Passkeys sao credenciais FIDO2/WebAuthn sincronizaveis entre dispositivos. Substituem senhas usando criptografia de chave publica. A chave privada fica no dispositivo (protegida por biometria/PIN), o site so tem a chave publica. Nao ha segredo compartilhado para roubar, tornando phishing impossivel.

Passkeys sao resistentes a phishing?

Sim, por design. Passkeys estao vinculadas ao dominio especifico (origin binding). Se voce criou passkey para banco.com.br, ela nao funciona em banc0.com.br (site falso). O navegador verifica automaticamente, usuario nao precisa identificar phishing. E a única autenticacao verdadeiramente phishing-resistant.

E se eu perder meu dispositivo?

Com passkeys sincronizadas (iCloud Keychain, Google Password Manager), elas estao em todos os seus dispositivos Apple/Google automaticamente. Se perder um, os outros ainda tem. Para security keys fisicas (YubiKey), registre pelo menos 2 keys por conta. Sites devem oferecer recovery via email/SMS como fallback.

Passwordless: Guia Completo de Passkeys e FIDO2

O Problema das Senhas

Senhas sao a forma de autenticacao mais antiga e mais problematica da era digital. Usuarios escolhem senhas fracas, reutilizam entre sites, caem em phishing, e empresas sofrem breaches massivos de credenciais. MFA ajuda, mas ainda depende de senha como primeiro fator.

80%

dos breaches envolvem credenciais comprometidas (Verizon DBIR)

Senhas vs Passwordless

Senhas

Podem ser adivinhadas/forcadas
Podem ser roubadas via phishing
Podem vazar em breaches
Usuarios reutilizam
Fricao na UX

Passwordless

Nada para adivinhar
Resistente a phishing
Nao ha segredo compartilhado
Unica por site
UX superior (biometria)

FIDO2 e WebAuthn

FIDO2 e o padrao da FIDO Alliance que habilita autenticacao forte sem senhas. E composto por dois protocolos:

WebAuthn: API JavaScript padronizada pelo W3C para navegadores
CTAP2: Protocolo de comunicacao com autenticadores (USB, NFC, Bluetooth)

Criptografia de chave publica

FIDO2 usa criptografia assimetrica. Durante o registro, o autenticador gera um par de chaves:

Chave privada: Fica no dispositivo, nunca sai
Chave publica: Enviada ao servidor/site

Durante login, o servidor envia um challenge. O autenticador assina com a chave privada. O servidor verifica com a chave publica. Nenhum segredo e transmitido - impossivel interceptar ou roubar credencial.

Origin binding

Credenciais FIDO2 sao vinculadas ao dominio (origin) exato. Uma credencial criada para banco.com.br nao funciona em banc0.com.br. O navegador verifica automaticamente, tornando phishing impossivel por design.

O que sao Passkeys

Passkeys sao a evolucao das credenciais FIDO2 com uma diferenca crucial: sao sincronizaveis entre dispositivos. Lancadas em 2022 por Apple, Google e Microsoft em conjunto.

Passkeys vs Security Keys tradicionais

Security Key (YubiKey): Credencial presa ao dispositivo fisico
Passkey: Credencial sincronizada via iCloud/Google, disponivel em todos os dispositivos do usuario

Passkeys resolvem o problema de "perdi minha YubiKey" sem sacrificar seguranca significativamente.

Onde passkeys ficam armazenadas

Apple: iCloud Keychain (sincroniza entre iPhone, iPad, Mac)
Google: Google Password Manager (sincroniza entre Android e Chrome)
Microsoft: Windows Hello / Microsoft Authenticator
Password managers: 1Password, Dashlane, Bitwarden suportam passkeys

Como Funciona Tecnicamente

Registro (criacao de passkey)

Usuario clica "Criar passkey" no site
Site chama WebAuthn API com parametros (dominio, user ID, etc.)
Navegador solicita autenticacao local (Face ID, Touch ID, PIN)
Autenticador gera par de chaves e armazena chave privada
Chave publica e enviada ao servidor e associada a conta

Login (uso de passkey)

Usuario clica "Login com passkey"
Site envia challenge aleatorio via WebAuthn
Navegador solicita autenticacao local
Autenticador assina challenge com chave privada
Assinatura enviada ao servidor
Servidor verifica assinatura com chave publica armazenada
Login concedido

UX na prática

Para o usuario, e simplesmente: clique em "Login" > olhe para o celular (Face ID) ou toque no sensor (Touch ID). Login instantaneo, sem digitar nada.

