Durante anos, o conselho mais repetido da internet foi quase um mantra: crie uma senha forte, não reuse, troque com frequência e, se possível, guarde tudo em um gerenciador de senhas. A intenção era boa. O problema é que a realidade humana costuma ser menos disciplinada do que o manual ideal.
Um relatório da NordPass mostra exatamente isso: “123456” voltou a ser a senha mais comum do mundo em 2025, liderando a lista pela sexta vez em sete anos, enquanto “password” também aparece entre as campeãs de popularidade e fraqueza. A mesma fonte destaca que combinações como “12345”, “12345678” e “1234567890” seguem entre as mais usadas em diferentes faixas etárias, o que indica que o hábito de escolher atalhos ainda atravessa gerações.
Isso importa porque a discussão sobre password e passwords não é semântica; é estrutural. Quando perguntamos “o que é password?”, a resposta técnica é simples: uma credencial secreta usada para autenticar um usuário. Quando perguntamos “o que são passwords?”, na prática estamos falando de um modelo inteiro de segurança que depende da memória, da disciplina e do comportamento de milhões de pessoas.
O que é password, e por que esse modelo envelheceu mal
A senha tradicional nasceu para ser algo que só o usuário soubesse. Em teoria, isso parecia elegante. Na prática, ela virou um dos pontos mais frágeis da vida digital porque exige que o ser humano faça duas coisas difíceis ao mesmo tempo: lembrar combinações complexas e não repetir padrões em dezenas de serviços.
A consequência é conhecida. A FIDO Alliance relatou, em pesquisa com 1.389 pessoas nos Estados Unidos, Reino Unido, China, Coreia do Sul e Japão, que 36% disseram já ter tido ao menos uma conta comprometida por senhas fracas ou roubadas, e 48% admitiram ter abandonado uma compra online simplesmente porque esqueceram a senha.
Esses números ajudam a explicar por que o tema “o que é password” precisa ser revisto com mais honestidade. Password não é apenas uma palavra-chave de acesso; é um ponto de atrito, um risco de reutilização e, muitas vezes, um convite para soluções improvisadas.
O problema não está só na existência da senha, mas no comportamento previsível que ela incentiva: senhas curtas, padrões óbvios, pequenas variações de uma credencial já usada em outro serviço e, no pior cenário, o famoso “depois eu troco”. A pesquisa da NordPass reforça esse retrato ao mostrar a persistência de senhas absurdamente simples em todos os grupos etários analisados.
O gerenciador não salva um ecossistema fraco
É preciso justiça com os cofres de senhas: eles resolveram um problema real. Sem um gerenciador, muita gente simplesmente reciclaria a mesma senha fraca em serviços diferentes, o que amplia o estrago quando uma conta é violada.
A própria NordPass recomenda o uso de passwords únicas, reforço de MFA e o emprego de um password manager para armazenar e gerar credenciais fortes com mais praticidade. Em outras palavras, o gerenciador não é o vilão; ele é uma prótese útil para um sistema que nasceu torto.
Mas existe um limite importante. Um gerenciador de senhas é uma camada de conveniência e organização, não uma garantia absoluta de segurança. Se o cofre for protegido por uma senha mestra fraca, por ausência de autenticação multifator ou por um dispositivo comprometido, a promessa do “armazenamento seguro” perde parte do seu valor.
O ponto central é incômodo, porém incontornável: de nada adianta concentrar todas as credenciais em um único lugar se a porta principal continua dependente de uma password previsível e de uma proteção adicional mal implementada. A NordPass, inclusive, encerra suas recomendações de boas práticas com a orientação de ativar MFA, justamente para adicionar uma segunda barreira ao acesso.
MFA é o mínimo civilizatório, não um detalhe opcional
A conversa sobre passwords e gerenciadores costuma falhar quando trata MFA como um acessório elegante. Na prática, autenticação multifator é a diferença entre um login inconveniente e uma conta verdadeiramente exposta. Não basta ter uma senha longa se ela puder ser reutilizada, adivinhada, capturada por phishing ou vazada em algum canto da internet. O que protege a conta é a combinação de fatores, não a fé de que o usuário vai manter um ritual impecável para sempre.
A Microsoft foi direta ao tratar esse cenário em um anúncio de 2025: os ataques por senha seguem em alta, com a empresa relatando 7.000 ataques de password por segundo no ano anterior, mais que o dobro da taxa de 2023. A leitura é clara: enquanto existir uma grande base de contas dependentes de passwords, haverá incentivo industrial para automatizar brute force, phishing e outras formas de exploração do elo humano da cadeia.
Passkey: o que é e por que esse modelo ganhou tanta força
Passkey é uma credencial moderna baseada em padrões abertos da FIDO Alliance, criada para substituir passwords e reduzir a dependência de algo que o usuário precise decorar. Em vez de digitar uma senha, a pessoa autentica com recursos já familiares do dispositivo, como biometria ou PIN local, em um fluxo pensado para ser resistente a phishing e mais simples de usar.
A FIDO descreve as passkeys como uma experiência sem senha, sem fricção e resistente a phishing; a Microsoft resume o movimento como uma troca de passwords por uma forma de autenticação padrão e mais segura.Essa é a chave do debate. A passkey não tenta educar o usuário a amar a disciplina da senha forte. Ela parte de uma premissa mais honesta: a maioria das pessoas não vai se tornar especialista em higiene de passwords só porque o setor pediu.
Em vez de pedir um comportamento perfeito, o modelo altera o sistema para que o comportamento humano comum deixe de ser o principal risco. É por isso que passkeys não são apenas uma evolução técnica; são uma correção de design.
A adoção já saiu do discurso e entrou na operação
A Microsoft informou que hoje mais de 99% das pessoas que entram em seus dispositivos Windows com conta Microsoft usam Windows Hello, e explicou que centenas de sites, representando bilhões de contas, já aceitam login com passkey.
No mesmo anúncio, a empresa disse que passou a adotar novas contas “passwordless by default”, além de priorizar métodos sem senha na experiência de login e cadastro. Também relatou cerca de um milhão de passkeys registradas por dia e uma taxa de sucesso de login com passkey muito acima da observada com passwords: aproximadamente 98% contra 32%.
A velocidade também pesa na balança. Segundo a Microsoft, o login com passkey é oito vezes mais rápido do que o login com password e MFA, e seu experimento reduziu o uso de passwords em mais de 20%. Esses números não provam uma substituição total e imediata, mas provam algo talvez mais importante: quando a experiência melhora sem sacrificar segurança, a adesão deixa de ser um apelo moral e se torna uma escolha natural.
As passkeys vão substituir as senhas completas?
A resposta mais honesta é: em muitos contextos, sim; em outros, ainda não. Em serviços de consumo, especialmente os que controlam bem o ecossistema de dispositivos, as passkeys têm tudo para se tornar o padrão dominante.
A própria Microsoft afirma que, à medida que mais pessoas se inscrevem em passkeys, a quantidade de autenticação por senha vai continuar a cair até que a empresa possa eventualmente remover o suporte a passwords por completo. Essa declaração é importante porque deixa de tratar passkey como recurso complementar e passa a tratá-la como destino arquitetônico.
Mas a substituição total não acontece por decreto. Há sistemas legados, cenários corporativos com integrações antigas, dispositivos compartilhados, serviços de baixo orçamento e contextos de recuperação de conta em que a senha ainda funciona como fallback.
É possível, portanto, que a senha não desapareça de uma vez; ela pode virar o plano B por um bom tempo, especialmente em ambientes que não conseguiram modernizar toda a jornada de identidade.
Ainda assim, a direção do mercado é inequívoca: password está deixando de ser o centro e passando a ser, no máximo, uma herança em retirada. Essa conclusão é sustentada pela convergência entre a pesquisa da FIDO, a persistência de senhas fracas e o anúncio agressivo da Microsoft em favor do passwordless.
Os cofres de senhas continuam seguros?
Continuam, mas com uma condição decisiva: eles não podem ser tratados como substitutos mágicos para MFA e bom desenho de autenticação. Um gerenciador de senhas é seguro quando combina criptografia robusta, senha mestra forte, autenticação multifator, boa proteção do dispositivo e disciplina de uso.
Sem isso, ele vira apenas um recipiente elegante para credenciais previsíveis. A recomendação da NordPass para ativar MFA, manter passwords únicas e revisar credenciais periodicamente não é um detalhe educado; é o reconhecimento de que a segurança do cofre depende de camadas.
Há, porém, um argumento favorável ao gerenciador que ainda merece respeito: ele continua sendo uma ponte prática entre o presente e o futuro. Enquanto nem todo serviço suporta passkey e nem todo usuário consegue migrar imediatamente para um ambiente passwordless, o cofre resolve um problema real de transição.
Ele reduz a reutilização, ajuda a criar passwords mais fortes e diminui o caos mental do “qual senha usei aqui?”. Em uma fase de convivência entre modelos, essa função é útil e, para muita gente, indispensável.
Conveniência, risco e autonomia
A guerra entre gerenciador de senhas e passkey é, na verdade, uma disputa sobre quem carrega a responsabilidade. No modelo tradicional, o usuário carrega a maior parte da carga: cria a password, memoriza a password, não esquece a password, não recicla a password e ainda precisa usar MFA para compensar a fragilidade do sistema.
No modelo passkey, a carga migra para a infraestrutura do dispositivo e para o ecossistema de autenticação. O usuário deixa de ser o guardião da fragilidade e passa a usar um mecanismo mais silencioso, menos dependente de memória e muito menos exposto a phishing.
Esse deslocamento tem um custo psicológico interessante: muita gente interpreta a password como “controle”, porque é algo que pode ser digitado de qualquer lugar. Já a passkey parece mais dependente do aparelho, do PIN local e da biometria. Só que essa sensação de autonomia é enganosa quando a password é fraca, repetida ou roubada.
A passkey reduz justamente o espaço onde o erro humano se transforma em incidente de segurança. Em uma internet em que 36% dos entrevistados pela FIDO já perderam contas por culpa de senhas fracas ou roubadas, o argumento emocional em favor da password parece cada vez menos convincente.
O mercado está tentando blindar a inocência do usuário
Existe um elemento quase pedagógico na evolução para passkeys. O mercado finalmente aceitou que não adianta exigir excelência universal do usuário comum. Em vez disso, a indústria está desenhando sistemas que perdoam melhor a inocência operacional de quem nunca quis ser especialista em segurança.
Isso aparece no movimento da Microsoft de tornar novas contas “passwordless by default”, de priorizar métodos mais seguros na interface de login e de empurrar o uso de passkeys como padrão preferencial. O mesmo espírito aparece no discurso da FIDO ao tratar passkeys como uma solução pensada para uma experiência sem fricção e resistente a phishing.
Esse é um ponto de virada importante: no fim do dia, a realidade é que o usuário comum não quer aprender segurança, mas sim continuar sua vida digital sem tropeçar. A senha tradicional lhe obriga a lembrar de “mais algo” que ele não desejava.
A passkey tenta fazer o sistema lembrar por ele, com mais inteligência e menos superfície de ataque. Se a internet era um lugar onde a responsabilidade recaía sobre o indivíduo, o novo ciclo de autenticação está dizendo algo mais maduro: segurança boa é a que não depende de heroísmo diário.
Então, qual é o futuro real?
O futuro mais plausível não é uma troca instantânea nem uma guerra de vencedores absolutos. É uma migração assimétrica. As passkeys tendem a dominar os fluxos principais de acesso, especialmente em plataformas que controlam bem a jornada do usuário e conseguem integrar biometria, dispositivos confiáveis e recuperação de conta moderna.
Os gerenciadores de senhas, por sua vez, devem continuar relevantes como instrumento de transição, como suporte a sistemas legados e como proteção prática para o período em que passwords ainda existirem em massa. A senha forte isolada, sem MFA, tende a perder relevância rapidamente; já o cofre de senhas bem configurado, com MFA e boas práticas, ainda faz sentido enquanto o mundo não estiver totalmente passwordless.
Em termos simples: o futuro não está do lado da password como centro do universo. Ele está do lado da autenticação que evita depender da memória humana, reduz phishing e elimina a necessidade de repetir o mesmo ritual frágil dezenas de vezes por dia.
Ainda assim, até que a transição se consolide, o melhor cenário para a maioria das pessoas continua sendo híbrido: gerenciador de senhas bem protegido, MFA ativado em tudo o que for possível e migração gradual para passkeys nos serviços que já suportam o modelo. Esse arranjo não é apenas pragmático; é o mais honesto diante do estado atual da internet.
Senha forte ajuda; passwordless transforma
Perguntar “gerenciador de senhas vs passkeys” é útil, mas talvez incompleto. A pergunta mais precisa é: vamos continuar remendando um sistema que exige demais das pessoas ou vamos adotar um modelo em que a segurança seja menos dependente do comportamento perfeito do usuário?
Os dados mais recentes apontam para a segunda opção. Senhas fracas continuam amplamente usadas, perdas por passwords ainda são comuns e o ecossistema está acelerando a adoção de passkeys como resposta prática ao problema.
Por isso, o veredito mais equilibrado é este: passwords ainda não morreram, mas perderam o trono; gerenciadores de senhas continuam úteis, mas não são solução final; MFA segue obrigatório como camada de defesa; e as passkeys surgem como a resposta mais promissora para um futuro em que autenticação segura precisa ser, ao mesmo tempo, invisível, rápida e resistente a fraude.
Se a internet amadurecer como parece estar amadurecendo, a password vai deixar de ser protagonista e virar memória histórica de uma era em que confiar na força da lembrança humana era a melhor opção disponível. Hoje, felizmente, já existe uma alternativa melhor.
1º PAINEL ESKIVE - Desafios e Estratégias contra o Cibercrime no Brasi
Confira um debate multifacetada entre nossa CEO, Priscila Meyer, e especialistas do mercado sobre o universo dos golpes, fraudes e crimes cibernéticos no Brasil. ⭣
