Pesquisadores do site de cibersegurança Cybernews identificaram mais de 19 bilhões de combinações de login e senha expostas em bases de dados na internet só no primeiro trimestre de 2025. Cerca de 94% dessas senhas eram reutilizadas em mais de um serviço, o que significa que um vazamento em uma rede social pode abrir a porta de um e-mail pessoal ou de um sistema bancário.

No Brasil, o prejuízo financeiro médio de um vazamento de dados chegou a R$ 7,19 milhões em 2025, segundo o relatório Cost of a Data Breach da IBM. Com números assim, não é difícil entender a desconfiança que surgiu em torno do modelo de proteção baseado em senhas. Para contornar o problema, as grandes empresas de tecnologia agora apostam nas passkeys, que são chaves de acesso que dispensam senhas e usam a biometria do próprio dispositivo para autenticar o usuário.

As passkeys são credenciais digitais baseadas em criptografia assimétrica, desenvolvidas pela FIDO Alliance (consórcio que reúne empresas como Google, Apple e Microsoft) em conjunto com o W3C. Em vez de digitar uma senha, o usuário confirma a identidade por impressão digital, reconhecimento facial ou PIN do celular ou computador. O login acontece sem que nenhuma informação sensível trafegue pela rede. Em 2026, a FIDO Alliance estimou que 5 bilhões de passkeys já estão em uso no mundo, e 75% dos consumidores ativaram ao menos uma chave de acesso em suas contas.

O que são as passkeys?

Uma passkey (ou chave de acesso) é uma credencial digital que substitui a senha tradicional no login de sites e aplicativos. Ela funciona com um par de chaves criptográficas: uma pública, armazenada no servidor do serviço (como Google ou um banco), e uma privada, que fica protegida dentro do dispositivo do usuário.

A chave privada nunca sai do aparelho. Quando o usuário tenta acessar uma conta, o serviço envia um desafio criptográfico, e o dispositivo usa a chave privada para responder. A autenticação só é liberada depois que o usuário confirma a identidade por biometria (digital ou rosto) ou pelo PIN de desbloqueio do aparelho. O servidor confere a resposta com a chave pública e concede o acesso.

O padrão técnico por trás das passkeys é o FIDO2, que combina o protocolo WebAuthn (para comunicação entre sites e navegadores) e o CTAP (para comunicação entre dispositivos e autenticadores). Esse padrão é aberto e impede que cada fabricante crie um sistema incompatível com os demais.

Como as passkeys funcionam no dia a dia?

Na criação de uma conta (ou na ativação da passkey em uma conta já existente), o dispositivo gera o par de chaves de forma automática. A chave pública vai para o servidor; a privada fica no aparelho, protegida pelo sistema de autenticação local — Face ID, Touch ID, Windows Hello ou o PIN de desbloqueio. O login seguinte acontece da seguinte forma:

1. O usuário acessa o site ou app e seleciona a opção de login com passkey;
2. O serviço envia um desafio criptográfico para o dispositivo;
3. O aparelho pede a confirmação biométrica (digital, rosto) ou o PIN;
4. Após a confirmação, a chave privada assina o desafio e envia a resposta ao servidor;
5. O servidor valida a assinatura com a chave pública e libera o acesso.

Todo esse processo leva poucos segundos. O usuário não digita senha e não precisa receber códigos por SMS ou abrir um app de autenticação separado.

As passkeys podem ser sincronizadas entre dispositivos por meio de serviços na nuvem — como o iCloud Keychain (Apple), o Google Password Manager (Android e Chrome) e o Microsoft Authenticator, o que permite que uma passkey criada no celular funcione no tablet ou no computador, desde que os dispositivos estejam conectados à mesma conta.

Qual a diferença entre passkey e senha tradicional?

A diferença mais relevante está na forma como cada método protege o acesso. Uma senha é uma sequência de caracteres que o usuário cria, memoriza e digita a cada login. Ela pode ser adivinhada, reutilizada, interceptada por malware ou exposta em vazamentos de servidores.

Uma passkey não depende de memorização e não pode ser digitada — ela existe como um par de chaves criptográficas, e a chave privada nunca é transmitida pela rede.