Metodos Passwordless

Biometria no dispositivo

Face ID, Touch ID, Windows Hello. Chave privada protegida por biometria local. Mais conveniente para usuarios.

Security Keys (YubiKey)

Hardware dedicado USB/NFC. Maximo nivel de seguranca. Ideal para contas criticas e admins.

Phone as authenticator

Celular como segundo dispositivo via Bluetooth/QR code. Util quando dispositivo principal nao tem biometria.

Passkeys sincronizadas

Credenciais FIDO2 em nuvem. Conveniencia de senhas, seguranca de FIDO2. Padrao emergente.

Implementacao para Empresas

Para aplicacoes web (desenvolvedores)

WebAuthn API: Nativa em todos browsers modernos
Bibliotecas: SimpleWebAuthn, webauthn4j, py_webauthn
Servicos: Auth0, Okta, Duo oferecem passkeys como feature

Para workforce (IT/Security)

Azure AD/Entra ID: Suporte nativo a FIDO2 e Windows Hello
Okta: FastPass passwordless
Google Workspace: Passkeys para contas Google
Duo: Passwordless com biometria e security keys

Estrategia de rollout

Piloto: Comecar com grupo de early adopters e admins
Paralelo: Oferecer passwordless como opcao, manter senha como fallback
Incentivo: Promover adocao com comunicacao e treinamento
Mandatorio: Para contas privilegiadas, exigir FIDO2
Deprecacao: Gradualmente remover opcao de senha

Recovery e fallback

Sempre tenha mecanismo de recovery. Se usuario perde todos os dispositivos com passkeys, precisa de alternativa (email de recuperacao, codigo backup, suporte humano). Passwordless nao significa "sem opcao de recuperacao".

Perguntas Frequentes

Passkeys funcionam sem internet?

A autenticacao local (biometria) funciona offline. Mas o login em si requer conexao com o servidor para enviar a assinatura. Security keys fisicas podem funcionar em cenarios air-gapped dependendo da aplicacao.

Posso usar passkey de um dispositivo em outro?

Com passkeys sincronizadas, sim - estao em todos os dispositivos do mesmo ecossistema (Apple/Google). Cross-platform (usar iPhone para logar no Windows) funciona via QR code + Bluetooth, onde o celular atua como autenticador remoto.

Biometria e segura? E se copiarem minha digital?

Biometria em FIDO2 e verificacao local apenas - nao e transmitida. O servidor nunca ve sua digital ou face, apenas a assinatura criptografica. Mesmo que alguem tenha sua digital, precisaria do seu dispositivo fisico. E muito mais seguro que senhas.

Conclusao

Passwordless nao e mais futuro - e presente. Apple, Google e Microsoft adotaram passkeys. Grandes sites (Google, GitHub, eBay, Kayak) ja suportam. A transicao esta acontecendo.

Para organizações, o momento de planejar e agora. Comece habilitando FIDO2/passkeys como opcao para usuarios que querem. Exija para contas privilegiadas. Gradualmente expanda ate poder deprecar senhas completamente.

Os beneficios sao claros: eliminacao de phishing de credenciais, fim de breaches de senhas, melhor experiencia do usuario. O custo e principalmente mudanca de processo e comunicacao - a tecnologia esta madura e disponivel.

Precisa de Ajuda com Passwordless?

Oferecemos consultoria de implementacao de autenticacao passwordless, FIDO2 e estratégia de transicao.

Falar com Especialista

Inteligencia Brasil

Consultoria especializada em Identity Security e Autenticacao Moderna.