O Que São Passkeys e Por Que São Mais Seguros Que Senhas

Porbernabauer

Passkeys estão se tornando cada vez mais comuns em sites e serviços online. Se você já viu uma mensagem perguntando se quer “adicionar um passkey” ao seu login, pode estar se perguntando o que é isso e por que deveria se importar. O vídeo do Computerphile explica como passkeys funcionam e por que são mais seguros do que o tradicional login e senha.

O problema das senhas tradicionais

Antes de entender o que são passkeys, vale revisar por que as senhas são um problema tão persistente.

O modelo tradicional de senha tem uma falha estrutural: a senha precisa existir em dois lugares ao mesmo tempo — no seu cérebro e no servidor do site. Isso cria várias vulnerabilidades:

  • Reutilização: a maioria das pessoas usa a mesma senha em vários sites. Se um site vazar, todas as contas com aquela senha ficam expostas.
  • Phishing: é relativamente fácil criar uma página falsa que imita um site legítimo e capturar senhas digitadas por usuários desatentos.
  • Vazamentos de banco de dados: sites armazenam senhas (idealmente criptografadas, mas nem sempre) e podem ser invadidos. Quando isso acontece, milhões de senhas circulam em listas na internet.
  • Senhas fracas: senhas fáceis de lembrar são fáceis de adivinhar. Senhas complexas são difíceis de lembrar — e aí a pessoa as anota em algum lugar inseguro.

O resultado é um sistema que, na prática, não é tão seguro quanto deveria ser. Os passkeys foram criados para resolver esses problemas de raiz.

O que é um passkey, exatamente?

Um passkey é uma credencial digital baseada em criptografia de chave pública. Em vez de uma senha que você digita, o passkey é um par de chaves matemáticas geradas automaticamente:

  • Chave pública: fica armazenada no servidor do site ou serviço. Pode ser compartilhada sem risco — sozinha, ela não serve para nada.
  • Chave privada: fica armazenada apenas no seu dispositivo (celular, computador). Nunca sai dele e nunca é transmitida pela internet.

Quando você faz login, o site envia um desafio matemático que só pode ser resolvido com a sua chave privada. Seu dispositivo resolve esse desafio e envia a resposta — sem nunca revelar a chave em si. O site verifica a resposta usando a chave pública e libera o acesso.

A analogia mais simples: é como um cadeado (chave pública) que qualquer um pode ver, mas só você tem a chave (chave privada) que o abre.

Por que passkeys são mais seguros?

A grande vantagem dos passkeys sobre senhas está justamente nessa arquitetura:

  • Sem phishing: um passkey é vinculado ao endereço exato do site para o qual foi criado. Se você tentar usar em uma página falsa, ele simplesmente não funciona — o sistema percebe que o domínio é diferente e não autentica.
  • Sem vazamento de servidor: como o servidor nunca armazena sua chave privada (só a pública), um vazamento no banco de dados do site não expõe suas credenciais.
  • Sem reutilização: cada passkey é único para cada site. Comprometer um não compromete os outros.
  • Sem força bruta: não existe uma “senha” para tentar adivinhar. A chave privada nunca fica exposta em nenhuma etapa do processo.

Como usar um passkey na prática

Do ponto de vista do usuário, usar um passkey é mais simples do que usar uma senha. O processo geralmente é assim:

  1. Você acessa o site e clica em “entrar com passkey” (ou o site detecta automaticamente que você tem um).
  2. Seu dispositivo pede uma confirmação de identidade — pode ser Face ID, Touch ID, reconhecimento facial do Android, PIN do Windows Hello, ou a biometria configurada no seu aparelho.
  3. Você confirma, e o login é feito. Sem digitar nada.

Para criar um passkey pela primeira vez, o fluxo é parecido: o site oferece a opção de cadastrar um passkey, você confirma com biometria, e o par de chaves é gerado e salvo automaticamente.

Onde os passkeys ficam armazenados?

Aqui está um ponto importante que muita gente não sabe: passkeys podem ser sincronizados entre dispositivos, assim como senhas em um gerenciador.

  • iPhone e Mac: passkeys são salvos no iCloud Keychain e sincronizados automaticamente em todos os seus dispositivos Apple conectados à mesma conta.
  • Android: passkeys são gerenciados pelo Google Password Manager e sincronizados com sua conta Google.
  • Windows: o Windows Hello gerencia passkeys localmente. Gerenciadores de senhas como o 1Password e o Bitwarden também já suportam passkeys e sincronizam entre plataformas.

Isso significa que, se você criar um passkey no celular, ele estará disponível no computador também — desde que ambos usem o mesmo ecossistema ou gerenciador.

E se eu perder o dispositivo?

Essa é a principal dúvida de quem está considerando adotar passkeys. A resposta depende de como o passkey foi armazenado:

  • Se estava sincronizado (iCloud, Google, gerenciador de senhas): ao recuperar ou trocar o dispositivo e fazer login na mesma conta, os passkeys estarão disponíveis novamente. O processo é equivalente a recuperar senhas salvas no navegador.
  • Se estava vinculado ao dispositivo (sem sincronização, caso de alguns passkeys corporativos ou de segurança máxima): você precisará usar um método de login alternativo — geralmente um código de recuperação ou e-mail — para revogar o passkey antigo e criar um novo.

A recomendação prática é sempre manter um método de login alternativo ativo (e-mail de recuperação ou código de backup), especialmente durante o período de transição em que nem todos os serviços já suportam passkeys plenamente.

Quais serviços já aceitam passkeys?

A adoção tem crescido rapidamente. Entre os serviços que já suportam passkeys estão Google, Apple, Microsoft, GitHub, PayPal, Amazon, WhatsApp, X (Twitter), Adobe e Shopify. A lista cresce a cada mês, e o site passkeys.directory mantém um diretório atualizado dos serviços compatíveis.

Perguntas frequentes

Passkeys substituem completamente as senhas?
Ainda não de forma universal. A maioria dos serviços que adotou passkeys mantém a senha como alternativa de login. A transição é gradual — passkeys estão sendo adotados em paralelo com senhas, não em substituição imediata.

Preciso de um hardware especial para usar passkeys?
Não. Qualquer smartphone moderno com biometria (iOS 16+ ou Android 9+) já suporta passkeys nativamente. Em computadores, Windows Hello e o iCloud Keychain no Mac também funcionam sem hardware adicional.

E se o site não suportar passkeys ainda?
Continue usando sua senha normalmente. Os passkeys são uma adição, não uma exigência. Você adota onde está disponível e mantém senhas onde não está — idealmente gerenciadas por um aplicativo como o Bitwarden ou 1Password.

Passkeys são a mesma coisa que autenticação de dois fatores (2FA)?
Não exatamente. O 2FA adiciona uma segunda etapa ao login com senha. O passkey substitui a senha por completo por um mecanismo criptográfico mais seguro. Alguns serviços tratam passkeys como autenticação completa; outros os usam como primeiro fator e ainda pedem uma confirmação adicional.

Conclusão

Passkeys são uma evolução real na segurança online — não apenas incremental, mas estrutural. Eles eliminam as principais vulnerabilidades das senhas sem exigir que o usuário entenda criptografia ou mude muito seu comportamento. Na prática, o login fica mais rápido e mais seguro ao mesmo tempo.

A adoção ainda está em andamento, mas os principais ecossistemas — Apple, Google e Microsoft — já estão com suporte completo. Se o serviço que você usa oferece a opção, vale ativar.

Posts Similares

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *