356 bilhões de tentativas de ataques cibernéticos. Esse foi o número registrado no Brasil em 2024, segundo dados da Golden Cloud Technology. Para cada brasileiro, isso representou cerca de 1.700 tentativas de invasão ao longo do ano. Nesse cenário alarmante, as passkeys surgem como resposta tecnológica que vem enterrando de vez o modelo de senhas tradicionais — aquelas combinações alfanuméricas que 41% dos usuários ainda reutilizavam em múltiplas contas, conforme apontou relatório da Keeper Security divulgado em 2024.
A tecnologia já está em operação nos principais serviços digitais do mundo. Google, Apple, Microsoft, TikTok, Uber e Amazon implementaram o sistema em suas plataformas entre 2023 e 2024. No Brasil, instituições financeiras e empresas de tecnologia aceleraram a adoção da ferramenta ao longo de 2025, especialmente após dados da Appgate revelarem que phishing representou 61% das fraudes detectadas no primeiro semestre de 2024.
Mas afinal, o que são essas chaves de acesso que dispensam memorização e prometem acabar com invasões? A resposta está na combinação de duas tecnologias já familiares: criptografia de chave pública e autenticação biométrica. Quando você cria uma conta com passkey, seu dispositivo gera automaticamente duas chaves únicas. A chave pública fica armazenada no servidor da empresa — Google, Instagram, banco digital ou qualquer outro serviço. Já a chave privada permanece trancada no seu smartphone, tablet ou computador, protegida por componentes de segurança dedicados.
Esses componentes incluem o Secure Enclave nos dispositivos Apple, o Trusted Platform Module (TPM) no Windows e Android, e o Samsung Knox nos aparelhos Galaxy. Funcionam como cofres blindados que isolam dados sensíveis mesmo se malware infectar o sistema principal. Para acessar sua conta, basta desbloquear o dispositivo do jeito habitual: impressão digital, reconhecimento facial ou PIN.
Como funciona na prática
Imagine que você vai fazer login no Gmail usando um laptop. O servidor do Google detecta que você possui uma passkey cadastrada em seu celular. Em vez de pedir senha, o sistema exibe um QR Code na tela do computador. Você aponta a câmera do smartphone para o código, confirma sua identidade com a digital e pronto — está dentro da conta. Todo o processo leva menos de 10 segundos.
A mágica acontece nos bastidores através do protocolo WebAuthn, padrão publicado pelo World Wide Web Consortium (W3C) em 2016 como parte do FIDO2 Project. Quando o servidor envia um pedido de autenticação, apenas a chave privada armazenada no seu dispositivo consegue descriptografar e validar o acesso. Como cada par de chaves é único e funciona exclusivamente para o serviço que o criou, tentativas de phishing se tornam inúteis — mesmo que criminosos criem réplicas perfeitas de sites, não conseguirão roubar nada porque a chave privada jamais sai do dispositivo.
Priscila Couto, líder de Segurança e Confiabilidade do Google na América Latina, confirmou a eficácia do modelo em comunicado divulgado pela empresa em 2024. "A chave privada nunca é compartilhada nem visível para terceiros, garantindo que apenas o titular legítimo possa concluir a operação", explicou a executiva. Segundo ela, mesmo que golpistas enviem e-mails fraudulentos ou criem páginas falsas, a autenticação só funciona com a passkey real do usuário.
O fim das senhas vulneráveis
Números demonstram por que a substituição das senhas se tornou urgente. A Microsoft registrou uma média superior a 4 mil ataques de senha por segundo entre julho de 2022 e julho de 2023 — quase três vezes mais que o ano anterior. No Brasil, o custo médio de uma violação de dados chegou a R$ 6,75 milhões em 2024, conforme levantamento da IBM. Ataques de phishing especificamente custaram R$ 7,75 milhões por incidente.
As passkeys eliminam esses riscos porque não existem credenciais para roubar. Diferente de senhas que viajam pela internet a cada login (mesmo criptografadas), as chaves privadas ficam confinadas no hardware do dispositivo. Marcos Tabajara, country manager da Appgate no Brasil, ressaltou em 2024 que "a rapidez no tempo de resposta é fundamental para mitigar possíveis danos, protegendo dados confidenciais e a integridade operacional das organizações". Com passkeys, porém, a resposta deixa de ser necessária — não há ataque a mitigar.
Existem dois tipos de passkeys: sincronizadas e vinculadas ao dispositivo. As primeiras ficam armazenadas na nuvem (iCloud, Google Account) e se replicam automaticamente entre seus aparelhos. Perfeitas para uso pessoal, oferecem conveniência sem comprometer segurança. As segundas permanecem fixas em um único dispositivo, indicadas para empresas que lidam com informações críticas ou precisam atender requisitos rigorosos de conformidade com a LGPD e GDPR.
