🔑 Guia · Passkeys

O que são Passkeys?
A alternativa às passwords explicada

Atualizado em Julho de 2026 · Leitura: 12 min

Neste artigo ↑ Voltar ao topo

Em resumo

Uma passkey é uma forma moderna de iniciar sessão sem escrever uma password. Em vez de enviares um segredo que pode ser roubado, o teu dispositivo prova ao site que és tu usando criptografia. A impressão digital, Face ID ou PIN servem apenas para desbloquear a passkey no teu dispositivo — não são enviados ao site.

Introdução

As passwords foram a porta de entrada da internet durante décadas. Criámos contas com email e password, reutilizámos combinações em vários sites, esquecemos palavras-passe, recebemos códigos por SMS e aprendemos a desconfiar de links falsos. O problema é que este modelo continua a depender de um segredo que a pessoa sabe e que um atacante pode tentar roubar.

As passkeys foram criadas para mudar essa lógica. Em vez de pedirem que memorizes e escrevas uma password, permitem iniciar sessão com o método que já usas para desbloquear o dispositivo: impressão digital, reconhecimento facial, PIN, padrão ou chave de segurança. Por trás dessa experiência simples existe criptografia de chave pública, o mesmo princípio que permite ao site confirmar a tua identidade sem receber a tua impressão digital, a tua cara ou uma password reutilizável.

Este guia explica as passkeys de forma prática: o que são, como funcionam, porque são mais resistentes a phishing, onde ficam guardadas, o que acontece se perderes o telemóvel e se ainda precisas de passwords, 2FA ou um gestor de passwords.

Em resumo

  • Uma passkey substitui a password nos sites e apps que já suportam este método.
  • O site guarda uma chave pública; a chave privada fica no teu dispositivo, chave de segurança ou gestor compatível.
  • A biometria não é enviada ao site. Face ID, Touch ID, impressão digital ou PIN só desbloqueiam a passkey localmente.
  • É mais resistente a phishing porque a credencial está ligada ao domínio correto e não pode ser simplesmente escrita numa página falsa.
  • Passwords ainda não desapareceram. Durante anos, passkeys, passwords e 2FA vão coexistir.

Porque estamos a deixar de usar passwords

Passwords falham por razões humanas e técnicas. As pessoas esquecem-nas, escolhem combinações previsíveis, reutilizam-nas em vários sites ou guardam-nas em locais inseguros. Do lado dos serviços, uma fuga de dados pode expor emails, hashes de passwords ou pistas suficientes para ataques automáticos.

Mesmo quando uma password é forte, continua a poder ser roubada por phishing, malware, páginas falsas ou engenharia social. Se for reutilizada, uma única fuga pode transformar-se em acesso a várias contas. É por isso que guias como passwords seguras e password comprometida continuam a ser tão importantes.

A autenticação de dois fatores melhorou muito esta situação, mas nem todo o 2FA é igual. Códigos por SMS e códigos de apps autenticadoras podem ser pedidos numa página falsa. A CISA e o NIST distinguem métodos comuns de MFA de métodos resistentes a phishing, como FIDO/WebAuthn. As passkeys pertencem a esta nova geração: foram desenhadas para remover a password do fluxo normal de login e reduzir o valor de páginas falsas.

Importante: passkeys não tornam uma conta invencível. Recuperação de conta fraca, dispositivos comprometidos ou suporte ao cliente enganado continuam a ser riscos reais. A vantagem é que o roubo direto da password deixa de ser o ponto central.

O que é uma passkey

Uma passkey é uma credencial digital criada para um site ou aplicação específica. Em vez de uma palavra-passe que tu sabes e escreves, a passkey funciona como um par de chaves criptográficas:

  • Chave privada: fica contigo, guardada no dispositivo, numa chave de segurança física ou num gestor de credenciais compatível.
  • Chave pública: fica no servidor do site ou aplicação onde criaste a conta.

