A promessa soa sedutora e direta: uma web sem senhas. Em vez de memorizar combinações frágeis ou depender de códigos enviados por SMS, o futuro da autenticação aponta para algo mais elegante, invisível e seguro — as passkeys. Ao mesmo tempo, o discurso que promove a transição para passkeys não é apenas técnico; é emancipador: elimina o fator humano mais vulnerável nos logins.
Este artigo explica, em detalhe, o que são as passkeys, por que elas representam uma ruptura em relação às senhas, quais protocolos as viabilizam (especialmente o FIDO2), por que os tokens físicos nunca se tornaram massivamente populares, como a experiência do usuário muda quando o próprio detentor da conta sequer “sabe” a sua passkey, e quais são os riscos e desafios práticos dessa revolução.
Passkeys são credenciais baseadas em criptografia assimétrica que substituem a senha tradicional.
Ao registrar uma conta em um serviço que suporte passkeys, o dispositivo do usuário gera um par de chaves: uma chave privada, que permanece no aparelho (ou no cofre seguro do gerenciador de senhas), e uma chave pública, que é enviada e armazenada pelo serviço. Para autenticar, o serviço envia um desafio criptográfico; o dispositivo assina esse desafio com a chave privada e o serviço verifica a assinatura com a chave pública previamente guardada.
Esse fluxo garante que não exista um segredo reutilizável circulando entre cliente e servidor — o que elimina o vetor clássico de roubo de senhas em dumps de bases de dados. A especificidade do mecanismo também torna a autenticação intrinsecamente resistente a phishing: a assinatura só é válida para a origem (domínio) correta.
As passkeys são uma expressão prática das especificações FIDO2, que combinam o WebAuthn (API do navegador padronizada pela W3C) e o CTAP (Client-to-Authenticator Protocol).
FIDO2 define como um autenticador — seja um dispositivo, um cofre em nuvem ou um token físico — gera chaves, como o navegador e o servidor negociam o processo e como se verifica a propriedade da chave pública. O resultado é um padrão interoperável adotado por grandes ecossistemas — Apple, Google e Microsoft entre eles — que permite experiências sem senha que funcionam em navegadores e apps modernos.
Os tokens físicos que implementavam U2F e FIDO2 (sticks USB, chaves NFC) sempre existiram como opção segura, pois a chave privada fica fisicamente isolada do computador. No entanto, as barreiras à adoção em massa foram principalmente práticas: custo de aquisição e distribuição em larga escala, risco de perda ou extravio pelos usuários, fricção no fluxo de suporte e a inconveniência de exigir um objeto físico a mais para cada login.
Estudos de usabilidade e análises de mercado mostram que, para o usuário comum, depender de um gadget adicional cria barreiras de adoção e aumenta o custo operacional para empresas. Tokens físicos são excelentes do ponto de vista técnico, mas ruins em escala quando o objetivo é simplicidade e disponibilidade imediata.
Ao contrário de uma senha, que o usuário memoriza ou anota, a passkey é uma chave criptográfica privada que nunca é exibida ao usuário.
Ela fica armazenada em um “cofre” seguro: um módulo de segurança do dispositivo (Secure Enclave ou TPM), no gerenciador de senhas local, ou num cofre sincronizado na nuvem (quando o usuário optar por backup entre dispositivos). A autenticação biométrica (impressão digital, Face ID etc.) ou um PIN desbloqueia esse cofre no momento do uso, permitindo ao autenticador assinar o desafio.
Essa sequência garante dois requisitos cruciais: a chave privada não é transferida ao serviço (logo, não pode ser vazada a partir de um servidor) e o fator humano precisa provar posse do dispositivo e presença biométrica/PIN para autorizar o uso da chave. Em outras palavras, nem o usuário e nem o serviço “guardam” um segredo reutilizável que faça sentido para um atacante.
A operação de um phishing tradicional depende de capturar uma credencial que possa ser reutilizada em um serviço legítimo. As passkeys desmontam esse esquema por duas razões técnicas: primeiro, não existe uma senha ou código que um usuário possa copiar e colar num site falso; segundo, a assinatura criptográfica vinculada ao domínio impede que um site fraudulento “faça o match” com a chave pública que o serviço guarda.
Mesmo que o usuário seja enganado e interaja com uma página falsa, o autenticador do dispositivo verificará que a origem da requisição não corresponde ao registro original e não efetuará a assinatura desejada pelo atacante. Isso reduz drasticamente ataques de phishing e credential stuffing, além de eliminar muitos fluxos de engenharia social que pedem ao usuário para “confirmar” um código ou senha.
Um dos grandes facilitadores da adoção em massa é a possibilidade de sincronizar passkeys entre dispositivos do mesmo usuário. A Apple faz isso via iCloud Keychain, o Google integra ao Google Account, e agora navegadores e gestores de senha como 1Password, Bitwarden e Dashlane oferecem armazenamento e sincronização de passkeys — cada solução com suas garantias criptográficas e trade-offs de privacidade.
A sincronização resolve o problema prático dos tokens físicos (perda do dispositivo) e melhora a experiência: o usuário cria uma passkey no seu smartphone e, em seguida, pode autenticar no computador sem precisar fisicamente do telefone, usando um QR Code, por exemplo.
Entretanto, essa comodidade amplia a superfície de ataque: o cofre que sincroniza passkeys se torna alvo de alto valor, e a segurança do serviço de sincronização passa a ser um ponto crítico. A Microsoft, por exemplo, ampliou recentemente a sincronização de passkeys via Edge e Microsoft Account, mostrando como os grandes ecossistemas tratam a conveniência como fator decisivo.
