Inicias sessão dando uma olhadela ao teu telemóvel — nenhuma palavra-passe escrita, nada para esquecer, nada para capturar por phishing. Isto é uma passkey, e em 2026 é a tecnologia que está silenciosamente a substituir a palavra-passe. Este guia explica, de forma simples, o que é uma passkey, como funciona, porque é mais segura do que uma palavra-passe e como manter as tuas passkeys disponíveis em todos os teus dispositivos.
O que é uma passkey
Uma passkey substitui a tua palavra-passe por um par de chaves criptográficas. Quando crias uma passkey para um site, o teu dispositivo gera duas chaves:
- uma chave privada que nunca sai do teu dispositivo, protegida pelo teu rosto, impressão digital ou PIN;
- uma chave pública que o site guarda.
Para iniciar sessão, o site envia um desafio de uso único; o teu dispositivo assina-o com a chave privada e devolve a assinatura. O site verifica-a com a chave pública. Nunca escreves nem transmites um segredo — apenas aprovas com a tua biometria. É algo que tens (o dispositivo que guarda a chave) mais algo que és (a tua biometria).
Passkey vs palavra-passe
Uma palavra-passe é um segredo partilhado: tu e o site possuem-na ambos, escreve-la e qualquer pessoa que a roube, capture por phishing ou adivinhe torna-se tu. Uma passkey é um par de chaves: a metade privada permanece no teu dispositivo e nunca é enviada, e o site guarda apenas a metade pública, inútil para ladrões.
| Palavra-passe | Passkey | |
|---|---|---|
| Segredo guardado no servidor | Sim (com hash) | Não — apenas uma chave pública |
| Vulnerável a phishing | Sim | Não (ligada ao domínio real) |
| Reutilizável entre sites | Muitas vezes (mau) | Nunca — única por site |
| Tens de a memorizar | Sim | Não |
Para o hábito mais amplo em que se enquadra, vê o que é um gestor de palavras-passe e o que é uma frase-passe.
Porque é que as passkeys são mais seguras
- Sem segredo partilhado — uma violação do servidor só expõe chaves públicas, que não conseguem iniciar sessão por ninguém. A infindável parada de fugas de bases de dados de palavras-passe simplesmente deixa de importar.
- Resistente ao phishing — uma passkey está ligada ao domínio exato do site, por isso uma página de phishing semelhante não consegue acionar a tua passkey real. Este é o ponto crucial, já que o phishing derrota até palavras-passe fortes. (Vê o que é o phishing.)
- Nada de reutilizável é enviado — o credential stuffing e a reutilização de palavras-passe, a causa da maioria das tomadas de conta, já não se aplicam.
Como as passkeys são guardadas e sincronizadas
As tuas chaves privadas vivem nos teus dispositivos, mas normalmente sincronizam para que não fiques preso a um único aparelho:
- Sincronização de plataforma — Porta-chaves iCloud da Apple, Gestor de Palavras-passe da Google, Microsoft — conveniente se vives num só ecossistema.
- Um gestor de palavras-passe multiplataforma — guarda as tuas passkeys e sincroniza-as entre iPhone, Android, Windows, Mac e navegadores, para que não fiques preso a um único fornecedor e tenhas uma casa recuperável para elas.
As questões do aprisionamento ao ecossistema e da recuperação são a principal fricção prática com as passkeys — e um gestor multiplataforma é a resposta mais limpa.
Guarda as tuas passkeys em todos os dispositivos → BitwardenCódigo aberto · Armazenamento de passkeys multiplataforma (iPhone, Android, Windows, Mac, navegador) · Cofre de conhecimento zero com 2FA→Onde podes usar passkeys
A adoção é ampla em 2026 — Google, Apple, Microsoft, Amazon, PayPal e muitos bancos suportam passkeys, com tratamento nativo nos principais navegadores e sistemas operativos. Muitos sites mais pequenos ainda usam palavras-passe, por isso a configuração realista é híbrida: usa passkeys onde quer que sejam oferecidas e um gestor de palavras-passe com uma forte 2FA para o resto. Para aprofundar a configuração e a comparação, vê passkeys vs palavras-passe e configurar passkeys na Google, Apple e Microsoft.
A conclusão
Uma passkey faz-te iniciar sessão com uma chave privada no teu dispositivo, desbloqueada pelo teu rosto ou impressão digital, em vez de um segredo que escreves. Como não há segredo partilhado e as passkeys estão ligadas ao site real, derrotam phishing, credential stuffing, reutilização e fugas de bases de dados num só movimento. Usa passkeys em todo o lado onde forem oferecidas, guarda-as num gestor multiplataforma para nunca ficares preso, e mantém um gestor de palavras-passe com 2FA para os sites que ainda não acompanharam.
Guia editorial baseado no modelo de passkey FIDO2/WebAuthn documentado (chave privada guardada no dispositivo, verificação por chave pública, ligação ao domínio). As ligações comerciais têm o atributo rel="sponsored nofollow"; pode aplicar-se uma comissão de afiliação sem custo adicional para ti.
★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform
Proteja as suas contas → NordPassPalavras-passe fortes e únicas · scanner de fugas · plano gratuito→
