Vazamentos de credenciais viraram rotina. Todo mês surgem novos bancos de dados expostos, colocando em risco desde contas de email até dinheiro em serviços financeiros. Nesse cenário, a indústria de tecnologia começou a acelerar a adoção de um modelo que promete matar de vez as senhas: as passkeys.
Gigantes como Google, Microsoft e Apple já abraçaram a ideia, mas fora do mundo tech pouca gente sabe que essa alternativa já existe e está pronta para uso no dia a dia.
O que é uma passkey
Passkey, ou chave de acesso, é uma credencial digital que permite entrar em uma conta sem digitar login e senha. Em vez disso, o sistema usa um dispositivo confiável — normalmente o seu celular ou computador — para confirmar que você é realmente você.
Essa tecnologia foi criada pela FIDO Alliance, um consórcio que reúne empresas e especialistas em segurança para desenvolver padrões de autenticação sem senha. O modelo funciona com duas chaves criptográficas:
-
uma chave pública, guardada no servidor do serviço (como Gmail ou GitHub)
-
uma chave privada, que fica protegida no seu dispositivo
Essas duas chaves trabalham juntas. Quando você tenta entrar em uma conta, o serviço envia um desafio para o seu dispositivo, e ele responde usando a chave privada depois que você confirma sua identidade por biometria, PIN ou padrão de desbloqueio.
Como o login funciona na prática
Ao acessar um site que usa passkey, você escolhe a opção “Entrar com chave de acesso”. O sistema então pede para você se autenticar no seu celular ou computador, usando impressão digital, reconhecimento facial ou um PIN.
Se a verificação for válida, o acesso é liberado na hora. Nenhuma senha é digitada, nada é enviado pela rede que possa ser roubado.
Esse autenticador pode ser o próprio sistema do celular, do PC ou até um gerenciador de senhas que suporte passkeys.
Passkey x senha tradicional
A senha é um segredo que você precisa lembrar, digitar e proteger. Se alguém descobre esse segredo, pronto: sua conta já era.
A passkey funciona de outro jeito. Você não “sabe” a chave privada. Ela fica armazenada com segurança no seu dispositivo e nunca sai de lá. O que você faz é provar que é o dono daquele dispositivo, usando biometria ou PIN.
Além disso, enquanto senhas podem ser reutilizadas (e quase todo mundo faz isso), cada passkey é única para cada site. Não existe “senha fraca” nem “senha repetida”.
Por que passkeys são muito mais seguras
Phishing é o golpe mais comum da internet. Você entra em um site falso, digita sua senha, e o criminoso agradece. Com passkeys, isso praticamente não funciona.
A chave de acesso é criada para um site específico. Se você cair em uma página falsa, a passkey simplesmente não responde. Mesmo que você tente, ela não vai funcionar fora do domínio original.
Mesmo em um grande vazamento de dados, o estrago também é limitado. Os servidores guardam apenas a chave pública, que sozinha não permite acesso a nada. A chave privada continua presa ao seu dispositivo, longe dos atacantes.
Ataques de força bruta, que tentam milhões de combinações, também perdem sentido, porque não existe uma senha para adivinhar.
E se o celular for roubado
Esse é um medo comum, mas o modelo já considera isso. Mesmo com o seu celular em mãos, um criminoso não consegue usar suas passkeys sem sua biometria ou PIN.
Além disso, as chaves podem ser sincronizadas em vários dispositivos. Se você trocar de celular, basta configurar um novo e continuar usando suas contas normalmente.
Onde já dá para usar passkeys
Vários serviços grandes já suportam chaves de acesso, incluindo Gmail, Microsoft, iCloud, GitHub, Discord, PayPal, LinkedIn e outros. Amazon, Uber e até os backups do WhatsApp também permitem login com biometria e PIN no lugar da senha.
Ainda não é universal, mas o movimento é claro: a internet está migrando.
Vantagens e limitações
O maior ganho é a segurança. Passkeys reduzem drasticamente phishing, vazamentos e invasões. Também acabam com o estresse de lembrar senhas longas e complicadas.
Por outro lado, a tecnologia ainda não está disponível em todos os sites e exige sistemas operacionais mais recentes. Outro ponto é a dependência do dispositivo autenticador. Se você ficar sem ele ou sem bateria, pode ter que recorrer a métodos alternativos.
Existe também uma barreira cultural. Muita gente ainda confia mais em algo que digita do que em algo que o celular valida por trás dos bastidores.
O futuro sem senhas
As passkeys não são um experimento. Elas já estão em produção e evoluem rápido graças à FIDO Alliance e às grandes empresas de tecnologia. O objetivo é simples: tirar da internet um dos seus pontos mais frágeis, que são as senhas.
Aos poucos, o login vai deixar de ser um campo de texto e virar um gesto: olhar para a câmera, encostar o dedo no sensor ou confirmar no celular. Menos fricção, menos golpes, menos dor de cabeça. A web agradece.
