A Microsoft está lançando o suporte a passkeys no Microsoft Entra para dispositivos Windows, oferecendo uma autenticação sem senha e resistente a phishing por meio do Windows Hello.
O recurso será opcional e estará disponível em preview público entre meados de março e o final de abril de 2026 para usuários de todo o mundo.
Para ambientes de nuvem governamental (GCC, GCC High e DoD), o lançamento ocorrerá entre meados de abril e meados de maio.
Um ponto importante é que a funcionalidade estende o login sem senha para dispositivos Windows não gerenciados, preenchendo a lacuna que deixava computadores pessoais e compartilhados dependentes de senhas tradicionais.
Segundo a Microsoft, “estamos introduzindo as passkeys do Microsoft Entra no Windows para habilitar um login à prova de phishing em recursos protegidos pelo Entra.
Essa atualização permite que os usuários criem passkeys vinculadas ao dispositivo, armazenadas no contêiner do Windows Hello, e façam a autenticação usando os métodos do Windows Hello, como reconhecimento facial, impressão digital ou PIN”.
Além disso, o recurso amplia a autenticação sem senha para dispositivos Windows que não estão vinculados ou registrados no Entra, fortalecendo a segurança das organizações e reduzindo a dependência de senhas.
As passkeys geradas são criptograficamente ligadas ao dispositivo e nunca são transmitidas pela rede, o que impede que agentes maliciosos as roubem em ataques de phishing ou malware para contornar a autenticação multifator.
Cada conta do Entra registra sua própria passkey por dispositivo, e múltiplas contas podem coexistir em uma mesma máquina.
Porém, como as passkeys são vinculadas a cada dispositivo, não há sincronização entre aparelhos, exigindo registro individual para cada conta em cada equipamento.
Para participar do preview público, os administradores de TI precisam habilitar o método de autenticação Passkeys (FIDO2) nas políticas do Entra, criar um perfil de passkeys com os AAGUIDs necessários do Windows Hello e atribuí-lo aos grupos corretos.
Em maio de 2025, a Microsoft anunciou que todas as novas contas Microsoft seriam “sem senha por padrão”, visando protegê-las contra ataques de phishing, força bruta e credential stuffing.
Um ano antes, a empresa já havia lançado suporte para autenticação via passkeys em contas pessoais Microsoft, após implementar um gerenciador nativo de passkeys para Windows Hello na atualização de recursos 22H2 do Windows 11.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...