As senhas tradicionais já não são suficientes para proteger nossas contas. Todos os dias vemos vazamentos de dados, ataques de phishing e roubo de credenciais por meio de malware. Mesmo com a autenticação em dois fatores, os usuários ainda podem cair em armadilhas ao inserir seus dados em sites falsos.
É por isso que surgem as Passkeys, um novo padrão baseado em criptografia que oferece uma proteção muito mais robusta. Este artigo explica como elas funcionam do ponto de vista do usuário e por que podem representar o fim das senhas.
O que são as Passkeys?
As Passkeys são baseadas em criptografia de chave pública e privada. Ao criar uma passkey em um site, são geradas duas chaves. A chave privada é armazenada de forma criptografada no dispositivo do usuário (computador, celular, etc.), enquanto a chave pública é salva no servidor da web.
Na tabela a seguir, são apresentadas algumas das diferenças entre as Passkeys e as senhas tradicionais.
Característica
Passkeys
Contraseñas
Armazenamento
Chave privada no dispositivo do usuário
No servidor (com hash)
Criação
Geradas automaticamente
Criadas pelo usuário
Segurança
Muito alta (resistente a phishing, força bruta, vazamentos, etc.)
Dependente da complexidade, uso de 2FA e proteções no servidor
Facilidade de uso
Alta
Dependente da complexidade
Proteção contra roubo
Alta
Baixa
Como funcionam as Passkeys
Criação de uma Passkey
(Acesso livre, não requer assinatura)
Criar uma passkey é um processo simples e geralmente está disponível no mesmo local onde as senhas são alteradas. O nome pode variar de acordo com a plataforma; por exemplo, o Google chama de “chaves de acesso” e a Microsoft de “chave de passagem”.
Após localizar a opção, a passkey é gerada e o usuário escolhe onde deseja armazenar a chave privada:
navegador, gerenciador de senhas ou dispositivo móvel.
Criar uma passkey é um processo simples e geralmente está disponível no mesmo local onde as senhas são alteradas. O nome pode variar de acordo com a plataforma; por exemplo, o Google chama de “chaves de acesso” e a Microsoft de “chave de passagem”.
Após localizar a opção, a passkey é gerada e o usuário escolhe onde deseja armazenar a chave privada:
navegador, gerenciador de senhas ou dispositivo móvel.
Se o mesmo gerenciador de senhas for utilizado em vários dispositivos, a chave privada será sincronizada automaticamente, permitindo o acesso ao site a partir de qualquer um deles.
A seguir, é mostrado um exemplo de como adicionar uma Passkey no Google, salva em um telefone celular:
Durante esse processo, foi criado o par de chaves, ficando a chave privada ao lado do cliente e a chave pública ao lado do servidor web.
Acesso ao site utilizando Passkey
Identifique a opção de Passkey no site:
Pode aparecer como “Passkey” ou “Chave de acesso”, dependendo da tradução.
Alguns sites oferecem diretamente essa opção, em outros é necessário selecioná-la manualmente.
Digite seu nome de usuário.
Escolha onde está armazenada sua chave privada:
Ela pode estar no seu celular, computador, em uma chave de segurança física ou na nuvem.
Confirme sua identidade usando o método de desbloqueio do seu dispositivo:
Impressão digital
Reconhecimento facial
PIN ou outro método configurado
Pronto. Você vai acessar o site sem precisar digitar ou compartilhar uma senha.
Exemplos de acessos utilizando Passkeys na Amazon e no Google:
É importante configurar múltiplos Passkeys para uma mesma página web, principalmente se forem usados diferentes dispositivos com gerenciadores de senhas separados. Isto é recomendado para evitar a perda de acesso ao site, em caso de problemas com o dispositivo que armazena a chave privada. Aconselha-se possuir várias Passkeys.
Características das Passkeys
Ao contrário das senhas tradicionais, elas são baseadas em criptografia de chave pública. Isso é o que as torna resistentes a:
Phishing. O usuário nunca troca senhas com o servidor web.
Ataques de força bruta. Esses ataques não fazem sentido com esse tipo de criptografia.
Vazamento de credenciais. Se o servidor for comprometido, a exposição das chaves públicas armazenadas não representa perigo, pois a chave privada permanece protegida no dispositivo do usuário.
Roubo de credenciais por malware, como os info-stealers.
Além disso, eliminam a necessidade de lembrar várias senhas complexas, o que facilita o uso. Graças ao seu design, permitem um acesso rápido e simples a partir de diferentes dispositivos, mantendo a segurança sem abrir mão da praticidade.
Implementação e adoção de Passkeys
Você pode encontrar uma lista de sites que suportam essa tecnologia aqui:
Maior segurança: eliminam o risco de senhas roubadas ou vazadas. Proteção contra info-stealers e vazamentos de dados.
Compatibilidade limitada: nem todos os serviços oferecem suporte às Passkeys.
Autenticação simples e rápida: geralmente basta uma impressão digital, reconhecimento facial ou PIN.
Dependência do ecossistema: as Passkeys não são compartilhadas entre diferentes tecnologias (Apple, Google, Microsoft, etc.).
Resistência a phishing: não podem ser reutilizadas nem enviadas para sites maliciosos.
Dificuldade em dispositivos compartilhados: pode ser complicado usá-las em equipamentos que não são seus.
Sem necessidade de lembrar senhas: são gerenciadas automaticamente.
Curva de aprendizado: exige que os usuários compreendam um novo modelo.
Sincronização na nuvem: você pode usá-las em vários dispositivos (dependendo da plataforma).
Conclusão
As Passkeys representam uma evolução na forma como acessamos nossos serviços digitais. Ao eliminar as senhas e aproveitar a criptografia, oferecem segurança e simplicidade ao mesmo tempo. Em artigos futuros, explicaremos como implementar essa tecnologia em nossas aplicações e como apoiar os usuários na sua adoção.