A chave pública pode ser guardada pelo site sem revelar a chave privada. A chave privada não deve sair do ambiente seguro onde foi criada ou sincronizada. Quando inicias sessão, o site envia um desafio; o teu dispositivo assina esse desafio com a chave privada; o site confirma a assinatura usando a chave pública. Se bater certo, entras.

Na prática, a experiência parece simples: escolhes a conta, desbloqueias com Face ID, Touch ID, impressão digital, PIN ou outro método local, e o login acontece. Mas o site não recebe a tua biometria. Também não recebe uma password. Recebe apenas uma prova criptográfica de que tens a chave certa para aquele domínio.

Como funciona

O funcionamento das passkeys assenta em padrões abertos como FIDO2 e WebAuthn. Estes padrões permitem que browsers, sistemas operativos, telemóveis, computadores, chaves de segurança e gestores de passwords falem a mesma língua quando o objetivo é autenticar uma pessoa sem expor uma password.

Quando crias uma passkey, o dispositivo gera um par de chaves único para aquele serviço. Isto significa que a passkey criada para uma conta Google não é a mesma usada num banco, numa loja online ou numa rede social. Essa separação é uma das grandes diferenças face às passwords reutilizadas.

Exemplo simples: imagina que o site guarda um cadeado público e o teu dispositivo guarda a chave privada. O site consegue verificar que a tua chave abre aquele cadeado, mas nunca precisa de receber a chave.

O desbloqueio local é apenas a autorização para usar a chave privada. Se usas impressão digital, o sensor confirma no dispositivo que és tu. Se usas PIN, o PIN desbloqueia o cofre local. Em ambos os casos, esses dados não são enviados para o site. O site só vê uma resposta criptográfica válida.

O que acontece durante um login

  1. Escolhes iniciar sessão num site ou aplicação que suporta passkeys.
  2. O site identifica o domínio correto e pede uma prova à passkey associada a esse domínio.
  3. O teu dispositivo pede desbloqueio local, como Face ID, impressão digital, PIN, padrão ou chave física.
  4. A chave privada assina um desafio único criado para aquela tentativa de login.
  5. O site verifica a assinatura com a chave pública que tem guardada.
  6. Se tudo estiver correto, a sessão é iniciada sem que tenhas escrito uma password.

Este detalhe do domínio é essencial. Uma passkey não é apenas um segredo guardado num cofre. Ela está ligada ao serviço para o qual foi criada. Se uma página falsa tentar imitar o login de um serviço real, a passkey não deve funcionar nesse domínio falso. É por isso que as passkeys reduzem muito o risco de phishing de credenciais.

O que uma passkey faz

  • Substitui a password em serviços compatíveis.
  • Cria uma credencial única por site, evitando reutilização.
  • Reduz o risco de phishing, porque a credencial está ligada ao domínio legítimo.
  • Remove a necessidade de escrever passwords em ecrãs de login.
  • Melhora a experiência, sobretudo em telemóveis, onde escrever passwords longas é incómodo.
  • Ajuda em fugas de dados, porque o servidor não guarda uma password que possa ser reutilizada noutros serviços.

O que uma passkey não faz

  • Não protege contra todos os tipos de burla. Se autorizares uma transferência por engano, a passkey não interpreta a intenção.
  • Não substitui automaticamente todos os métodos antigos. Muitos serviços continuam a manter password, email de recuperação ou suporte manual.
  • Não torna o dispositivo imune a malware. Um dispositivo comprometido continua a exigir resposta séria.
  • Não garante recuperação perfeita. Se perderes acesso ao ecossistema onde guardaste as passkeys, podes depender dos métodos de recuperação do serviço.
  • Não significa que a biometria foi enviada ao site. A biometria desbloqueia localmente; não é uma credencial partilhada com terceiros.

