Toda vez que iniciamos sessão em uma conta ou desbloqueamos um dispositivo, precisamos provar que temos autorização para acessá-lo. Historicamente, essa prova assumiu a forma de uma senha: uma sequência secreta que precisamos memorizar ou armazenar em um gerenciador de senhas.

Uma Passkey difere de uma senha porque vincula o acesso a algo que você possui fisicamente — um token criptográfico armazenado no seu telefone, laptop ou chave de segurança — junto com um fator biométrico, como uma impressão digital ou escaneamento facial.

Uma forma comum de descrever a diferença é:

  • Senha = algo que você sabe
  • Passkey = algo que você tem + quem você é

Embora ambos os métodos concedam acesso, as formas como eles atingem esse objetivo diferem e podem impactar significativamente a segurança e a usabilidade.

O que é uma Passkey?

Uma Passkey é como uma senha que fica no seu dispositivo e pode ser verificada pelas contas nas quais você está iniciando sessão usando criptografia. As Passkeys se baseiam no padrão FIDO2 (definido pela FIDO Alliance(nova janela)) e na API WebAuthn.

Veja como funciona:

Quando uma Passkey é criada, seu gerenciador de senhas gera um conjunto pareado de chaves criptográficas: uma chave pública e uma chave privada.

  • A chave pública é compartilhada com o serviço no qual você está se registrando.
  • A chave privada permanece no seu gerenciador de senhas ou dispositivo e nunca sai dele.

Durante uma tentativa de início de sessão, o serviço emite um desafio aleatório. Seu dispositivo usa a chave privada no seu dispositivo para assinar esse desafio, produzindo uma resposta que só a chave privada correspondente poderia gerar. O serviço então verifica a assinatura com a chave pública armazenada anteriormente, confirmando que você é o titular legítimo da conta.

Como a chave privada nunca sai do seu dispositivo, um site de phishing não consegue enganar você para entregá-la, tornando as Passkeys intrinsecamente resistentes a phishing.

Leia mais sobre Passkeys

Comparação de segurança: Passkey vs senha

Usar uma senha ou Passkey depende de vários fatores. Nem todo site oferece Passkeys como opção. Mas, para os sites que oferecem, há vários motivos para considerar a mudança.

As Passkeys são consideradas mais seguras do que senhas porque a chave secreta nunca sai do seu dispositivo. Mesmo que alguém engane você com um site falso, intercepte o tráfego de rede ou tente um ataque de força bruta, essa pessoa não conseguirá obter a chave privada — ela fica guardada no seu telefone, computador ou em um dongle de chave de segurança. Desde que você proteja o dispositivo com um PIN, impressão digital ou outra forma de autenticação de dois fatores (A2F) e tenha um método de recuperação confiável, uma Passkey oferece uma configuração de segurança mais forte e mais resistente a phishing do que uma senha comum.

RecursoPasskeysSenhas
Método de autenticaçãoCriptografia de chave pública (chave privada armazenada no dispositivo)Sequência secreta memorizada pelo usuário
Resistência a phishingAltaBaixa
Opções de recuperaçãoBackup do dispositivo, fluxo de recuperação da contaRedefinição por e-mail, perguntas de segurança
Experiência do usuárioBiometria ou PINDigitação ou preenchimento automático
CompatibilidadeEm crescimentoSuporte universal
Vulnerabilidade à reutilizaçãoSempre única por siteProblema comum

Usabilidade e experiência do usuário com Passkey

Além das vantagens de segurança de usar uma Passkey, há outros benefícios:

  • As Passkeys tornam o início de sessão mais rápido porque o fluxo de autenticação é reduzido a um único toque ou olhar, removendo o atrito de inserir senhas manualmente ou redefinir senhas esquecidas.
  • Muitos gerenciadores de senhas podem sincronizar Passkeys com segurança entre seus dispositivos. Como resultado, uma Passkey criada em um smartphone pode ser usada em um laptop, tablet ou outro telefone sem exigir um novo registro. O Proton Pass funciona em qualquer plataforma ou dispositivo, então você pode usar Passkeys em qualquer site que ofereça suporte a elas.

Desvantagens e casos extremos de Passkey

Embora as Passkeys ofereçam segurança forte e uma experiência de início de sessão sem atrito, elas não são uma solução milagrosa. Ainda existem algumas situações em que usar uma Passkey pode apresentar desafios.

Perda e recuperação de dispositivo

Se o dispositivo em que sua Passkey está armazenada for perdido, roubado ou danificado, você terá que contar com mecanismos de backup para recuperar o acesso. Recuperar uma Passkey geralmente exige um dispositivo secundário ou uma frase de recuperação, então, se você não tiver um fluxo de recuperação bem projetado, corre o risco de perder o acesso às suas contas.

