Durante décadas, a palavra-passe (ou password) foi o principal guardião das nossas vidas digitais. Um conjunto de letras, números e símbolos que supostamente nos protegia de tudo e de todos.
Mas a verdade é que este sistema está morto — ou pelo menos, a morrer a passos largos. A questão já não é se as passwords vão desaparecer, mas quando e o que as vai substituir.
O problema crónico das palavras-passe
Os números falam por si. Segundo o relatório anual da Verizon sobre violações de dados, mais de 80% dos ataques informáticos bem-sucedidos envolvem credenciais comprometidas. Ou seja, palavras-passe roubadas, reutilizadas ou demasiado simples.
O utilizador médio tem hoje mais de 100 contas online. É humanamente impossível memorizar 100 passwords únicas e complexas. O resultado? Reutilização massiva de credenciais, passwords do género “123456” ou “password1” e, claro, post-its colados ao monitor.
Os gestores de palavras-passe vieram ajudar, mas introduziram um novo ponto de falha: se a tua conta do gestor for comprometida, perdes tudo de uma vez. O LastPass sofreu um ataque grave em 2022 que expôs cofres de passwords de milhões de utilizadores. A lição ficou gravada.
Passkeys: a alternativa que já chegou
A solução mais promissora tem nome: passkeys. Desenvolvidas pela FIDO Alliance — uma coligação que inclui Google, Apple, Microsoft e centenas de outras empresas — as passkeys eliminam completamente a palavra-passe da equação.
O funcionamento é elegante na sua simplicidade. Quando crias uma conta com passkey, o dispositivo gera um par de chaves criptográficas: uma pública, que fica guardada no servidor do serviço, e uma privada, que nunca sai do teu dispositivo. Para autenticares, basta usares o desbloqueio biométrico do aparelho — impressão digital, reconhecimento facial ou PIN local.
Não há nada para roubar do lado do servidor. Não há phishing possível, porque a chave privada nunca viaja pela internet. É matematicamente seguro de formas que uma palavra-passe jamais conseguirá ser.
Em Portugal, já é possível usar passkeys em serviços como Google, Apple ID, Microsoft, PayPal, GitHub e cada vez mais plataformas. O processo de adoção está em curso, ainda que a uma velocidade que varia consoante o serviço.
Biometria: conveniente, mas não infalível
A biometria — impressão digital, reconhecimento facial, íris — é frequentemente apresentada como o futuro da autenticação. E tem vantagens óbvias: és a única pessoa com o teu rosto ou as tuas digitais, e não as podes esquecer.
Contudo, há limitações sérias que merecem reflexão. Ao contrário de uma password, não podes mudar a tua impressão digital se ela for comprometida.
Os sistemas de reconhecimento facial podem ser enganados com fotografias de alta resolução em dispositivos menos sofisticados. E existe sempre a questão da privacidade: onde são guardados estes dados biométricos e quem tem acesso a eles?
A abordagem mais sensata — e que as passkeys já implementam — é guardar os dados biométricos localmente no dispositivo, nunca nos servidores da empresa.
O Face ID da Apple, por exemplo, processa tudo no chip Secure Enclave do iPhone, sem nunca enviar dados para a nuvem. Isto representa um modelo que outros deveriam seguir.
Autenticação contínua e comportamental
Para além das passkeys e da biometria, há uma abordagem ainda mais sofisticada a ganhar terreno: a autenticação comportamental contínua. Em vez de verificar a identidade apenas no momento do login, o sistema monitoriza constantemente padrões de comportamento.
Como escreves, a velocidade a que navegas, o ângulo a que seguras o telemóvel, os teus padrões de digitação — tudo isto cria uma impressão digital comportamental única. Se o sistema detectar uma anomalia, pode pedir verificação adicional ou bloquear o acesso automaticamente.
Empresas como a BioCatch já fornecem esta tecnologia a bancos em todo o mundo, incluindo instituições financeiras europeias. Em Portugal, alguns bancos utilizam sistemas similares para detectar fraudes em tempo real, mesmo que o utilizador nem se aperceba disso.
O papel do hardware: chaves físicas de segurança
Para utilizadores com necessidades de segurança elevadas — jornalistas, ativistas, executivos, funcionários governamentais — as chaves de segurança físicas como as YubiKey representam o estado da arte. São dispositivos USB ou NFC que funcionam como segundo fator de autenticação e são praticamente impossíveis de comprometer remotamente.
A Google obrigou todos os seus funcionários a usar chaves físicas em 2017. O resultado? Zero casos de phishing bem-sucedido desde então. Um dado que diz tudo sobre a eficácia desta abordagem.
O que muda para o utilizador
Para quem usa Android ou iOS atualizado, as passkeys já funcionam de forma nativa. O Google Password Manager e o iCloud Keychain gerem automaticamente estas chaves. Basta ativar a opção quando um serviço a disponibilizar — e cada vez mais serviços o fazem.
A transição não será instantânea. Haverá um período longo de coexistência entre passwords tradicionais e novos métodos. Mas a direção é clara e irreversível.
- Ativa passkeys em todos os serviços que já as suportam
- Usa autenticação de dois fatores onde as passkeys ainda não estão disponíveis
- Considera um gestor de passwords como medida de transição
- Mantém o sistema operativo do teu dispositivo sempre atualizado
Conclusão: a mudança que precisávamos
As palavras-passe foram sempre uma solução imperfeita para um problema complexo. Pediam aos humanos que se comportassem como máquinas — memorizando sequências aleatórias de caracteres — e puniam-nos quando falhavam. O novo paradigma inverte esta lógica: a tecnologia adapta-se ao ser humano, não o contrário.
A transição levará anos e haverá resistência, especialmente em serviços mais antigos e organizações menos ágeis. Mas para quem acompanha a evolução da cibersegurança, é evidente que estamos a viver o fim de uma era. E, francamente, já era tempo.
