Passkeys vs senha: por que o mundo está enterrando a senha

Por Redação

Toda violação de conta que você já leu sobre tem a senha no centro. Vazamento, golpe de phishing, aquela senha reusada que caiu num site e abriu outros dez. Ela é um segredo compartilhado: você sabe, o servidor sabe, e quem interceptar ou te enganar pra digitá-la também passa a saber. Esse modelo está com os dias contados, e não por modismo. Em maio de 2025, a Microsoft passou a criar contas novas sem senha por padrão¹. O Google já tem mais de 400 milhões de contas usando o substituto². E o padrão por trás disso não é propriedade de ninguém: é aberto. Vamos do começo.

O que é uma passkey, em português

Uma passkey troca o segredo compartilhado por um par de chaves criptográficas. Quando você cria uma passkey num serviço, o dispositivo gera duas chaves matematicamente ligadas: a chave pública, que fica no servidor (e não serve pra nada se vazar), e a chave privada, que nunca sai do seu aparelho³. No login, o serviço manda um desafio. Seu celular assina esse desafio com a chave privada, destravada por Face ID, digital ou PIN, e devolve a assinatura. O servidor confere com a chave pública. Você nunca digita nada, e o segredo em si nunca trafega pela rede³.

O detalhe que muda o jogo: a passkey é amarrada ao domínio (origin-bound). A credencial do seu banco só funciona no site real do seu banco. Se um golpista te manda um clone pixel-perfect de bancо.com (com um caractere trocado), a passkey simplesmente não aparece, porque ela não reconhece aquele endereço³. É por isso que se diz que passkey é "resistente a phishing por construção": não dá pra colar a credencial no site errado, porque não existe credencial pra colar.

Tecnicamente, isso roda sobre o padrão FIDO2, que junta o WebAuthn (a API do navegador, mantida pelo W3C) e o CTAP2 (o protocolo entre o navegador e o autenticador)³. O WebAuthn virou recomendação oficial do W3C em março de 2019 e ganhou a versão 2 em abril de 2021⁴. Não é tecnologia de uma Big Tech só: é norma aberta, com Apple, Google e Microsoft como implementadores.

Por que o mundo quer largar a senha

Porque a senha é, estatisticamente, onde o crime entra. O relatório anual da Verizon sobre violações de dados, o DBIR, é referência da indústria, e em 2025 apontou que 22% das violações tiveram credencial comprometida como porta de entrada, e que credenciais roubadas apareceram, de forma mais ampla, em 55% dos casos⁵. Em ataques a aplicações web, a conta fica ainda mais feia: 88% envolveram credenciais roubadas⁵.

A escala do ataque automatizado explica o resto. A Microsoft diz registrar 7.000 ataques de senha por segundo, mais que o dobro de 2023¹. E a senha falha até quando ninguém está te atacando: a própria Microsoft mede 98% de sucesso no login com passkey contra 32% com senha, gente que esquece, erra, desiste¹. A FIDO Alliance estima que 47% dos consumidores abandonam uma compra depois de esquecer a senha⁶. A senha não é só insegura. É cara.

A adoção já é gigante

Não é promessa de futuro. Mais de 1 bilhão de pessoas já ativaram pelo menos uma passkey, e mais de 15 bilhões de contas suportam o login por passkey¹ ⁶. Quase metade dos 100 maiores sites do mundo (48%) já aceita⁶. O Google reporta que passkey é cerca de 50% mais rápido que digitar senha²; a Microsoft fala em registrar quase 1 milhão de passkeys novas por dia¹.

Em outubro de 2025, o Passkey Index da FIDO, feito com dados de Amazon, Google, Microsoft, PayPal, Target, TikTok e outros, estimou 5 bilhões de passkeys em uso ativo, com 26% dos logins dessas empresas já acontecendo por passkey⁷. E o argumento de negócio apareceu: o mesmo levantamento mediu um aumento de cerca de 30% na conversão de login comparado à senha, com tempo médio de 13,6 segundos contra 27,5 da senha⁸. Pra um e-commerce, isso é dinheiro na mesa.

Até o regulador entrou. O NIST, agência americana de padrões que dita boa parte da prática de segurança corporativa, publicou em julho de 2025 a revisão final do seu guia de identidade digital reconhecendo passkeys sincronizadas como nível AAL2 e passkeys presas ao dispositivo como AAL3. Ou seja, tratando autenticador resistente a phishing como linha de base⁹.

Onde ainda dói: portabilidade e recuperação

Nem tudo é vitória, e o ponto fraco é honesto. Por anos, uma passkey criada no iCloud ficava presa na Apple; tirar de lá pra um gerenciador terceiro ou pro Android era difícil ou impossível. Crítica legítima de lock-in.

Isso começou a virar em 2025. Na WWDC de junho, a Apple mostrou import/export de passkeys chegando ao iOS 26 e macOS 26, usando um padrão aberto da FIDO (o Credential Exchange Protocol) pra transferir credenciais de app para app, com biometria e sem arquivo de texto puro no meio¹⁰. O iOS 26 saiu em 15 de setembro de 2025, e gerenciadores como Bitwarden e 1Password anunciaram suporte¹⁰. A muralha entre ecossistemas está caindo.

O problema mais espinhoso é a recuperação de conta. Se você perder todos os dispositivos cadastrados, cai num caminho de backup (e-mail, código) que pode, ele mesmo, ser alvo de phishing¹¹. Uma revisão acadêmica de 2025 sobre adoção de passkeys aponta exatamente isso, recuperação e dependência de dispositivo, como os maiores entraves¹². Matar a senha sem resolver bem o "e se eu perder tudo?" só empurra o elo fraco pra outro lugar.

