Há muito tempo sabemos que as senhas apresentam falhas significativas. Seja por phishing, ataques de força bruta ou dicionários de senhas, a autenticação baseada em senhas continua sendo uma das maiores vulnerabilidades da cibersegurança.
De acordo com o relatório Data Breach Investigations Report 2025, da Verizon, 88% das violações envolveram o uso de credenciais roubadas.
Por isso, um número crescente de organizações está investindo em autenticação passwordless, com as passkeys se destacando como uma das principais alternativas para substituir completamente as senhas tradicionais.
A FIDO Alliance, protagonista no desenvolvimento dos padrões de autenticação sem senha, aponta que 54% dos usuários consideram as passkeys mais convenientes que as senhas, e 53% acreditam que são mais seguras.
Mas, afinal, o que são passkeys? E elas são realmente tão seguras quanto o esperado? Vamos entender.
Passkeys são um método de autenticação sem senha que se baseia em criptografia de chave pública.
Em vez de depender de algo que você lembra (como uma senha), as passkeys usam algo que você possui — geralmente um dispositivo, como smartphone, laptop ou uma chave de segurança.
O funcionamento é simples:
- Ao criar uma passkey, seu dispositivo gera um par de chaves: uma pública e uma privada.
- A chave pública fica armazenada no serviço onde você realiza o login.
- A chave privada permanece protegida exclusivamente no seu dispositivo, nunca sendo compartilhada.
- Para acessar a conta, seu dispositivo usa a chave privada para assinar um desafio (challenge), comprovando sua identidade sem expor nenhum segredo.
Em resumo: sim, as passkeys são mais seguras.
Diferente das senhas, elas não podem ser roubadas via phishing, não são reutilizáveis entre sites e não podem ser descobertas por ataques de força bruta.
Cada passkey é única para o site ou app, armazenada localmente e protegida por autenticação local, como biometria ou PIN.
Mesmo que um invasor comprometa o banco de dados de uma empresa, ele só encontrará as chaves públicas — que são inúteis sem a chave privada, disponível somente no dispositivo do usuário.
Isso torna as passkeys muito mais resistentes que as senhas convencionais.
Diversas organizações já estão adotando a autenticação passwordless utilizando passkeys.
Em maio de 2025, a Microsoft deu um passo significativo ao tornar o acesso “passwordless by default” para todas as contas novas.
O cadastro não exige mais senhas, e os usuários podem se autenticar com passkeys, notificações push ou chaves de segurança física.
Segundo a empresa, cerca de 1 milhão de passkeys são registradas diariamente, com uma taxa de sucesso de login de 98%, contra apenas 32% das senhas.
Outra referência é a Aflac, uma importante seguradora dos Estados Unidos, que foi a primeira grande companhia do setor a implementar passkeys, conforme a FIDO Alliance.
Com isso, a empresa reportou uma redução de 32% nas solicitações de recuperação de senhas, além de evitar cerca de 30.000 ligações mensais relacionadas a problemas de identidade em seu suporte.
Por que as passkeys têm ganhado espaço?
- Segurança aprimorada: eliminam vetores comuns de ataque, como phishing e credential stuffing, pois a chave privada nunca sai do dispositivo e não pode ser adivinhada.
- Experiência do usuário simplificada: o login é rápido e fácil, bastando um reconhecimento facial ou impressão digital, eliminando a necessidade de decorar senhas longas.
- Menor custo de suporte: com menos problemas relacionados a senhas, as equipes de helpdesk recebem menos chamados.
- Compatibilidade entre plataformas: as passkeys funcionam em diferentes dispositivos e navegadores, seguindo padrões da indústria, garantindo autenticação segura onde quer que o usuário esteja.
No entanto, ainda há desafios a superar.
Pesquisa da FIDO Alliance aponta as principais barreiras para as organizações: complexidade (43%), custos (33%) e falta de clareza (29%).
Veja algumas limitações:
- Dependência do dispositivo: como as passkeys estão vinculadas ao aparelho do usuário, perder o acesso ao dispositivo pode tornar a recuperação de conta complicada e demorada.
- Configuração complexa: implementar sistemas compatíveis com passkeys requer mudanças na infraestrutura, o que pode ser difícil em ambientes maiores ou legados.
- Compatibilidade limitada: nem todos os serviços suportam passkeys atualmente, e empresas que dependem de softwares antigos podem precisar manter sistemas híbridos, o que pode complicar a segurança.
- Investimento inicial: além de alterações técnicas, é necessário investir em treinamento dos usuários, o que pode ser proibitivo para algumas organizações.
- Educação do usuário: como as passkeys ainda são novidade, muitos usuários desconhecem seu funcionamento, tornando a adoção um processo gradual que demanda comunicação e suporte robustos.
As passkeys avançam rapidamente rumo à adoção em massa, especialmente em ambientes com alta exigência de segurança e aplicações mobile-first.
Mas isso não significa que as senhas desaparecerão tão cedo.
Existem muitos cenários onde a implementação total de passkeys ainda não é viável, como sistemas legados sem suporte ou usuários sem dispositivos compatíveis.
Na transição, o cenário mais provável é o uso de modelos híbridos, com a promoção das passkeys e a manutenção das senhas como plano de contingência.
Por isso, é fundamental continuar aplicando boas práticas de segurança para senhas enquanto elas estiverem em uso. Mesmo com a ascensão das passkeys, as senhas continuam presentes — e precisam ser protegidas adequadamente.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...