top of page

Passkeys: a autenticação que promete reprimir o phishing

Por Priscila Meyer — CEO da Eskive, especialista em segurança da informação com foco no risco humano



Durante décadas, nós nos acostumamos a tratar a senha como parte inevitável — porém indiscutivelmente inconveniente — da vida digital. Criamos combinações, esquecemos algumas delas, repetimos outras, acrescentamos um número no final quando um sistema exige uma atualização e torcemos para que nada aconteça.


Esse comportamento se tornou tão natural que raramente paramos para questionar se o problema está realmente no usuário ou no próprio modelo de autenticação. Ora, o próprio criador do conceito de passwords, Fernando Corbató, declarou antes de seu falecimento que o sistema havia se tornado “um pesadelo”.


Agora, os números indicam que essa lógica começou a mudar. Em 2024, uma pesquisa encomendada pela FIDO Alliance apontava que 53% dos entrevistados nos Estados Unidos e no Reino Unido já haviam habilitado passkeys em pelo menos uma conta. Em maio de 2026, um levantamento global da entidade, realizado com 11 mil consumidores em dez países, mostrou que 75% já tinham ativado ao menos uma chave de acesso.


A FIDO Alliance estima que existam atualmente cerca de 5 bilhões de passkeys em uso no mundo, embora seja impossível estimar quantas delas pertencem a usuários brasileiros. E, mesmo que as pesquisas tenham amostras e abrangências diferentes, a direção do movimento é difícil de ignorar: a autenticação sem senha (passwordless) está deixando de ser uma promessa para se tornar um hábito.


A senha está envelhecendo diante de nós


Eu não acredito que as senhas desaparecerão de uma hora para outra. Tecnologias amplamente utilizadas não morrem de maneira repentina. Elas permanecem durante anos em sistemas antigos, aplicações menores e ambientes que não conseguem acompanhar a velocidade das grandes plataformas. Mas também não vejo mais sentido em tratar a senha como o centro do futuro da autenticação.


O problema não é apenas que algumas pessoas criam senhas fracas. O modelo inteiro depende de um segredo que pode ser memorizado, compartilhado, reutilizado, digitado em uma página falsa, interceptado ou exposto por um vazamento. Quanto mais serviços uma pessoa utiliza, mais difícil se torna manter combinações únicas e complexas para todos eles — mesmo que um gerenciador seja utilizado para tal.


Quando sistemas obrigam uma troca, o comportamento humano também tende a seguir o caminho mais simples. Uma pesquisa da Bitwarden mostrou que somente 38% dos usuários alteram completamente uma senha quando recebem essa solicitação. Os demais fazem mudanças pequenas, substituem poucos caracteres ou reutilizam uma credencial existente.


As consequências aparecem tanto na segurança quanto na experiência. Segundo outra pesquisa da FIDO Alliance de 2026, 33% dos consumidores tiveram uma conta comprometida ou receberam uma notificação de vazamento no período de um ano. Ao mesmo tempo, 47% disseram que provavelmente abandonariam uma compra ou tentativa de acesso caso não conseguissem lembrar a senha.


A chave que ninguém precisa conhecer


Uma passkey, também chamada de chave de acesso, substitui a senha por um par de chaves criptográficas. Uma delas é pública e fica armazenada no serviço. A outra é privada e permanece protegida no dispositivo ou em um cofre digital escolhido pelo usuário.


Quando alguém tenta entrar em uma conta, o serviço envia um desafio criptográfico. O dispositivo utiliza a chave privada para responder, e o servidor verifica essa resposta com a chave pública. Não há uma senha sendo digitada ou um segredo reutilizável trafegando entre o usuário e o site.


Na prática, toda essa engenharia costuma aparecer de maneira muito mais simples: o usuário toca no sensor de impressão digital, olha para a câmera, utiliza o reconhecimento facial ou informa o PIN de desbloqueio do aparelho. A biometria ou o PIN não são a passkey. Eles apenas autorizam o dispositivo a utilizar a chave privada armazenada com segurança.