Porque resiste melhor ao phishing

Num ataque de phishing clássico, o criminoso cria uma página parecida com a original e convence a vítima a escrever email, password e talvez um código 2FA. Se a vítima introduzir esses dados, o atacante pode tentar usá-los imediatamente no site verdadeiro.

Com passkeys, este fluxo fica muito mais difícil. Não há password para escrever. A passkey também verifica o domínio do serviço. Se criaste a passkey para exemplo.com, uma página em exemplo-login-seguro.net não deve conseguir usar essa credencial. O atacante pode copiar logótipos e cores, mas não consegue transformar o domínio falso no domínio legítimo.

Além disso, não existe um segredo partilhado guardado no servidor que possa ser reutilizado noutros serviços. Se o servidor sofrer uma fuga, a chave pública por si só não permite iniciar sessão como tu. Isto não elimina todos os riscos de segurança, mas muda drasticamente a economia do ataque.

Resumo prático: passwords podem ser lidas, copiadas e reutilizadas. Uma passkey autentica através de uma prova específica para aquele site e para aquela tentativa de login.

Onde ficam guardadas

As passkeys podem ficar guardadas em vários locais, dependendo do dispositivo e do ecossistema que usas:

  • Apple: iCloud Keychain/Passwords app pode sincronizar passkeys entre iPhone, iPad, Mac e outros dispositivos associados à tua conta Apple.
  • Google: Google Password Manager pode guardar e sincronizar passkeys em Android e Chrome, incluindo outros sistemas onde o gestor esteja disponível.
  • Microsoft: Windows Hello, Microsoft Password Manager, Microsoft Authenticator e Microsoft Entra suportam diferentes cenários de passkeys, incluindo contas pessoais e profissionais.
  • Gestores de passwords: alguns gestores dedicados já suportam criar, guardar e sincronizar passkeys.
  • Chaves de segurança físicas: dispositivos FIDO2 podem guardar credenciais resistentes a phishing, muitas vezes usadas em ambientes profissionais ou contas críticas.

É útil distinguir entre passkeys sincronizadas e passkeys presas a um dispositivo. Uma passkey sincronizada pode acompanhar-te entre dispositivos através de um fornecedor de credenciais. Uma passkey local pode ficar apenas num computador, telemóvel ou chave física. A melhor opção depende do equilíbrio entre conveniência, recuperação e nível de segurança pretendido.

O que acontece se perder o telemóvel

Esta é uma das dúvidas mais importantes. Perder o telemóvel não significa automaticamente perder todas as passkeys, mas a resposta depende de onde elas estavam guardadas.

Se usas passkeys sincronizadas com Apple, Google, Microsoft ou um gestor compatível, normalmente podes recuperá-las ao iniciar sessão noutro dispositivo e restaurar o cofre de credenciais. Esse processo depende das proteções da tua conta principal, como PIN, biometria, recuperação da conta, dispositivos de confiança ou métodos alternativos.

Se a passkey estava apenas num dispositivo ou numa chave física e não tens cópia, podes precisar de usar o processo de recuperação do próprio serviço. Por isso, em contas críticas, faz sentido manter mais do que uma forma de acesso: outro dispositivo de confiança, códigos de recuperação, uma chave de segurança extra ou métodos de recuperação bem protegidos.

Antes de ativar passkeys em contas importantes: confirma como recuperar a conta, remove métodos antigos inseguros quando possível e protege muito bem o email principal. O email continua a ser a chave de recuperação de quase tudo.

Passkeys vs Passwords vs 2FA

Método Como funciona Ponto forte Limitação
Password Escreves um segredo que o serviço valida. Universal e fácil de implementar. Pode ser fraca, reutilizada, roubada ou introduzida em phishing.
2FA tradicional Junta password com código, app autenticadora, SMS ou aprovação. Reduz muito o risco se a password for roubada. Alguns códigos ainda podem ser capturados por páginas falsas.
Passkey O dispositivo prova a identidade com chave privada e desbloqueio local. Resistente a phishing, única por serviço e sem password para escrever. Ainda não é suportada por todos os serviços e exige boa recuperação.

