Resposta curta: sim, as passkeys são seguras — e contra os ataques que de facto assumem o controlo das contas, são bastante mais seguras do que as palavras-passe. Mas «segura» não é o mesmo que «nada em que pensar». Os riscos apenas se deslocam daquilo que não controlas (um site ser pirateado) para aquilo que controlas (o teu dispositivo, a tua sincronização, a tua recuperação). Este guia explica exatamente onde as passkeys são fortes, onde estão os riscos reais e como usá-las para que se mantenham seguras.
Porque as passkeys são seguras por conceção
Uma passkey substitui a tua palavra-passe por um par de chaves criptográficas. O teu dispositivo guarda uma chave privada que nunca o abandona; o site armazena apenas uma chave pública. Para iniciar sessão, o teu dispositivo assina um desafio de uso único — nunca escreves nem transmites um segredo. Essa única decisão de conceção elimina as formas mais comuns de queda das contas:
- Sem segredo partilhado para roubar por phishing. Uma passkey está ligada ao domínio exato do site, por isso uma página de phishing parecida literalmente não consegue acionar a tua passkey real. É o mais importante, porque o phishing derrota até palavras-passe fortes. (Ver o que é phishing.)
- Sem base de dados de palavras-passe para vazar. Quando um site é pirateado, vaza apenas chaves públicas — inúteis para um atacante. O desfile interminável de fugas de credenciais simplesmente deixa de importar para essa conta.
- Nada de reutilizável é enviado. O credential stuffing e a reutilização de palavras-passe — a causa da maioria dos roubos de contas — deixam de se aplicar, porque não há segredo reutilizável para capturar.
Para a comparação direta, ver passkeys vs palavras-passe.
Então, o que pode correr mal?
O ponto fraco não é a criptografia — é a logística. Eis a lista honesta de riscos:
- Um dispositivo totalmente comprometido. Se um malware ou um keylogger já estiver a correr com acesso profundo no teu telemóvel ou portátil, pode potencialmente abusar de uma sessão depois de desbloqueares. As passkeys protegem o início de sessão; não reparam um dispositivo já envenenado. Mantém o sistema atualizado e evita apps fora da loja.
- O teu dispositivo desbloqueado em mãos erradas. Uma passkey é desbloqueada pela tua biometria ou PIN do dispositivo. Alguém com o teu telemóvel e o teu PIN poderia aprovar um início de sessão. Um PIN não trivial e o bloqueio biométrico fecham a maior parte disto.
- Perder a única cópia. Se uma passkey estiver ligada ao dispositivo e não sincronizada, um dispositivo perdido ou avariado pode significar perder o acesso a essa conta.
- Confiança na sincronização. As passkeys sincronizadas são tão seguras quanto a conta através da qual sincronizam. Uma conta Apple, Google ou de gestor mal protegida torna-se o novo ponto único de falha — por isso essa conta precisa da sua própria credencial mestra forte e de 2FA.
Repara que nenhum destes pontos é sobre quebrar a cifragem — são sobre higiene do dispositivo e recuperação. É uma superfície muito mais pequena e controlável do que «qualquer um das centenas de sites que guardam a minha palavra-passe poderia ser pirateado».
Passkeys vs palavra-passe + 2FA
Pergunta-se muitas vezes se uma passkey é realmente mais segura do que uma palavra-passe forte apoiada por autenticação de dois fatores. Para a maioria das contas, sim:
| Palavra-passe + 2FA | Passkey | |
|---|---|---|
| Vulnerável a phishing em página falsa | Sim (palavra-passe e até códigos) | Não — ligada ao domínio real |
| O servidor guarda um segredo utilizável | Sim (palavra-passe com hash) | Não — apenas uma chave pública |
| Vulnerável a SIM-swap | Se usar códigos SMS | Não |
| Passos que executas | Escrever a palavra-passe e depois aprovar o código | Um toque biométrico |
Uma passkey combina, na prática, algo que tens (o teu dispositivo) com algo que és (a tua biometria) num único passo resistente ao phishing — e é por isso que é tratada como uma forma mais forte de início de sessão multifator, não um atalho. Quando há 2FA por SMS envolvida, a diferença é ainda maior, já que os códigos estão expostos a ataques de SIM-swap.
Como manter as tuas passkeys seguras na prática
- Bloqueia bem o teu dispositivo — biometria ativada, um PIN forte, bloqueio automático, sistema atualizado.
- Sincroniza através de uma casa recuperável. Guardar as passkeys num gestor de palavras-passe multiplataforma significa que não ficam presas a um só dispositivo nem a um só ecossistema, com um caminho de recuperação claro em caso de perda do telemóvel.
- Protege a conta de sincronização. Seja o que for que guarde as tuas passkeys — Apple, Google ou um gestor — precisa de uma palavra-passe mestra forte e única e da sua própria 2FA.
