A senha chegou ao fim da sua vida útil como controle de segurança. Depois de décadas como o principal guardião das contas corporativas, ela se tornou o vetor mais explorado em incidentes: é phishável, reutilizável e vaza em larga escala. As passkeys, construídas sobre os padrões abertos FIDO2 e WebAuthn, oferecem uma alternativa que elimina o segredo compartilhado e, com ele, uma classe inteira de ataques baseados em roubo de credenciais. Este guia explica, para times técnicos e para quem lidera a decisão, o que são passkeys, como funcionam e como conduzir a migração para a autenticação sem senha em ambientes de 1 a mais de 100 mil colaboradores.
Por que a senha morre
A senha é um segredo compartilhado: o usuário a conhece e o servidor guarda uma cópia (idealmente um hash). Esse modelo carrega três falhas estruturais que nenhum treinamento resolve por completo.
A primeira é o phishing. Se o usuário pode digitar a senha, ele pode ser convencido a digitá-la no lugar errado. Páginas clonadas, campanhas de engenharia social e proxies reversos em tempo real capturam credenciais mesmo quando há um segundo fator, porque o código também é digitado e repassado.
A segunda é o reuso. Pessoas gerenciam dezenas de contas e reaproveitam senhas. Um vazamento em um serviço de baixa relevância vira a chave de acesso ao ambiente corporativo por meio de ataques de credential stuffing, que testam pares vazados em massa.
A terceira é o vazamento em escala. Bancos de dados de credenciais são comprometidos rotineiramente e alimentam mercados criminosos. Uma vez exposto, o segredo está permanentemente queimado, e a rotação periódica de senhas apenas mascara o problema sem eliminá-lo.
Some-se a isso o custo operacional: resets de senha estão entre os chamados mais frequentes de qualquer service desk. A senha é cara, frágil e odiada pelos usuários. O caminho de saída não é uma senha mais longa, e sim abandonar o segredo compartilhado.
O que são passkeys
Uma passkey é uma credencial criptográfica baseada em criptografia de chave pública, especificada pelos padrões FIDO2 e WebAuthn. Em vez de um segredo que o usuário memoriza, existe um par de chaves: uma chave privada, que permanece protegida no dispositivo, e uma chave pública, que é entregue ao serviço durante o registro.
Quando o usuário faz login, o servidor envia um desafio aleatório. O dispositivo assina esse desafio com a chave privada e devolve a assinatura. O servidor verifica a assinatura com a chave pública que já possui. Em nenhum momento a chave privada trafega pela rede, e o servidor nunca precisa guardar um segredo que possa ser roubado. Se o banco de dados do serviço vazar, os atacantes obtêm apenas chaves públicas, matematicamente inúteis para forjar um login.
O ponto decisivo é que a passkey é vinculada à origem. No registro, o navegador amarra a credencial ao domínio exato do serviço. Numa tentativa de phishing, o domínio falso não corresponde ao domínio registrado, o navegador não encontra a credencial certa e não produz assinatura alguma. A resistência a phishing não depende da atenção do usuário: é uma propriedade do protocolo.
Como funcionam na prática
Para o usuário, a experiência é simples: ao acessar um serviço, ele confirma a identidade com biometria (impressão digital ou rosto) ou um PIN local. Esse gesto não envia a biometria para lugar nenhum; ele apenas desbloqueia a chave privada guardada no dispositivo, seja no enclave seguro do telefone, no TPM do computador ou em uma chave de segurança física.
Nos bastidores, o fluxo segue três passos. No registro, o dispositivo gera o par de chaves para aquele serviço e envia a chave pública. Na autenticação, o serviço envia um desafio, o dispositivo assina com a chave privada após a verificação local do usuário, e o serviço valida a assinatura. Na sincronização, quando aplicável, a chave privada é replicada de forma cifrada entre os dispositivos do usuário por meio do provedor de plataforma.
Esse desenho combina, em um único gesto, algo que o usuário possui (o dispositivo com a chave) e algo que ele é ou sabe (a biometria ou PIN). Por isso uma passkey já constitui, por natureza, autenticação multifator forte. Vale reforçar que a biometria fica sempre confinada ao hardware seguro do dispositivo e nunca é transmitida ao servidor: ela serve apenas como gesto local de autorização para liberar a chave privada.
Passkeys sincronizadas vs. device-bound
Há dois modelos de credencial, e a escolha define o equilíbrio entre conveniência e garantia.
As passkeys sincronizadas são copiadas de forma cifrada entre os aparelhos do usuário pelo provedor (Apple, Google, Microsoft ou um gerenciador de senhas dedicado). O benefício é a comodidade e a recuperação natural: trocar de celular não significa perder o acesso. São ideais para a força de trabalho geral, onde a barreira de adoção precisa ser mínima.
As passkeys device-bound (ligadas ao dispositivo) nunca deixam o hardware onde foram criadas, como uma chave de segurança FIDO2 em formato USB ou NFC. Elas entregam a maior garantia possível, porque não há cópia da chave privada em nuvem nenhuma. São o padrão recomendado para contas privilegiadas, administradores de infraestrutura e cenários de conformidade rigorosa.
Uma estratégia madura combina os dois: sincronizadas para o dia a dia da maioria e device-bound para os acessos mais críticos, sempre com mais de um autenticador registrado para eliminar o ponto único de falha.
FIDO2, CTAP e WebAuthn explicados
Três siglas descrevem as peças do padrão, e vale distingui-las.
WebAuthn (Web Authentication) é a API padronizada pelo W3C que os navegadores e aplicações web usam para criar e usar credenciais. É o que permite que um site solicite ao navegador o registro ou a assinatura de um desafio.
