Guiadas pela FIDO Alliance e apoiadas por Apple, Google e Microsoft, as passkeys amadureceram para Adotar (Adopt). Elas são credenciais FIDO2 que podem substituir senhas usando criptografia de chave pública assimétrica. A chave privada é armazenada em um enclave seguro apoiado por hardware no dispositivo da pessoa usuária, protegida por biometria ou um PIN, e nunca sai de lá. Cada credencial é vinculada à origem do seu domínio na parte confiante (relying-party), tornando as chaves de acesso estruturalmente resistentes a phishing: um site sósia não recebe nada, diferente dos códigos OTP por SMS ou TOTP que um proxy de phishing pode interceptar. Com o phishing sendo responsável por mais de um terço de todas as violações de dados, essa resistência estrutural é cada vez mais importante. O FIDO Alliance Passkey Index 2025 relata que existem mais de 15 bilhões de contas elegíveis globalmente, o Google relata uma melhoria de 30% nas taxas de sucesso de login em 800 milhões de pessoas usuárias e a Amazon registrou logins seis vezes mais rápidos do que usando métodos tradicionais. A NIST SP 800-63-4 (julho de 2025) agora classifica as chaves de acesso sincronizadas como em conformidade com AAL2, revertendo orientações anteriores, e reguladores nos Emirados Árabes Unidos, Índia e agências federais dos EUA exigem autenticação resistente a phishing para serviços financeiros e sistemas governamentais. O FIDO Credential Exchange Protocol permite a portabilidade segura de chaves de acesso entre gerenciadores de credenciais, resolvendo preocupações anteriores de vendor lock-in. Os principais provedores de identidade, incluindo Auth0, Okta e Azure AD, agora suportam chaves de acesso como um recurso de primeira classe, e a implementação foi simplificada de um esforço de vários meses para um projeto de duas sprints. Nós adotamos chaves de acesso internamente e as tratamos como o ponto de partida padrão para novas implementações de autenticação. Os times devem projetar a recuperação de contas com cuidado e evitar caminhos de fallback sujeitos a phishing, como SMS OTP, que reintroduz as vulnerabilidades que as chaves de acesso eliminam. Credenciais vinculadas ao dispositivo em chaves de segurança de hardware continuam sendo necessárias para cenários AAL3, como acesso privilegiado.
Orientadas pela aliança FIDO e apoiadas pela Apple, Google e Microsoft, as passkeys estão se aproximando da usabilidade convencional. A configuração de um novo login com passkeys gera um par de chaves: o site recebe a chave pública e a usuária fica com a chave privada. O processamento do login usa criptografia assimétrica. A usuária prova que está de posse da chave privada, que é armazenada no dispositivo da usuária e nunca é enviada ao site. O acesso às senhas é protegido por meio de biometria ou de um PIN. As chaves de acesso podem ser armazenadas e sincronizadas dentro dos grandes ecossistemas de tecnologia, usando o iCloud Keychain da Apple, o Password Manager do Google ou o Windows Hello. Para usuárias de várias plataformas, o Client to Authenticator Protocol (CTAP) possibilita que as senhas sejam mantidas em um dispositivo diferente daquele que cria a chave ou que precisa dela para o login. A objeção mais comum ao uso de chaves de acesso alega que elas são um desafio para as usuárias menos experientes em tecnologia, o que acreditamos ser contraditório. Em geral, essas são as mesmas usuárias que têm pouca disciplina com senhas e que, portanto, se beneficiam mais com métodos alternativos. Na prática, os sistemas que usam passkeys podem recorrer a métodos de autenticação mais tradicionais, se necessário.
O "fim das senhas" pode estar próximo, finalmente. Gerenciadas pela FIDO Alliance e apoiados pela Apple, Google e Microsoft, passkeys estão se aproximando da usabilidade convencional. Ao configurar um novo login com passkeys, um par de chaves é gerado: o site recebe a chave pública e a usuária fica com a chave privada. A verificação do login usa criptografia assimétrica. A usuária prova que está de posse da chave privada mas, ao contrário das senhas, ela nunca é enviada ao site. Nos dispositivos das usuárias, o acesso às senhas é protegido por biometria ou PIN.
As chaves podem ser armazenadas e sincronizadas nos ecossistemas das Big Techs, usando o iCloud Keychain da Apple, o Google Password Manager ou o Windows Hello. Na maioria dos casos, isso funciona apenas com versões recentes do sistema operacional e do navegador. O armazenamento de chaves no Windows Hello não é suportado no Windows 10. Felizmente, porém, o CTAP - Protocolo Cliente para Autenticador) torna possível que as passkeys sejam mantidas em um dispositivo diferente daquele que cria a chave ou precisa dela para o login. Por exemplo, uma usuária cria uma chave de acesso para um site no Windows 10 e a armazena em um iPhone digitalizando um código QR. Como a chave é sincronizada via iCloud, a usuária pode fazer login no site a partir, digamos, de seu MacBook. As chaves também podem ser armazenadas em chaves de segurança de hardware, e o suporte para aplicativos nativos chegou no iOS e no Android. Apesar de alguns problemas de usabilidade – por exemplo, o Bluetooth precisa funcionar porque a proximidade do dispositivo é verificada quando um código QR é escaneado – vale a pena considerar passkeys. Sugerimos que você as experimente em passkeys.io para ter uma ideia de sua usabilidade.
