkey são seu sinal.
  5. Mês 10-18 — Eliminação de senhas: Para usuários matriculados, aplique políticas Conditional Access que exijam passkey (FIDO2) como método de autenticação. Desabilite autenticação por senha para camadas de aplicação cobertas. Mantenha um processo de break-glass com tokens hardware para contas admin.

O que o Ecossistema Ainda Não Tem

Passkeys não estão completas. Várias lacunas permanecem em meados de 2025:

  • Sem padrão nativo de roaming de passkeys corporativas: Não há padrão FIDO Alliance para migrar passkeys entre plataformas (ex.: iCloud Keychain para Google Password Manager). Vendor lock-in é real.
  • Suporte limitado a SSH/RDP/VPN: WebAuthn é uma API de navegador. Agentes SSH que suportam chaves hardware FIDO2 (via ssh-keygen -t ecdsa-sk) existem, mas passkeys sincronizadas não podem ser usadas em fluxos SSH nativos sem uma camada de ponte.
  • Manipulação de revogação de atestação é imatura: A maioria das implementações de IdP não lida graciosamente com eventos de revogação MDS3 para credenciais registradas existentes. Você precisa de lógica personalizada ou um compromisso do fornecedor.
  • Atraso do Firefox: O suporte a passkeys do Firefox (v122+) ainda tem arestas UX para conditional mediation e fluxos cross-device, e sua participação de mercado em ambientes corporativos — especialmente governo e serviços financeiros — não é trivial.

A adoção corporativa de passkeys já passou do estágio de early adopter — Microsoft, Google e Okta estão todos lançando funcionalidades GA. As equipes que têm sucesso são aquelas que tratam isso como uma migração de infraestrutura, não uma atualização de aplicativo: audite primeiro, faça piloto implacavelmente e mantenha fallbacks ativos por mais tempo do que parece confortável. A resistência a phishing do outro lado vale o custo operacional.

passkeysauthenticationenterprise-securityFIDO2WebAuthn
Compartilhar:
Passkeys em Escala Corporativa: Lições Práticas de Implantações Reais | AIO APEX