CTAP (Client to Authenticator Protocol) é o protocolo que conecta o cliente (o navegador ou sistema operacional) ao autenticador, seja ele interno, como o sensor biométrico do aparelho, ou externo, como uma chave USB. É o CTAP que viabiliza usar o telefone como autenticador para logar em um computador próximo.
FIDO2 é o guarda-chuva que reúne WebAuthn e CTAP sob a governança da FIDO Alliance. Quando se fala em passkey, fala-se, no fundo, de uma credencial FIDO2 exposta pela API WebAuthn e desbloqueada por um autenticador que conversa via CTAP.
MFA resistente a phishing: por que OTP e SMS não bastam
Nem todo segundo fator é igual. Códigos por SMS, e-mail ou aplicativos autenticadores melhoram a segurança frente à senha sozinha, mas continuam sendo segredos que o usuário digita, e por isso permanecem phisháveis. Um proxy reverso moderno intercepta o código em tempo real e o repassa ao serviço legítimo, sequestrando a sessão. O SMS ainda sofre com troca de chip (SIM swap) e interceptação de rede.
A passkey quebra esse padrão porque não existe código a ser digitado nem repassado: a assinatura só é produzida para o domínio correto. É exatamente isso que órgãos de referência chamam de MFA resistente a phishing, o patamar recomendado para acessos sensíveis. Para aprofundar os níveis de fator e o que caracteriza um MFA forte, veja nosso material sobre MFA.
| Método | Resistente a phishing? | Experiência do usuário |
|---|---|---|
| Senha | Não | Ruim (memorizar, digitar, resetar) |
| Senha + OTP por SMS | Não (SIM swap, repasse) | Média (esperar e digitar código) |
| Senha + app autenticador (TOTP) | Não (código phishável) | Média (abrir app e digitar) |
| Notificação push com aprovação | Parcial (sujeito a MFA fatigue) | Boa (um toque) |
| Passkey sincronizada | Sim (vinculada à origem) | Ótima (biometria em um gesto) |
| Passkey device-bound / chave FIDO2 | Sim (garantia máxima) | Boa (toque na chave física) |
Adoção corporativa: IdP e roteiro de migração
Em escala corporativa, a passkey não vive isolada em cada aplicação. Ela é registrada no provedor de identidade (IdP) que já centraliza o acesso. O usuário autentica com passkey no IdP e, dali, alcança todas as aplicações por meio de SSO e federação de identidade (SAML e OIDC). Concentrar a passkey no IdP significa política, auditoria e migração em um único ponto de controle.
Um roteiro de migração pragmático costuma seguir estas fases: inventariar onde a senha é usada; habilitar o registro de passkeys no IdP; definir passkeys sincronizadas para a força de trabalho e device-bound para privilegiados; rodar um piloto com um time técnico; expandir por ondas monitorando adoção; e, por fim, tornar a senha somente-leitura antes de removê-la como caminho de login. O objetivo não é adicionar mais um fator, e sim eliminar o segredo compartilhado.
Recuperação de conta: o novo elo a proteger
Quando se remove a senha, o fluxo de recuperação passa a ser o alvo preferencial dos atacantes. Não adianta tornar o login resistente a phishing e deixar um reset de conta que depende de um código por e-mail ou SMS, porque o adversário simplesmente ataca esse caminho mais fraco.
As boas práticas são claras: exigir ao menos dois autenticadores por usuário (por exemplo, o telefone mais uma chave física), oferecer recuperação via provedor para passkeys sincronizadas e, no ambiente corporativo, manter um fluxo de recuperação verificado e controlado pelo help desk, com validação de identidade robusta. A recuperação precisa ser tão forte quanto o login que ela restaura.
Relação com Zero Trust
Passkeys são um pilar natural de uma arquitetura Zero Trust, cujo princípio é nunca confiar por padrão e sempre verificar. Uma identidade comprovada por autenticação resistente a phishing é o alicerce sobre o qual o acesso condicional decide o que liberar.
Ao alimentar as políticas com sinais de autenticação forte, a organização consegue conceder acesso granular conforme o contexto: quem é o usuário, qual dispositivo, qual postura de segurança e qual recurso está sendo solicitado. Sem uma identidade confiável na base, todo o restante do Zero Trust opera sobre premissas frágeis. A passkey fornece essa confiança de forma verificável e escalável.
Referências
- FIDO Alliance — especificações FIDO2 e a definição de passkeys, mantidas pela aliança que governa o padrão.
- W3C — Web Authentication (WebAuthn), a recomendação que padroniza a API de credenciais no navegador.
- NIST SP 800-63B — Digital Identity Guidelines, que define os níveis de garantia de autenticação e caracteriza o MFA resistente a phishing como patamar recomendado para acessos sensíveis.
Autenticação sem senha na prática, com a Decripte
Para empresas de qualquer porte, migrar para passkeys não é um projeto cosmético de conveniência: é a forma mais eficaz de encerrar a maior fonte de incidentes de credenciais e, ao mesmo tempo, reduzir custo de suporte e atrito para o usuário. O caminho começa com um inventário de identidades e um piloto bem medido, evolui por ondas ancoradas no IdP e culmina na desativação da senha como fator de login. A Decripte apoia esse roteiro de ponta a ponta, do desenho da política de MFA resistente a phishing à integração com sua estratégia de Zero Trust.
Quer saber onde sua organização está exposta hoje? Comece grátis avaliando sua postura de identidade, ou conheça nossos planos para conduzir a migração com segurança de ponta a ponta.