- Mantém um início de sessão de reserva. Para as contas importantes, regista uma segunda passkey (ou códigos de recuperação) para que um único dispositivo perdido nunca te deixe bloqueado.
★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform
Um gestor com 2FA e passkeys integrados → NordPassGuarde TOTP e passkeys · encriptação XChaCha20 · cofre de conhecimento zero · plano gratuito→Em resumo
As passkeys são seguras? Sim — e contra phishing, credential stuffing, reutilização e fugas de bases de dados, são mais seguras do que qualquer palavra-passe que pudesses escolher. Os riscos que restam não são criptográficos; são sobre o teu dispositivo e a tua recuperação: bloqueia o dispositivo, sincroniza as passkeys através de uma conta protegida e recuperável, e mantém um início de sessão de reserva para as contas que importam. Faz isto e as passkeys não são apenas seguras — são o início de sessão diário mais seguro disponível em 2026.
Guia editorial baseado no modelo documentado de passkey FIDO2/WebAuthn (chave privada no dispositivo, verificação por chave pública, ligação ao domínio) e nas práticas-padrão de segurança de contas. As ligações comerciais incluem o atributo rel="sponsored nofollow"; pode aplicar-se uma comissão de afiliado sem custo adicional para ti.
★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform
Proteja as suas contas → NordPassPalavras-passe fortes e únicas · scanner de fugas · plano gratuito→Perguntas frequentes
As passkeys são mesmo seguras?
Sim — contra as ameaças que assumem o controlo da maioria das contas, as passkeys são mais seguras do que as palavras-passe. Uma passkey é um par de chaves criptográficas: a chave privada fica no teu dispositivo e nunca é enviada para o site, que guarda apenas uma chave pública. Não há segredo partilhado para roubar por phishing, nem base de dados de palavras-passe para vazar, nem nada reutilizável para injetar noutros inícios de sessão. Os riscos que restam não são da criptografia mas da logística: perder o dispositivo, confiar no local onde as passkeys sincronizam e a recuperação da conta. Tudo isto é gerível e muito menor do que os riscos das palavras-passe que substituem.
Uma passkey pode ser pirateada ou roubada?
A chave privada de uma passkey não te pode ser roubada por phishing como uma palavra-passe, porque nunca sai do teu dispositivo e está ligada ao domínio exato do site — uma página de início de sessão falsa não a consegue acionar. Também não há um segredo do lado do servidor para roubar numa fuga; um site pirateado vaza apenas chaves públicas inúteis. A superfície de ataque realista é um dispositivo totalmente comprometido com malware já ativo, ou alguém com o teu telemóvel desbloqueado e o respetivo PIN. Uma boa segurança do dispositivo (biometria, um PIN não trivial, sistema atualizado) fecha quase toda essa falha.
O que acontece às minhas passkeys se perder o telemóvel?
Depende de onde estão. A maioria das passkeys sincroniza através de um fornecedor — iCloud Keychain da Apple, Google Password Manager ou um gestor de palavras-passe multiplataforma — por isso iniciar sessão nessa conta num novo dispositivo restaura-as. Se uma passkey estiver ligada ao dispositivo e não sincronizada, perder o dispositivo pode significar perder essa passkey, razão pela qual cada conta deve ter também um método de início de sessão de reserva ou códigos de recuperação. Guardar as passkeys num gestor multiplataforma e recuperável evita ficar bloqueado por um único dispositivo perdido ou avariado.
Uma passkey é mais segura do que uma palavra-passe com 2FA?
Na maioria dos casos, sim. Uma palavra-passe mais um código por SMS ou app são dois segredos que ainda escreves ou aprovas, e ambos podem ser roubados por phishing numa página falsa convincente — e os códigos SMS estão expostos a ataques de SIM-swap. Uma passkey resiste ao phishing por conceção: só funciona no domínio real e não transmite nada reutilizável. Combina, na prática, algo que tens (o teu dispositivo) e algo que és (a tua biometria) num só passo, e é por isso que as equipas de segurança veem a passkey como uma forma mais forte de autenticação multifator, não um atalho mais fraco.
É seguro guardar passkeys num gestor de palavras-passe?
Sim, e muitas vezes é a escolha mais segura na prática. Um gestor reputado guarda as tuas passkeys num cofre de conhecimento zero e cifrado de ponta a ponta, sincroniza-as em todos os teus dispositivos e dá-lhes uma casa única e recuperável em vez de as deixar espalhadas ou presas a um só ecossistema. Protege esse cofre com uma palavra-passe mestra forte e única e 2FA, e obténs a resistência ao phishing das passkeys mais um caminho claro de recuperação se um dispositivo se perder.