Esse é, para mim, um dos maiores méritos do conceito. A proteção deixa de depender de uma informação que o usuário precisa inventar, memorizar e proteger. A pessoa sequer conhece sua chave privada — e isso é positivo. Não é possível revelar por telefone, enviar por mensagem ou digitar acidentalmente em uma página falsa algo que nunca é apresentado como texto.


O phishing perde sua principal matéria-prima


Grande parte dos golpes digitais depende de convencer a vítima a entregar voluntariamente uma credencial. O criminoso cria uma página semelhante à de um banco, serviço de e-mail ou rede social e induz o usuário a inserir login, senha e, em alguns casos, um código de autenticação.


As passkeys alteram profundamente essa dinâmica porque estão associadas ao domínio legítimo em que foram registradas. Uma página fraudulenta pode copiar logotipos, cores, textos e praticamente toda a aparência de um site verdadeiro. O que ela não consegue fazer é convencer o autenticador a utilizar uma chave criada para outro domínio.


Mesmo que o usuário seja direcionado a um endereço falso, não existe uma senha para digitar nem um código reutilizável para entregar ao golpista. O dispositivo verifica a origem da solicitação antes de autorizar a assinatura criptográfica. Por isso, as passkeys são consideradas resistentes a phishing e também reduzem ataques como credential stuffing, nos quais criminosos testam credenciais vazadas em diferentes serviços.


Isso não significa que a engenharia social desaparecerá. Criminosos podem mudar de estratégia, explorar processos de recuperação de conta, tentar cadastrar novos dispositivos ou convencer vítimas a aprovar outras ações. Nenhuma tecnologia elimina completamente a fraude, mas retirar a senha do processo significa remover uma das matérias-primas mais valiosas e abundantes do cibercrime.


Segurança finalmente deixa de punir o usuário


Durante muito tempo, melhorar a segurança significou acrescentar etapas. Senhas maiores, requisitos mais complexos, trocas frequentes, perguntas de segurança, códigos por SMS, aplicativos autenticadores, múltiplas telas de confirmação... Cada camada podia aumentar a proteção, mas também aumentava a fricção. E quanto maior a fricção, maior a possibilidade de o usuário procurar atalhos.


As passkeys demonstram que segurança e facilidade não precisam ocupar lados opostos. Para entrar em uma conta, o usuário pode executar a mesma ação que já utiliza dezenas de vezes por dia para desbloquear o celular ou o computador. Não precisa lembrar se usou uma letra maiúscula, um caractere especial ou o nome de um animal seguido pelo ano de nascimento.


Essa conveniência ajuda a explicar a adoção. Em 2026, 90% dos consumidores pesquisados pela FIDO Alliance afirmaram conhecer as passkeys, 75% já haviam habilitado ao menos uma e 49% disseram utilizá-las regularmente quando disponíveis. Em 2024, apenas 62% dos participantes de outra pesquisa da entidade declaravam conhecer a tecnologia. Novamente, os levantamentos não são diretamente equivalentes, mas revelam como o tema ganhou espaço em um período relativamente curto.


Na minha avaliação, essa é uma transformação importante para a conscientização em segurança: em vez de exigir que bilhões de pessoas se comportem como especialistas em gestão de credenciais, a tecnologia passa a absorver parte da complexidade.


As empresas também têm muito a ganhar


Para as organizações, a adoção de passkeys não representa apenas uma modernização técnica — ela pode reduzir uma cadeia inteira de problemas operacionais.


Senhas esquecidas geram chamados para suporte. Trocas obrigatórias interrompem o trabalho. Códigos enviados por SMS produzem custos. Credenciais comprometidas exigem investigação, redefinição de acesso e, em alguns casos, resposta a incidentes. Sites de comércio eletrônico ainda perdem clientes que abandonam uma compra porque não conseguem acessar a própria conta.


