IRCNF
Security

Passkeys atingem adoção mainstream — eis como é o fim das senhas na prática

Compartilhar:
Passkeys atingem adoção mainstream — eis como é o fim das senhas na prática

As passkeys não são mais um recurso experimental escondido nas configurações de desenvolvedor. Em 2025, mais de 15 bilhões de contas de usuário nas plataformas Apple, Google e Microsoft estão habilitadas para passkeys, e grandes serviços de consumo — de PayPal a GitHub e Amazon — já implementaram autenticação baseada em WebAuthn. A indústria cruzou o limiar da adoção inicial para a infraestrutura mainstream.

Por que as senhas falharam

O caso contra senhas não é teórico. O 2024 Verizon Data Breach Investigations Report mostrou que credenciais roubadas ou fracas estiveram envolvidas em 77% das violações de aplicações web. O Have I Been Pwned indexa mais de 14 bilhões de contas comprometidas de violações conhecidas. Gerenciadores de senha ajudam — mas protegem contra senhas fracas, não contra phishing. Uma página de login falsa convincente ainda captura o que o usuário digita, independentemente da força da senha.

Credential stuffing — pegar pares de nome de usuário/senha violados e testá-los em outros serviços — funciona justamente porque os usuários reutilizam senhas. Phishing funciona porque os usuários não conseguem distinguir com segurança páginas de login reais de falsas. Esses são problemas estruturais da autenticação por segredo compartilhado, não problemas que podem ser corrigidos com melhor educação do usuário.

Como as passkeys realmente funcionam

Uma passkey é um par de chaves criptográficas gerado no seu dispositivo. A chave privada nunca sai do dispositivo — fica armazenada em um enclave seguro, no TPM do dispositivo ou em um elemento de segurança de hardware. A chave pública é registrada no serviço e armazenada nos servidores dele. Essa é a ruptura fundamental com senhas: o servidor nunca guarda um segredo.

Registro

Ao criar uma passkey para um site, seu dispositivo gera um par de chaves exclusivo para aquele site. A chave pública é enviada ao servidor e associada à sua conta. A chave privada é protegida pelo método de autenticação do dispositivo — biometria (Face ID, Touch ID, Windows Hello), PIN ou padrão — e armazenada em armazenamento seguro baseado em hardware.

Autenticação

Ao fazer login, o servidor envia um desafio criptográfico — um nonce aleatório. Seu autenticador (enclave seguro do dispositivo ou TPM) assina esse desafio com a chave privada, após verificar sua presença por biometria ou PIN. O servidor verifica a assinatura contra a chave pública armazenada. Nenhuma senha trafega pela rede. Nenhum segredo compartilhado pode ser fisgado via phishing. Mesmo que um invasor intercepte o desafio assinado, ele não pode ser reutilizado — o nonce tem uso único e é escopo para aquele domínio de origem específico, o que impede ataques de repetição e phishing com falsificação de domínio.

A vinculação ao domínio de origem exato é o que torna as passkeys resistentes a phishing por design. Uma página falsa paypa1.com não pode receber uma autenticação válida de passkey para paypal.com. O navegador impõe isso no nível do protocolo por meio da especificação WebAuthn, formalizada como FIDO2 pela FIDO Alliance.

Onde as passkeys estão implantadas hoje

O suporte no nível de plataforma agora é abrangente:

  • Apple: O iCloud Keychain sincroniza passkeys entre iPhone, iPad e Mac por sincronização iCloud criptografada de ponta a ponta. Suportado no iOS 16+ e macOS Ventura+.
  • Google: O Google Password Manager sincroniza passkeys entre dispositivos Android e Chrome no Windows/macOS. As próprias contas Google aceitam login com passkey — mais de 800 milhões de contas Google usaram passkeys em 2024.
  • Microsoft: O Windows Hello (PIN com suporte TPM, impressão digital ou reconhecimento facial) lida com passkeys no Windows 11. Contas Microsoft aceitam autenticação por passkey.
  • Gerenciadores de terceiros: 1Password, Dashlane e Bitwarden aceitam armazenamento de passkeys, permitindo portabilidade entre plataformas fora dos ecossistemas nativos.

No lado dos serviços, as principais implantações incluem:

  • Google — login com passkey para todas as contas Google Workspace e consumidor
  • Apple — suporte a passkey para Apple ID em todos os serviços Apple
  • GitHub — passkeys como método de autenticação principal desde 2023
  • PayPal — implantação de passkey cobrindo usuários dos EUA, expandida internacionalmente
  • Amazon — suporte a passkey para contas de consumidor
  • Best Buy, Target, CVS, Shopify — adoção de passkey no varejo de consumo acelerando
  • DocuSign, Kayak, Robinhood, Zoho — adotantes SaaS e fintech com implantações ativas

A FIDO Alliance relatou que mais de 12 bilhões de contas online estão prontas para passkeys no final de 2024, com o número crescendo à medida que mais serviços concluem suas implantações.