A adoção evolui rapidamente. O Google relatou uso de passkeys em centenas de milhões de contas, com bilhões de autenticações em pouco tempo, o que demonstra que, quando as plataformas principais se alinham, a escala aparece. A Apple integrou suporte nativo via iCloud Keychain; a Microsoft e navegadores populares (Chrome, Edge, Safari) adicionaram compatibilidade; e gestores de identidade e CIAM (Customer Identity and Access Management) estão incorporando suporte a WebAuthn e passkeys nas suas ofertas.
Entre os gestores de senhas e apps que já gerenciam passkeys estão 1Password, Bitwarden e Dashlane, que disponibilizam ferramentas para criar, armazenar e sincronizar passkeys dentro de seus cofres. Plataformas de CIAM e provedores de identidade corporativa — como Okta, Auth0 (parte da Okta), Ping Identity e ForgeRock — já oferecem integrações e SDKs para permitir que empresas implementem passkeys nas suas jornadas de login.
A transição para passkeys exige mais do que copiar e colar uma biblioteca. Apesar do suporte padronizado (WebAuthn), surgem questões de produto, suporte e governança.
Primeiro, há a experiência de recuperação de conta: como proceder quando o usuário perde todos os seus dispositivos? Soluções de backup e recuperação devem ser seguras e usáveis; a ausência de um fluxo robusto é um obstáculo prático e um ponto de atrito para adoção em massa.
Segundo, há compatibilidade com clientes legados, interoperabilidade entre plataformas e necessidade de adaptar fluxos mobile e desktop. Terceiro, políticas organizacionais podem limitar a sincronização de passkeys por razões de governança de dados — empresas regulamentadas podem preferir passkeys vinculadas a dispositivos gerenciados.
Além disso, a integração com sistemas de login corporativos, SSO e MFA precisa ser tratada com atenção: passkeys podem ser primeiro fator ou parte de um conjunto de fatores, dependendo do risco.
Nenhuma tecnologia é invulnerável. Embora passkeys mitiguem muitos ataques tradicionais, novos vetores existem ou podem surgir.
O risco mais óbvio é a exposição do cofre ou do serviço de sincronização que armazena as chaves privadas — se um atacante obtiver acesso ao backup criptografado e conseguir quebrar as defesas de chaveamento, poderia restaurar a passkeys em dispositivos controlados.
A hipótese de comprometimento de provedores de CIAM ou dos serviços de sincronização (iCloud, Google Account, gestores de senhas) também merece atenção: uma falha nesse nível pode permitir a clonagem de credenciais ou manipulação de fluxos de autenticação.
Outra possibilidade é a exploração de falhas no processo de provisionamento ou na validação de origem (por exemplo, bugs em bibliotecas WebAuthn), bem como ataques de coerção física ou engenharia social direcionada que forcem um usuário a desbloquear um cofre.
É importante também esclarecer uma confusão comum: a chave pública armazenada no servidor não é um segredo que, por si só, compromete o usuário se exposta — a chave pública é, pelo desenho, pública. O problema real seria o roubo da chave privada ou a subversão do mecanismo que associa uma chave pública a um usuário (por exemplo, registrar furtivamente uma nova chave pública para uma conta).
Apesar dos desafios, os benefícios são sólidos: autenticação resistente a phishing, eliminação de credenciais reutilizáveis em servidores, redução significativa de custos com suporte a reset de senha, e experiência de login mais fluida que reduz a fricção em aplicações críticas.
Relatórios de adoção mostram ganhos reais em taxa de sucesso de login e na satisfação dos usuários, com gestores de senha e grandes provedores contabilizando aumentos expressivos no uso de passkeys. Esses ganhos justificam o esforço de modernização, especialmente para serviços que demandam elevada segurança e boa experiência do usuário.
A introdução de passkeys deve ser tratada como projeto de produto e segurança. Começar por habilitar passkeys como opção, combinada com fluxos de fallback bem pensados, reduz riscos operacionais.
Implementações devem prever mecanismos de recuperação seguros (como aparelhos de recuperação, compartilhamento confiável ou autenticação presencial), políticas claras sobre sincronização (bloquear ou permitir conforme o risco), e integração com auditoria e monitoramento.
Fornecedores de CIAM com suporte a WebAuthn agilizam a jornada técnica, mas cabe às equipes de produto e segurança definir políticas de governança. Ferramentas como bibliotecas WebAuthn, SDKs das plataformas de identidade e testes de integração com browsers e apps móveis são partes obrigatórias do roteiro.
Passkeys representam uma das maiores mudanças na autenticação desde a popularização das senhas: combinam criptografia pública, experiência biométrica e interoperabilidade para eliminar muitos dos problemas que hoje alimentam fraudes e vazamentos.
A tecnologia tem suporte de grandes players e já é realidade em dezenas de serviços e gestores de senhas — o que mostra que não se trata de um experimento, mas de uma transição de base. Ao mesmo tempo, não é mágico: exige atenção a fluxos de recuperação, governança de sincronização e proteção de cofres. O equilíbrio entre conveniência e segurança será o campo de batalha dos próximos anos.
A adoção de passkeys não resolve todos os problemas de identidade digital, mas muda substancialmente o jogo: reduz a superfície explorada por scammers, eleva o custo operacional do roubo de credenciais e melhora a experiência do usuário.
Planejar essa transição com cautela, testes e uma estratégia de recuperação robusta garante que a promessa de um mundo sem senha se transforme em segurança prática — e não apenas em mais um slogan de marketing.