Lacunas de adoção

Alguns sites e aplicativos ainda não implementaram os padrões WebAuthn/FIDO2 que viabilizam as Passkeys. Mesmo entre os que implementaram, o suporte a Passkey pode ser limitado a determinados ecossistemas ou sistemas operacionais.

Limitações de hardware antigo

Dispositivos legados, como smartphones mais antigos, laptops sem sensores biométricos ou navegadores sem suporte a WebAuthn, não conseguem gerar nem armazenar Passkeys.

Quando ainda preciso de uma senha?

Além de ter uma senha configurada como alternativa, há algumas situações em que uma senha tradicional é necessária como seu método principal de acesso.

1. Sites sem suporte a Passkey

Até que a adoção de Passkey seja ampla, você ainda pode precisar contar com senhas em alguns sites. Nesse caso, você pode configurar métodos de A2F, como um OTP, para aumentar a segurança.

2. Cenários com computador público ou compartilhado

Se você não estiver usando seu próprio dispositivo, inserir uma senha (idealmente combinada com A2F) permite acesso temporário sem deixar credenciais persistentes para trás.

3. Políticas organizacionais e requisitos de conformidade

Regulamentos da empresa, incluindo padrões governamentais ou financeiros, podem exigir configurações multifator que ainda incluam um componente de senha ou determinar a rotação periódica de senhas para fins de auditoria. Além disso, soluções corporativas de single sign-on (SSO) às vezes integram Passkeys apenas como um fator opcional, com as senhas permanecendo como a credencial principal.

Como adotar Passkeys

Migrar para Passkeys é relativamente simples.

  1. Ative o suporte a Passkey no seu sistema operacional
  2. Baixe um gerenciador de senhas
    • Escolha um gerenciador de senhas compatível com armazenamento de Passkey, como o Proton Pass.
  3. Adicione Passkeys ao seu gerenciador de senhas
    • Importe Passkeys existentes ou crie novas diretamente no aplicativo.
  4. Registre Passkeys em serviços compatíveis
    • Ao criar conta ou iniciar sessão em um site que oferece “Iniciar sessão com Passkey”, selecione essa opção.
  5. Configure um método de recuperação
    • Ative um dispositivo secundário para armazenar uma cópia da Passkey e anote qualquer frase de recuperação que o serviço fornecer.

Perguntas frequentes

Posso usar uma Passkey se não tiver um gerenciador de senhas?

Sim, pode. A maioria dos sistemas operacionais modernos armazena Passkeys localmente (iCloud Keychain em dispositivos Apple, Google Password Manager no Android, Windows Hello no Windows). Um gerenciador de senhas dedicado pode simplificar a sincronização entre dispositivos e fornecer uma camada extra de backup, mas não é obrigatório para usar Passkeys.

Posso usar Passkeys em dispositivos antigos?

As Passkeys exigem que o sistema operacional e o navegador ofereçam suporte aos padrões WebAuthn/FIDO2. Plataformas modernas (iOS 15+, Android 14+, versões recentes do macOS, Windows 10 1903+ e versões atualizadas de Chrome/Edge/Firefox/Safari) funcionam prontas para uso. Telefones mais antigos, navegadores legados ou dispositivos anteriores ao iOS 15/Android 13 não têm esse suporte, então você não conseguiria usar uma Passkey nesses dispositivos.

Qual é a diferença entre uma Passkey e um token físico?

Uma Passkey é uma credencial armazenada em um dispositivo ou em um gerenciador de senhas e sincronizada com segurança entre seus dispositivos. Um token físico (por exemplo, uma YubiKey) é uma chave de hardware independente que você precisa inserir no seu dispositivo. Um token físico não armazena a chave privada no dispositivo host, o que oferece isolamento, mas exige que você carregue o token e gerencie backups. Ambas as opções oferecem autenticação sem senha e resistente a phishing, mas as Passkeys priorizam conveniência e sincronização, enquanto os tokens físicos priorizam isolamento de hardware.

Posso usar uma Passkey no meu PC com Windows?

Sim, versões modernas do Windows 10/11 oferecem suporte a Passkeys por meio do Windows Hello. Depois de ativar “Passwordless sign-in” em Configurações, você pode se registrar e se autenticar com uma impressão digital, reconhecimento facial ou um PIN que desbloqueia a chave privada armazenada no trusted platform module (TPM). Um TPM é um chip minúsculo e resistente a adulterações, integrado à maioria dos PCs modernos, laptops e alguns tablets. Seu objetivo é fornecer uma raiz de confiança em hardware para operações críticas de segurança.

O que acontece se eu perder meu telefone?

Se o seu telefone tiver a única cópia de uma Passkey, você precisará de um método de backup pré-configurado para recuperar o acesso. Normalmente, isso é outro dispositivo, um gerenciador de senhas ou uma frase de recuperação fornecida pelo serviço. Sem um backup, você terá que seguir o fluxo de recuperação de conta do serviço.