Na prática, a melhor estratégia hoje é híbrida: usa passkeys onde estiverem disponíveis, mantém passwords únicas nos restantes serviços e ativa 2FA nas contas importantes. Para perceber melhor a camada extra, lê também o guia sobre autenticação de dois fatores.

Devo ativar passkeys?

Sim, na maioria dos casos, vale a pena ativar passkeys quando um serviço confiável oferece essa opção. O benefício é maior em contas que protegem outras contas ou dados sensíveis.

Ativa primeiro em

  • Email principal;
  • Conta Google, Apple ou Microsoft;
  • Gestor de passwords;
  • Contas profissionais;
  • Bancos e serviços financeiros quando suportado;
  • Redes sociais com grande exposição.

Antes de ativar

  • Confirma métodos de recuperação;
  • Adiciona mais do que um dispositivo quando possível;
  • Protege o email de recuperação;
  • Guarda códigos de recuperação;
  • Remove passwords antigas se o serviço permitir e fizer sentido.

Se ainda tens muitas contas só com password, um gestor continua a ser útil para criar credenciais únicas e armazenar passkeys onde houver suporte. As passkeys são o caminho, mas a transição não acontece de um dia para o outro.

Fontes principais

Este guia foi estruturado com base em documentação oficial e normas técnicas de referência:

Perguntas frequentes

É uma credencial digital que permite iniciar sessão sem escrever uma password. Usa criptografia de chave pública e é desbloqueada localmente com PIN, biometria ou outro método do dispositivo.
Não. Uma password é um segredo que escreves e que pode ser roubado. Uma passkey usa uma chave privada guardada contigo e uma chave pública guardada pelo site.
Não. A biometria serve apenas para desbloquear a passkey no teu dispositivo. O site não recebe a impressão digital, Face ID ou imagem do rosto.
Na maioria dos cenários, sim. São únicas por serviço, não precisam de ser memorizadas e são desenhadas para resistir melhor a phishing.
Depende de onde a passkey está guardada. Se estiver sincronizada, podes recuperá-la noutro dispositivo através do fornecedor. Se estiver apenas nesse dispositivo, vais precisar dos métodos de recuperação da conta.
Sim, desde que o serviço, browser e gestor de credenciais usados suportem passkeys. Apple, Google e Microsoft já têm suporte nos seus ecossistemas.
Sim, por enquanto. Muitos serviços ainda não suportam passkeys, por isso passwords únicas e fortes continuam a ser necessárias.
Em muitos casos, uma passkey pode funcionar como autenticação forte porque combina posse do dispositivo com desbloqueio local. Mesmo assim, alguns serviços podem manter 2FA ou métodos de recuperação adicionais.
Sim. Gestores de passwords continuam úteis para contas sem passkeys e alguns já permitem guardar e sincronizar passkeys.
Em serviços confiáveis, sim. Antes de ativar em contas críticas, confirma métodos de recuperação, adiciona dispositivos de confiança e protege o email principal.

Conclusão

Passkeys são uma das mudanças mais importantes na autenticação moderna. Não são apenas uma forma cómoda de entrar com impressão digital: são uma substituição técnica da password baseada em chaves criptográficas, desenhada para reduzir phishing, reutilização e impacto de fugas de dados.

O essencial é perceber a divisão: a chave privada fica contigo, a chave pública fica no servidor e a biometria não sai do dispositivo. Isto torna o login mais simples para o utilizador e mais difícil de explorar por atacantes.

A recomendação prática é clara: ativa passkeys em contas importantes quando estiverem disponíveis, mas mantém uma boa higiene de passwords e recuperação. Durante os próximos anos, passkeys, passwords fortes, gestores de passwords e 2FA vão coexistir. A diferença é que, pela primeira vez, existe um caminho realista para uma internet menos dependente de passwords.

Guias Relacionados