Glossário
O que é uma passkey? Login sem senha e sem nada para roubar
Uma passkey é um login sem segredo compartilhado. Seu dispositivo assina com uma chave privada; o servidor guarda só a chave pública — então um vazamento não pode ser abusado e ela não funciona em site falso (resistente a phishing). Como difere de senhas e SMS, e como migrar. Defensivo, sem passos de ataque.
"Pare de usar senhas que podem ser roubadas" — é isso que uma passkey entrega. Veja como funciona e como difere de senhas e códigos SMS (sem passos de ataque).
Como funciona: o segredo nunca sai do dispositivo
Uma passkey roda sobre criptografia de chave pública (o padrão FIDO2 / WebAuthn). No registro, seu dispositivo cria um par de chaves e entrega ao servidor apenas a chave pública. No login, você apenas assina o "desafio" do servidor com a chave privada no seu dispositivo e o envia de volta. A chave privada nunca sai do armazenamento seguro do seu dispositivo.
Senha
você e o servidor compartilham um segredo. roubada se o servidor vazar ou se você digitá-la em um site falso
Passkey
a chave privada fica só no dispositivo. o servidor guarda a chave pública = inútil se vazar
"O servidor tem só a chave pública" é o que importa. Uma chave pública, por definição, pode ser publicada, então mesmo que o banco de dados vaze, ela não pode ser usada para fazer login por si só (a premissa oposta ao armazenamento de senhas → o que é hashing).
Como difere de senha + SMS
Senha + código SMS
- O segredo compartilhado (senha) pode vazar / encadeia via reuso
- Digite-a em um site falso e o código é retransmitido também
- Tende a depender de "eu consigo identificar o falso"
Passkey
- Sem segredo compartilhado = nenhuma string para roubar
- A assinatura está vinculada ao domínio = não se completa em site falso
- Bloqueia o site falso por design, mesmo que o usuário não perceba
O phishing com invasor no meio (AiTM) retransmite o código correto junto com todo o resto, mesmo que você o digite com cuidado (→ o que é phishing). Como a assinatura de uma passkey está atrelada ao domínio, esse caminho fica fechado em princípio.
A visão deste site: você não precisa substituir tudo de uma vez
Passkeys são poderosas, mas você não precisa ficar totalmente sem senha em todas as contas hoje. Nossa posição: migre primeiro as contas importantes. Adicione passkeys às contas "chave do reino" — e-mail, nuvem, o cofre do seu gerenciador de senhas — e configure a recuperação (registre em vários dispositivos, mantenha um backup). Para serviços onde uma senha permanece, proteja-os com um gerenciador de senhas e MFA resistente a phishing, e então migre para passkeys conforme cada serviço adicionar suporte.
Leia a seguir
- Aprenda: como escolher um gerenciador de senhas (ele também cuida do armazenamento/sincronização de passkeys)
- Em duas etapas: escolhendo o MFA do jeito certo (o que significa resistência a phishing)
- Como funciona: como armazenar senhas com segurança / Glossário: o que é phishing
FAQ
QComo uma passkey difere de uma senha?
Uma senha é uma string secreta que você e o servidor compartilham, então qualquer um que a obtiver pode usá-la. Uma passkey não tem segredo compartilhado. Seu dispositivo assina com uma chave privada que ele mantém, e o servidor guarda só a chave pública correspondente. Não há string para roubar, e mesmo que o servidor seja comprometido, a chave pública sozinha não permite fazer login — essa é a diferença fundamental.
QPor que uma passkey é resistente a phishing?
A assinatura de uma passkey está vinculada a qual site (domínio) ela serve. Se um site falso tentar fazer você logar, o domínio não bate, então a assinatura simplesmente não se completa. Mesmo que o usuário nunca perceba o site falso, ela não funciona por design — diferente de senha + código SMS, que um invasor no meio (adversary-in-the-middle) consegue retransmitir por inteiro.
QSe eu perder meu dispositivo, fico trancado para fora?
Na maioria dos casos as passkeys têm backup pela sincronização em nuvem do seu sistema operacional ou gerenciador de senhas e funcionam em outros dispositivos (passkeys sincronizadas). Também é mais seguro registrar passkeys em vários dispositivos/chaves e configurar um método de recuperação. Evite vincular a um único dispositivo sem caminho de recuperação.