Passkeys chegam para eliminar senhas e reforçar a segurança online

As passkeys surgem como alternativa às palavras-passe tradicionais, prometendo tornar o início de sessão mais rápido e resistente a ataques. A tecnologia baseia-se em criptografia de chave pública, já foi adoptada por Apple, Google e Microsoft e começa a chegar a serviços de e-mail, redes sociais, bancos e aplicações de compras.

Como funcionam as passkeys

O processo parte da geração de um par de chaves criptográficas durante o registo num serviço: uma chave pública, enviada para o servidor, e uma chave privada, guardada localmente no dispositivo. Quando o utilizador tenta aceder à conta, o servidor envia um desafio que só pode ser assinado com a chave privada.

Para concluir a operação, o dispositivo solicita um método de autenticação local — impressão digital, reconhecimento facial ou PIN. Se a assinatura corresponder ao desafio, o acesso é concedido. A chave privada nunca sai do equipamento, reduzindo o risco de intercepção.

Vantagens face às senhas

Ao recorrer a autenticação biométrica ou PIN local, as passkeys eliminam a necessidade de memorizar combinações complexas de caracteres. Esta abordagem traz benefícios claros:

Resistência a phishing: o utilizador não introduz dados sensíveis em formulários que possam ser copiados por sites fraudulentos.

Protecção contra roubo de bases de dados: mesmo que a chave pública seja exposta, não é útil sem a correspondente chave privada.

Experiência simplificada: um único gesto biométrico substitui a escrita de senhas longas, reduzindo erros e pedidos de recuperação.

Para as empresas, a redução de chamadas de suporte relacionadas com perda de senhas representa poupança de custos e reforço da segurança global.

Imagem: Divulgação

Desafios e limitações

A compatibilidade ainda não é total. Muitos serviços mantêm o modelo clássico, obrigando o utilizador a combinar métodos. Além disso, a dependência do dispositivo pode gerar problemas em caso de perda ou avaria. Existe a possibilidade de recuperação via cópia de segurança na nuvem, mas o processo exige configuração prévia e pode ser complexo para quem não domina ferramentas de sincronização.

Outra questão é a necessidade de educação do público. Grande parte dos utilizadores continua a associar segurança à criação de senhas fortes, sendo-lhe estranho um sistema “sem senha”. A divulgação de boas práticas e a inclusão da tecnologia em plataformas populares deverão acelerar a aceitação.

Adoção crescente

Sistemas operativos actuais — iOS, Android, Windows e macOS — já integram suporte nativo. Navegadores como Chrome, Safari e Edge reconhecem passkeys sempre que o site disponibiliza essa opção de login. Empresas do sector financeiro e do comércio eletrónico testam a tecnologia para reduzir fraudes e tornar o pagamento mais fluido.

Organizações de padrões abertos, como a FIDO Alliance, coordenam a unificação de requisitos técnicos para garantir que uma passkey gerada num dispositivo possa ser usada noutros equipamentos do mesmo utilizador, desde que estes estejam autenticados na mesma conta de nuvem.

O que muda para o utilizador

Configurar uma passkey requer poucos passos: aceder às definições de segurança do serviço, seleccionar “criar passkey” e confirmar a identidade através do método biométrico ou PIN. A partir daí, o login passa a ocorrer em segundos, sem a escrita de qualquer caractere.

A mudança representa um avanço semelhante ao fim dos CDs de instalação ou das SMS de verificação: o utilizador interage menos com a tecnologia e, simultaneamente, obtém maior protecção. Embora não seja solução universal a curto prazo, a tendência indica que as senhas convencionais caminham para a reforma.