Durante décadas, as palavras-passe foram o principal guardião da nossa vida digital. Um conjunto de letras, números e símbolos que, teoricamente, só nós conhecíamos. Na prática, sabemos bem como correu: passwords reutilizadas, ataques de phishing, bases de dados comprometidas e o eterno ciclo de redefinir credenciais após cada nova fuga de dados. O modelo está quebrado, e a indústria tecnológica finalmente decidiu abandoná-lo de vez.
O que são as passkeys e por que mudam tudo
A solução que está a emergir como substituta universal chama-se passkey. O conceito, desenvolvido pela aliança FIDO em conjunto com a Apple, Google e Microsoft, elimina a necessidade de memorizar qualquer código secreto.
Em vez disso, a autenticação baseia-se em criptografia de chave pública. Quando se cria uma conta numa plataforma compatível, o dispositivo gera automaticamente um par de chaves: uma pública, que fica nos servidores do serviço, e uma privada, que nunca sai do dispositivo. Para iniciar sessão, basta confirmar a identidade localmente, com impressão digital, reconhecimento facial ou PIN do dispositivo, e a autenticação acontece de forma instantânea e segura.
O resultado prático é claro: nenhuma password para roubar, nenhum servidor com credenciais que possam ser comprometidas em massa, e nenhuma possibilidade de phishing clássico funcionar, porque a chave privada nunca é transmitida pela internet. A Google reporta que as contas com passkey têm uma taxa de comprometimento 99,9% inferior às contas com password, e que o processo de autenticação é quatro vezes mais rápido.
A transição já está a acontecer, e mais depressa do que se esperava
Atualmente, mais de 15 mil milhões de contas já podem autenticar-se com passkeys, incluindo as da Apple, Google, Microsoft, Amazon, GitHub e PayPal, entre centenas de outros serviços. A Microsoft anunciou planos para implementar passkeys para mais de mil milhões de utilizadores, em resposta a um aumento de 200% nos ataques informáticos registados na sua plataforma.
As passkeys são atualmente uma opção de autenticação de primeira classe nas contas Google, Apple e Microsoft. A Microsoft lançou também as Passkey Profiles e as Synced Passkeys em disponibilidade geral para o Entra ID, permitindo que as credenciais sejam sincronizadas em segurança entre dispositivos através de gestores de palavras-passe como o iCloud Keychain, o Google Password Manager, o 1Password ou o Bitwarden.
Na prática, o utilizador que configura uma passkey numa conta Google deixa simplesmente de ver o campo de palavra-passe. Ao aceder, o browser ou o sistema operativo reconhece o serviço, pede a biometria do dispositivo, um toque no sensor de impressão digital ou o Face ID, e o acesso é garantido em menos de dois segundos.
E se perder o dispositivo? A questão da recuperação
Esta é, legitimamente, a principal preocupação dos utilizadores. Se a chave privada reside no dispositivo, o que acontece quando o telefone se parte ou é roubado?
As passkeys sincronizam através dos ecossistemas nativos: o iCloud Keychain sincroniza entre todos os dispositivos Apple do utilizador; o Google Password Manager faz o mesmo no Android e no Chrome; e a Microsoft armazena passkeys na cloud através do Windows Hello. Os serviços mantêm também métodos de recuperação alternativos, como códigos enviados por e-mail ou autenticação em dispositivos de backup, para situações de perda total de acesso.
A norma NIST SP 800-63-4, finalizada em julho de 2025, classifica as passkeys sincronizadas como cumprindo o nível de garantia de autenticação AAL2, resolvendo uma ambiguidade de conformidade que tornava alguns setores regulados hesitantes na sua adoção. Isto representa um sinal claro para a banca, saúde e serviços governamentais: as passkeys são agora tecnicamente aceitáveis mesmo em contextos de alta segurança.
Autenticação biométrica, tokens físicos e o papel da IA
As passkeys não são o único vetor de mudança. A autenticação multifator evoluiu muito além dos tradicionais SMS com códigos de seis dígitos, que continuam vulneráveis a ataques de SIM swapping, um problema crescente também em Portugal.
As chaves de segurança físicas, como as da YubiKey, oferecem um nível de proteção que poucos sistemas conseguem ultrapassar, sendo já obrigatórias em algumas empresas tecnológicas para acesso a sistemas críticos. São pequenos dispositivos USB ou NFC que funcionam como segundo fator de autenticação praticamente inviolável.
A inteligência artificial começa também a ter um papel crescente nesta equação. Sistemas de autenticação comportamental analisam padrões de utilização, desde a forma de escrever e a velocidade de digitação ao movimento do rato e à localização habitual, para detetar acessos anómalos em tempo real, mesmo que as credenciais sejam válidas. É autenticação contínua, invisível e passiva.
Os desafios que ainda persistem
A transição não é isenta de obstáculos. A interoperabilidade entre ecossistemas, por exemplo entre Apple e Android, pode ainda ser complexa, e os mecanismos de recuperação podem introduzir vulnerabilidades se não forem bem geridos. As lacunas de literacia digital persistem, e as infraestruturas legadas das empresas continuam a ser um entrave real, especialmente em setores regulados como a banca ou a saúde.
Em Portugal, plataformas como o portal das Finanças e os serviços bancários estão a explorar autenticação mais robusta, embora a adoção plena de passkeys ainda esteja numa fase inicial no mercado nacional. Contudo, aplicações amplamente utilizadas pelos portugueses, como o Gmail, o WhatsApp ou o iCloud, já suportam plenamente este sistema.
O futuro chegou, mas a transição ainda está a meio caminho
A direção é clara e irreversível: as palavras-passe estão a desaparecer. Não de forma abrupta, mas numa erosão gradual que se acelera à medida que mais plataformas adotam passkeys e mais utilizadores experienciam a conveniência de autenticar-se com uma impressão digital sem digitar uma única letra.
As previsões para os próximos anos apontam para que as passwords se tornem um método de autenticação de recurso, relegadas para sistemas legados, enquanto as passkeys se consolidam como o padrão dominante para aplicações de consumo e empresariais.
Para o utilizador português, o conselho prático é simples: sempre que uma plataforma oferecer a opção de configurar uma passkey, aceite-a. Ative autenticação multifator em todos os serviços que a suportem. E abandone, de vez, a prática de reutilizar passwords, pelo menos enquanto esta transição não estiver completa.
O futuro da autenticação será mais seguro, mais rápido e, ironicamente, mais simples. A complexidade estará sempre por baixo, invisível. E isso, afinal, é como a boa tecnologia deve funcionar.