Pontos de atrito remanescentes

A adoção é real, mas a transição não é isenta de problemas.

Sincronização entre plataformas

A maior limitação prática é o bloqueio no ecossistema. Uma passkey criada no Apple Keychain não aparece automaticamente no Google Password Manager. Um usuário trocando de iPhone para Android enfrenta a necessidade de recadastrar passkeys em todos os serviços. A especificação Cross-Device Authentication (CDA) da FIDO Alliance e o trabalho pendente sobre importação/exportação de passkeys — aprovado em princípio em 2024 — devem resolver isso, mas as implementações ainda estão em andamento em meados de 2025.

Implantação empresarial com MDM

Em ambientes empresariais, passkeys vinculadas a dispositivos pessoais criam desafios de política. Se o iPhone pessoal de um funcionário contém a passkey para um serviço corporativo, o que acontece quando ele sai da empresa? A implantação empresarial de passkeys requer integração com MDM, chaves de segurança de hardware (YubiKey, Google Titan) para estações de trabalho compartilhadas e suporte do provedor de identidade (IdP) — Okta, Microsoft Entra ID e Ping Identity agora oferecem suporte a passkeys, mas as implantações empresariais são complexas. Substituir completamente os fluxos de senha LDAP/Active Directory leva anos de planejamento.

Recuperação de conta

As passkeys deslocam o problema de recuperação, em vez de eliminá-lo. Se um usuário perder todos os dispositivos cadastrados e não tiver uma passkey de backup registrada, a recuperação recai em verificação por e-mail, tickets de suporte ou códigos de backup — todos elos mais fracos. Os serviços estão implementando cadastro múltiplo de passkeys (cadastrar no celular e no notebook) e opções de backup entre plataformas, mas a educação do usuário sobre registrar vários autenticadores está atrasada em relação à implantação.

Migração de sistemas legados

Empresas que operam sistemas on-premises — VPNs antigas, sistemas ERP, autenticação em mainframe — enfrentam cronogramas de migração de anos. A autenticação baseada em senha está profundamente embutida em configurações de SSO e ferramentas internas. Realisticamente, ambientes híbridos (passkeys para serviços novos, senhas + MFA para legados) serão a norma até 2027-2028.

O que fazer agora

Para indivíduos

  • Ative passkeys em todos os serviços que as suportam — comece com sua conta Google, Apple ID e GitHub. Esses são os alvos de maior valor para invasores.
  • Registre uma passkey em pelo menos dois dispositivos para cada serviço crítico (celular + notebook) para evitar cenários de bloqueio.
  • Se seu gerenciador de senhas aceita passkeys (1Password, Bitwarden), armazene-as lá para portabilidade entre plataformas.
  • Para serviços que ainda não aceitam passkeys, use 2FA com um aplicativo autenticador — não SMS.

Para equipes empresariais e de TI/segurança

  • Audite o suporte a passkeys do seu IdP agora. Okta, Microsoft Entra, Duo e Ping têm capacidades de passkey — verifique se sua configuração atual as expõe aos usuários.
  • Pilote passkeys para MFA resistente a phishing em 2025. Comece com funções de alto risco: administradores de TI, finanças, executivos. Essas contas são alvos prioritários em campanhas de phishing.
  • Estabeleça política de chaves de segurança de hardware para dispositivos compartilhados ou não gerenciados. YubiKey série 5 e Google Titan Keys suportam FIDO2 e fornecem funcionalidade de passkey sem exigir um dispositivo pessoal.
  • Construa seu roadmap de migração de legados para 2026-2027. Faça um inventário de quais sistemas internos suportam SAML/OIDC — esses podem ser atualizados para suportar passkeys via IdP — e quais exigem upgrades no nível de protocolo ou substituição.
  • Atualize seu playbook de resposta a incidentes. Passkeys eliminam vetores de password spray e phishing, mas o comprometimento de dispositivos se torna a nova superfície de ataque. Garanta que o MDM possa revogar remotamente dispositivos com passkey habilitada.

A senha ainda não morreu — ela coexistirá com passkeys em implantações híbridas por anos. Mas a infraestrutura de autenticação subjacente aos serviços de internet ao consumidor mudou genuinamente. A pergunta para as equipes de segurança não é mais se devem adotar passkeys, mas quão rápido a migração pode acontecer sem quebrar sistemas legados ou bloquear usuários. As ferramentas estão prontas. O cronograma é agora.

cybersecuritypasskeyspasswordlessauthenticationFIDO2WebAuthn
Compartilhar:
Passkeys atingem adoção mainstream — eis como é o fim das senhas na prática | IRCNF - Intelligent Reliable Custom Next-gen Frameworks