A FIDO Alliance mostra que 68% das organizações consultadas já haviam implantado, iniciado projetos-piloto ou começado a implementar passkeys para autenticação de funcionários. Entre as empresas que adotaram a tecnologia, 47% relataram maior confiança na segurança, 45% observaram logins mais rápidos, 43% perceberam melhora na satisfação dos funcionários com a área de tecnologia, 35% registraram menos chamados para redefinição de senha e 32% identificaram redução de incidentes relacionados a phishing.


Adotar não é apenas habilitar um botão


Apesar dos benefícios, considero perigoso apresentar as passkeys como uma solução automática ou infalível. A implantação exige decisões sobre recuperação de conta, sincronização, dispositivos perdidos, ambientes compartilhados, aplicações legadas e integração com sistemas de identidade.


Se uma pessoa perder todos os dispositivos autorizados, como recuperará o acesso? Se um funcionário deixar a empresa, como suas chaves serão revogadas? A organização permitirá sincronização em nuvem ou exigirá passkeys vinculadas a equipamentos corporativos? O que acontecerá com sistemas antigos que ainda dependem de senha?


Existe ainda um problema importante durante a transição. Muitos serviços permitem o uso de passkeys, mas continuam mantendo a senha como alternativa. Isso facilita a migração, porém preserva o caminho que os criminosos já conhecem. Uma conta protegida por passkey ainda pode estar exposta caso possua um processo frágil de recuperação ou uma senha secundária reutilizada.


Por isso, eu vejo a adoção como um projeto de identidade, produto e segurança, não apenas como a instalação de um recurso. É necessário definir políticas, testar diferentes dispositivos, preparar o suporte, revisar os métodos de recuperação e comunicar com clareza o que muda para o usuário. Compatibilidade com sistemas legados, recuperação de contas e governança da sincronização estão entre os desafios centrais desse processo.


O futuro sem senha já começou


Durante anos, o fim das senhas foi anunciado como uma possibilidade distante. Faltava compatibilidade, apoio das grandes plataformas e uma experiência suficientemente simples para alcançar o público comum. Agora, esse cenário mudou. Apple, Google, Microsoft, navegadores modernos, gestores de credenciais e grandes serviços digitais passaram a oferecer suporte ao padrão. Bilhões de chaves já estão ativas, e uma parcela crescente dos usuários provavelmente utiliza uma passkey mesmo sem reconhecer o nome da tecnologia.


Para o usuário, o primeiro passo é simples: sempre que um serviço confiável oferecer a criação de uma chave de acesso, vale considerar a ativação, especialmente em contas de e-mail, serviços financeiros, redes sociais e plataformas que concentram informações importantes. Para as empresas, o momento é de avaliar aplicações, fornecedores, riscos de recuperação e possibilidades de implantação progressiva.


A melhor tecnologia de segurança não é aquela que exige atenção perfeita o tempo inteiro. É aquela que continua protegendo mesmo quando o usuário está com pressa, distraído ou cansado. As passkeys não eliminam o fator humano, mas deixam de depender de uma das tarefas que as pessoas historicamente executam pior: criar, memorizar e proteger dezenas de segredos reutilizáveis.


O fim das senhas talvez ainda demore. A substituição delas, entretanto, já começou.


 
 
Cópia de Cyber Security Brazil_edited.jpg

Cyber Security Brazil desde 2021, atuamos como referência nacional em segurança digital, oferecendo informação confiável, conteúdo especializado e fortalecendo o ecossistema de cibersegurança no Brasil.

Institucional

contato@cybersecbrazil.com.br

(11) 93937-9007

INSCREVA SEU EMAIL PARA RECEBER

ATUALIZAÇÕES, POSTS E NOVIDADES

  • RSS
  • Instagram
  • LinkedIn

© 2025 Todos os direitos reservados a Cyber Security Brazil

bottom of page