Em um ataque de phishing, por exemplo, o criminoso cria uma página falsa que imita o site verdadeiro para capturar a senha do usuário. Com passkeys, esse golpe não funciona, visto que a chave está vinculada ao domínio real do serviço e não pode ser acionada em uma página fraudulenta. Mesmo que o usuário acesse um site falso por engano, a passkey não será ativada.

Outro ponto é a resistência a vazamentos em massa. Quando um servidor é invadido, o que os criminosos obtêm é a chave pública — que, sozinha, não permite acessar a conta. A chave privada permanece no dispositivo do usuário, protegida pela biometria.

Em caso de perda ou roubo do celular, o criminoso não consegue usar as passkeys armazenadas sem a impressão digital ou o reconhecimento facial do proprietário. E ao adquirir um novo aparelho, o usuário pode restaurar as chaves via a nuvem (iCloud, Google, Microsoft) e criar novas passkeys nos serviços que precisar.

Vale a pena usar passkeys?

Sim, para a maioria dos usuários. As passkeys eliminam os riscos mais comuns do modelo de senhas — reutilização, fragilidade, phishing e dependência de memorização — sem exigir nenhum conhecimento técnico.

A principal limitação é a compatibilidade, já que nem todos os sites e aplicativos aceitam passkeys. Entre os 100 maiores sites do mundo, cerca de 50% a 60% já oferecem suporte, segundo dados do setor. Serviços como Google, Apple, Microsoft, Amazon, PayPal, LinkedIn, GitHub, Discord e WhatsApp (para proteção de backups) permitem login com passkey. Mas plataformas menores, regionais ou corporativas podem não ter o recurso habilitado.

Outra questão é a transição. A maioria dos serviços que aceita passkeys mantém a senha como método secundário de login. Isso significa que, durante o período de migração, as duas opções convivem — o que pode ser conveniente para quem ainda não configurou passkeys em todos os dispositivos.

Para quem trabalha com dados sensíveis, a passkey pode ser combinada com autenticação multifator (MFA) — por exemplo, passkey no celular mais chave de segurança física (como uma YubiKey). Essa camada adicional é recomendada para contas corporativas, bancárias ou de administração de sistemas.

Como configurar passkeys no Google, na Apple e na Microsoft?

A ativação segue uma lógica parecida nas três plataformas: o usuário acessa as configurações de segurança da conta, cria a passkey e confirma com biometria ou PIN. Veja o passo a passo de cada uma.

No Google (Android, Chrome, Gmail)

1. Acesse myaccount.google.com e faça login;
2. Vá em Segurança e depois em Chaves de acesso e chaves de segurança;
3. Toque em Criar uma chave de acesso;
4. Confirme a identidade com impressão digital, reconhecimento facial ou PIN do dispositivo;
5. A passkey será salva no Google Password Manager e sincronizada com outros dispositivos conectados à mesma conta Google.

Em celulares Android a partir da versão 9, o sistema pode sugerir a criação da passkey no momento do login, sem necessidade de ir às configurações.

Na Apple (iPhone, iPad, Mac)

1. Acesse o site ou app que deseja proteger (ou appleid.apple.com para a conta Apple);
2. Nas configurações de segurança do serviço, selecione a opção de criar passkey;
3. O dispositivo pedirá confirmação por Face ID, Touch ID ou código do aparelho;
4. A passkey será armazenada no iCloud Keychain e sincronizada com outros dispositivos Apple conectados ao mesmo Apple ID.

O recurso exige iOS 16 ou superior, macOS Ventura ou superior, e o iCloud Keychain ativado.

Na Microsoft (Windows, Outlook, Xbox)

A Microsoft anunciou em maio de 2026 que novas contas são criadas sem senha por padrão, e que os códigos SMS para autenticação serão descontinuados até o fim de 2026. Para configurar as passkeys:

1. Acesse account.microsoft.com e faça login;
2. Vá em Segurança e depois em Opções de segurança avançadas;
3. Selecione Adicionar uma nova forma de entrar e escolha Chave de acesso;
4. Confirme com Windows Hello (rosto, digital ou PIN) ou com o celular;
5. A passkey será salva no dispositivo ou no Microsoft Authenticator, com sincronização entre aparelhos vinculados à conta Microsoft.