O que a comunidade diz

A leitura das comunidades técnicas (Hacker News, r/sysadmin, r/cybersecurity, r/Bitwarden, r/1Password) é de otimismo cauteloso, mas dividido, e tudo aqui é opinião, não fato. Quase ninguém defende a senha; o consenso é que ela já era. A briga é sobre a execução.

De um lado, o entusiasmo de quem usa gerenciador terceiro: com o vault certo, sincronizar passkey entre celular e desktop "simplesmente funciona", e a chegada do padrão de export/import foi comemorada como a saída do lock-in. De outro, duas ansiedades recorrentes. A primeira é o lockout. Numa thread movimentada do Hacker News, voltava sempre o medo de "viajar sem o celular e ficar trancado pra fora". A segunda é o fallback. O argumento cético é que, se a recuperação ainda passa por SMS ou pergunta secreta, "na prática não fica mais seguro que senha, o elo mais fraco manda". Um relato virou quase meme: usuários trancados fora da conta Amazon depois de perder o dispositivo com a passkey, citados como prova de que má implementação queima o filme de uma boa ideia. A defesa mais repetida fechava o tom: passkey é como cinto de segurança, não é 100% infalível, mas "não-100%-infalível" não é o mesmo que inútil. O ganho é populacional.

Veredito

A senha está acabando, e isso é bom. A criptografia da passkey resolve de fato os três maiores furos do modelo antigo (senha reusada, vazamento no servidor e phishing), e a adoção já passou do ponto de não-retorno: bilhões de contas, regulador a bordo, plataformas tornando o passwordless o padrão. A parte legítima da crítica não é a tecnologia, é a execução: lock-in (que está sendo resolvido com o padrão de export/import) e recuperação de conta (que ainda não está). Pro usuário comum hoje, o caminho mais sólido é ligar passkeys onde der, mas guardá-las num gerenciador cross-platform em vez de ficar refém de um único ecossistema, e tratar a recuperação da sua conta-mãe (Apple, Google ou Microsoft) como o ativo mais valioso que você tem. A senha não morre amanhã. Mas, pela primeira vez em décadas, tem data de validade.

---

Fontes

1. "Pushing passkeys forward: Microsoft's latest updates for simpler, safer sign-ins" · Microsoft Security Blog · https://www.microsoft.com/en-us/security/blog/2025/05/01/pushing-passkeys-forward-microsofts-latest-updates-for-simpler-safer-sign-ins/ · 2025-05-01.
2. "Google shares update on passkeys and new ways to protect accounts" · Google (blog.google) · https://blog.google/innovation-and-ai/technology/safety-security/google-passkeys-update-april-2024/ · 2024-05-02.
3. "What Is a FIDO Passkey?" / "What Is FIDO2?" · Akamai / Microsoft Security · https://www.akamai.com/glossary/what-is-a-fido-passkey · https://www.microsoft.com/en-us/security/business/security-101/what-is-fido2 · acessado 2026-06-18.
4. "Web Authentication: An API for accessing Public Key Credentials" (WebAuthn L1 / L2) · W3C · https://www.w3.org/TR/webauthn-2/ · L1 Recommendation 2019-03-04, L2 2021-04-08.
5. "2025 Data Breach Investigations Report (DBIR)" · Verizon Business · https://www.verizon.com/business/resources/reports/dbir/ · 2025.
6. "FIDO Alliance Champions Widespread Passkey Adoption... on World Passkey Day 2025" · FIDO Alliance · https://fidoalliance.org/fido-alliance-champions-widespread-passkey-adoption-and-a-passwordless-future-on-world-passkey-day-2025/ · 2025-05-01.
7. "Passkey Index 2025" · FIDO Alliance + Liminal · https://fidoalliance.org/passkey-index-2025/ · 2025-10-14.
8. "FIDO Alliance Launches Passkey Index, Proving 30% Conversion Lift Over Passwords" · ID Tech Wire · https://idtechwire.com/fido-alliance-launches-passkey-index-proving-30-conversion-lift-over-passwords/ · 2025-10-17.
9. "NIST SP 800-63B-4 — Digital Identity Guidelines: Authentication and Lifecycle Management" · NIST · https://csrc.nist.gov/pubs/sp/800/63/b/ · Rev. 4, julho/2025.
10. "iOS 26: Apple solved one of the biggest passkey headaches" · 9to5Mac · https://9to5mac.com/2025/06/13/ios-26-passkeys-password-transfer/ · 2025-06-13 (Apple WWDC25, sessão 279; iOS 26 lançado 2025-09-15).
11. "Passkeys aren't the finish line: Eliminating fallbacks and fixing recovery" · Microsoft Entra Blog · https://techcommunity.microsoft.com/blog/microsoft-entra-blog/passkeys-arent-the-finish-line-eliminating-fallbacks-and-fixing-recovery · 2025.
12. "Challenges and Potential Improvements for Passkey Adoption — A Literature Review with a User-Centric Perspective" · Applied Sciences (MDPI), vol. 15, art. 4414 · https://www.mdpi.com/2076-3417/15/8/4414 · 2025 · DOI: 10.3390/app15084414.

Comunidade (opinião, fora da lista de fontes): Hacker News (thread sobre passkeys, news.ycombinator.com/item?id=42442639); r/sysadmin, r/cybersecurity, r/Bitwarden, r/1Password, r/apple (sentimento agregado).