Adoção acelerada no mercado
A transição ganhou força nos últimos anos. Em outubro de 2023, o Google tornou as passkeys o método padrão de login, exibindo mensagens que sugerem criar a chave de acesso sempre que usuários fazem login ou abrem novas contas. A Apple integrou o sistema nativamente no iOS 16 e macOS Ventura, permitindo uso via Touch ID e Face ID. A Microsoft liberou passkeys para contas corporativas e pessoais em maio de 2024.
Entre aplicativos, PayPal foi pioneiro ao adotar o sistema de forma nativa. Plataformas como iFood, Uber e GetNinjas impulsionaram o registro massivo — em 2024, contribuíram para 1,2 milhão de novos cadastros de MEIs que utilizaram passkeys em transações. No setor financeiro brasileiro, bancos digitais correram para implementar a tecnologia ao longo de 2024 e 2025, após dados do Banco de Portugal revelarem que fraudes em pagamentos eletrônicos causaram perdas de 8,9 milhões de euros no primeiro semestre de 2024.
A FIDO Alliance (Fast IDentity Online), organização que reúne gigantes da tecnologia, coordena a padronização global. Empresas membros incluem Google, Apple, Microsoft, Meta, Amazon, PayPal, Visa e Mastercard. Se uma companhia faz parte da aliança, há grandes chances de já oferecer ou estar implementando passkeys.
Configuração simples
Para quem quer começar a usar, o processo é direto. No Google, acesse sua conta através do navegador, vá em Configurações > Segurança > Como você faz login no Google > Chaves de Acesso. Siga as instruções e escolha o método biométrico (digital, facial) ou PIN. Alternativamente, digite "g.co/passkey" direto no navegador. A partir daí, todos os logins podem ser feitos sem digitar senha.
Dispositivos compatíveis incluem iPhones com iOS 16 ou superior, aparelhos Android 9 em diante, computadores Windows 10 e posteriores, além de navegadores Chrome, Safari e Edge a partir da versão 109. Para quem possui múltiplos aparelhos, a sincronização via nuvem garante que a passkey funcione em todos automaticamente.
Uma dúvida comum envolve perda ou troca de celular. Nesse caso, gerenciadores de senha como 1Password e Bitwarden oferecem suporte a passkeys, funcionando como backup. Serviços também fornecem códigos de recuperação únicos durante a configuração inicial — o ideal é guardá-los em local seguro, similar ao que já acontece com autenticação de dois fatores.
Desafios e perspectivas para 2026
Apesar das vantagens, a adoção universal ainda enfrenta obstáculos. Pesquisa TIC Empresas 2024 mostrou que apenas 13% das empresas brasileiras utilizavam inteligência artificial, mesmo patamar de 2021. Isso indica resistência a novas tecnologias, especialmente entre pequenos negócios. Apenas 52% das pequenas empresas possuíam website próprio, segundo levantamento do Cetic.br — um indicador de que a digitalização avançou lentamente no segmento.
Outro ponto é educação digital. Com 70% das violações de dados em 2024 causadas por engenharia social, conforme dados da IT Security, treinar usuários para reconhecer e adotar passkeys demanda investimento em conscientização. Carlos Eduardo Martins, economista do Sebrae, alertou que "muitas empresas ultrapassam o limite de faturamento sem planejamento, gerando multas retroativas". O mesmo raciocínio vale para segurança: implementar passkeys sem preparar equipes pode gerar confusão inicial.
A tendência, porém, aponta para consolidação acelerada em 2026. Com phishing atingindo níveis recordes — as buscas pelo termo no Brasil registraram pico histórico em junho de 2025, segundo Google Trends —, a pressão por soluções eficazes cresceu exponencialmente. Legislações como LGPD e GDPR exigem que empresas implementem medidas robustas de proteção, e passkeys atendem esses requisitos de forma nativa.
Para usuários comuns, a mudança representa ganho duplo: mais segurança com menos trabalho. Acabam-se senhas esquecidas, anotações inseguras, resets constantes. Para empresas, reduzem-se custos com suporte técnico, violações de dados e recuperação de contas invadidas. No cenário atual, onde o Brasil registrou 1.379 ataques cibernéticos por minuto em 2024 — segundo lugar mundial —, adotar passkeys deixou de ser opção futurista para se tornar necessidade imediata de proteção digital.
Comentários (0) Postar um Comentário