Share the post "Password está a ficar obsoleta. É tempo de optar pela passkey"
Há uma hipótese real de que a sua password já tenha sido comprometida e de que não saiba. Em 2024, numa única fuga de dados apelidada de “Mãe de Todas as Fugas”, foram expostos mais de 26 mil milhões de registos com nomes de utilizador e passwords em todo o mundo.
Esses dados andam a circular em mercados ilegais na dark web, prontos a serem testados nas suas contas bancárias, de e-mail e de redes sociais.
A solução chama-se passkey e é provável que os seus dispositivos já a suportem hoje mesmo. Uma passkey (ou “chave de acesso”, em português) é uma forma de iniciar sessão em sites e aplicações sem usar qualquer password.
Em vez de uma sequência de caracteres que tem de memorizar, a passkey funciona com base em criptografia de chave pública, uma tecnologia que os seus dispositivos já utilizam para proteger pagamentos e comunicações.
Quando cria uma passkey, o seu dispositivo gera automaticamente um par de chaves criptográficas, uma chave privada, que fica guardada em segurança no seu telemóvel ou computador e nunca sai de lá, e uma chave pública, que é partilhada com o servidor do site.
Quando faz login, o servidor envia um desafio criptográfico ao seu dispositivo, que o resolve com a chave privada, que prova a sua identidade, sem revelar nada de secreto. Na prática, o utilizador simplesmente desbloqueia o dispositivo com o método habitual (digital Touch ID), reconhecimento facial (Face ID) ou PIN) e o login acontece automaticamente. Não há nada para memorizar, nem para digitar.
Como é que uma passkey funciona, passo a passo?
Registo: O site pede-lhe que crie uma passkey. O seu dispositivo gera o par de chaves: a pública vai para o servidor, a privada fica guardada de forma segura no seu aparelho (gerida pelo sistema operativo ou gestor de passwords).
Login: Quando quer entrar, o servidor envia um “desafio” único ao seu dispositivo. O dispositivo usa a chave privada para assinar esse desafio, sem nunca a transmitir pela rede.
Verificação da identidade: Antes de assinar, o dispositivo confirma a sua identidade, pede a impressão digital, o rosto ou o PIN. Só depois conclui a autenticação.
Acesso garantido: O servidor verifica a assinatura com a chave pública que tem guardada. Corresponde? Pode entrar. Nenhum segredo foi transmitido; nenhuma password existiu.
Pense numa passkey como uma fechadura de cofre. O banco tem o cadeado (chave pública), mas só a sua chave privada (no seu dispositivo) o consegue abrir e o banco nunca vê a sua chave, nem precisa de a guardar.
Porque é que as passwords são perigosas?
As passwords têm o problema de serem um segredo partilhado. Quando cria uma conta, a sua password (ou um derivado dela) fica guardada num servidor que não controla. Se esse servidor for atacado, e muitos são, todos os anos, as credenciais de milhões de pessoas ficam expostas. Mas os ataques a servidores são apenas uma das ameaças. E há grandes vulnerabilidades nas passwords.
Phishing
Um e-mail falso, um site convincente a imitar o do seu banco e a sua password é digitada diretamente nas mãos de um criminoso. O phishing é responsável por 36% de todas as fugas de dados a nível mundial. É o método favorito de grupos de cibercrime ligados à Rússia, Coreia do Norte, China e Irão.
Reutilização de passwords
A maioria das pessoas usa a mesma password (ou variações dela) em múltiplas contas. Basta uma fuga num site de baixo risco para um atacante tentar as mesmas credenciais em dezenas de outros serviços, técnica conhecida como credential stuffing.
Passwords fracas
Oito em cada dez fugas de dados envolvem passwords fracas ou reutilizadas. O nosso cérebro não é capaz de memorizar dezenas de sequências longas, aleatórias e únicas, por isso escolhemos atalhos perigosos, como datas de nascimento, nomes de animais de estimação ou o célebre “123456”.
Passkey vs Password: comparação direta
| Critério | Password | Passkey |
|---|---|---|
| Resistência ao phishing | ✗ Vulnerável — pode ser digitada num site falso | ✓ Imune — ligada ao domínio exato do site; não funciona em fakes |
| Risco de fuga de dados | ✗ Alto — password (ou hash) guardada no servidor | ✓ Baixo — apenas a chave pública fica no servidor; é inútil sem o dispositivo |
| Reutilização | ✗ Frequente — o utilizador tende a reutilizar | ✓ Impossível — cada passkey é única por conta e domínio |
| Necessidade de memorização | ✗ Sim — e tendencialmente passwords fracas | ✓ Não — gerida pelo dispositivo automaticamente |
| Ataques de força bruta | ✗ Possível — especialmente em passwords curtas | ✓ Impossível — chaves criptográficas de 256 bits são inquebrável na prática |
| Experiência de utilização | Lenta; digitar, esquecer, recuperar | Rápida; digital ou rosto em segundos |
| Disponibilidade | Funciona em qualquer lado | Funciona em iOS 16+, Android 9+, Windows 10+, todos os browsers modernos |
Porque é que uma passkey é mais segura?
A diferença fundamental é que com uma passkey, nunca existe um segredo partilhado.
Com uma password, tanto o utilizador como o servidor precisam de “saber” algo (a password) para que a autenticação funcione. Isso significa que tem de existir pelo menos uma cópia do segredo no servidor, e essa cópia pode ser roubada.
Com uma passkey, o servidor só conhece a chave pública, que por definição não é secreta e não serve para nada sem a chave privada correspondente. E a chave privada nunca abandona o seu dispositivo, nunca é transmitida pela rede, nunca está exposta num servidor remoto.
Outra vantagem crítica é a ligação ao domínio. Uma passkey é criada para um site específico. Se um atacante criar um site falso, a passkey simplesmente não funciona. O dispositivo reconhece que o domínio não corresponde e recusa-se a autenticar. Isto torna o phishing tecnicamente impossível.
E se perder o meu dispositivo?
Esta é a preocupação mais comum e compreensível. A resposta tranquilizadora é que as passkeys foram desenhadas a pensar nisto.
As passkeys sincronizam automaticamente entre os seus dispositivos através dos ecossistemas seguros das grandes plataformas: o iCloud Keychain da Apple, o Google Password Manager ou gestores independentes como o 1Password.
Se perder o telemóvel, as suas passkeys estão acessíveis noutro dispositivo seu. Mesmo que perca todos os dispositivos ao mesmo tempo, a recuperação funciona de forma semelhante à recuperação de uma password.
A Apple, por exemplo, guarda uma cópia cifrada no iCloud Keychain Escrow, protegida contra ataques de força bruta, nem a própria Apple consegue aceder ao conteúdo.
Quem já suporta passkeys?
A adoção é já muito significativa. Google, Apple, Microsoft, Amazon, PayPal, GitHub, Adobe, LinkedIn e centenas de outros serviços já permitem iniciar sessão com passkey.
A norma técnica subjacente (FIDO2/WebAuthn) foi desenvolvida pela FIDO Alliance, que inclui as maiores empresas tecnológicas do mundo, e implementada em todos os browsers modernos.
Em termos de dispositivos, as passkeys funcionam em iOS 16 e superior, Android 9 e superior, Windows 10 e superior (com Windows Hello), e macOS 13 e superior (com Touch ID). Se tem um smartphone moderno e um browser atualizado, já pode começar hoje.