O que é uma passkey, em concreto?

Uma **passkey** é um par de chaves criptográficas (pública + privada) guardado no teu dispositivo (telemóvel, computador, YubiKey). A chave privada NUNCA sai do dispositivo. Quando inicias sessão num site, este envia um desafio criptográfico, o teu dispositivo assina-o com a chave privada (desbloqueada por biometria ou PIN), e o site verifica com a chave pública. **Nenhuma palavra-passe é transmitida ou guardada**. Impossível fazer phishing (a assinatura só funciona no site correto).

Passkeys vs. palavras-passe: quais são as verdadeiras vantagens em 2026?

As **passkeys** eliminam 3 grandes riscos das palavras-passe: (1) phishing impossível — a assinatura criptográfica SÓ funciona no site exatamente correto; (2) nenhuma palavra-passe para memorizar ou escrever, desbloqueio biométrico em 1 segundo; (3) nenhum segredo guardado do lado do servidor (não se pode roubar o que não existe). Desvantagem em 2026: apenas uma minoria dos grandes sites as suporta, face a praticamente todos os sites no caso das palavras-passe. Um gestor de palavras-passe como o Bitwarden ou o NordPass gere ambos durante a transição.

As passkeys vão substituir as palavras-passe em 2026?

**Ainda não em 2026**. A adoção avança depressa entre os GAFAM (Google, Apple, Microsoft, Github, Amazon suportam passkeys) mas continua limitada nos sites de nicho. Em 2026, uma fração crescente mas ainda minoritária dos grandes sites suporta passkeys, e apenas uma pequena parte dos utilizadores as ativou. A transição vai decorrer ao longo de 5-10 anos. Entretanto, **passkeys + palavra-passe + 2FA** coexistem, e um gestor como o NordPass ou o Bitwarden gere os três.

Que sites suportam realmente passkeys em 2026?

**Adoção alargada** (passkeys disponíveis e recomendadas): Google, Apple ID, Microsoft, Github, Amazon, eBay, PayPal, Adobe, Best Buy, Yahoo. **Adoção parcial** (passkeys disponíveis mas opcionais): LinkedIn, X (ex-Twitter), Shopify, Cloudflare, Coinbase, Robinhood. **Ainda não** (junho de 2026): a maioria dos bancos europeus, muitos SaaS B2B, sites de e-commerce de nicho, serviços públicos. Verifica a lista atualizada em passkeys.directory.

Deves ativar passkeys agora?

**Sim, em todo o lado onde for possível**. Benefícios imediatos: impossibilidade de phishing (a assinatura só funciona no site correto), nenhuma palavra-passe para memorizar ou escrever, desbloqueio biométrico rápido. Mantém a tua palavra-passe Bitwarden ativa como método de recurso (caso percas o dispositivo ou as passkeys não estejam sincronizadas). Recomendação: ativa passkeys no Google, Apple ID, Github e em todas as contas críticas onde forem oferecidas.

Passkeys vs. Palavras-passe 2026: O fim dos gestores de palavras-passe?

Q: O NordPass e o Bitwarden suportam passkeys?

**Sim, desde 2024**. O NordPass e o Bitwarden conseguem ambos guardar e sincronizar passkeys para sites compatíveis. Podes assim usar o Bitwarden como fornecedor de passkeys multiplataforma (iOS, Android, Windows, macOS, Linux). Isto contorna o lock-in do Apple Keychain (apenas iOS) ou do Google Password Manager (apenas Android). **Vantagem chave**: as tuas passkeys são sincronizadas em todos os teus dispositivos através da encriptação zero-knowledge.

📌 Contexto 2026: o NordPass e o Bitwarden guardam ambos passkeys cross-device desde 2024. Se ainda não escolheste um cofre, o NordPass continua a ser a nossa escolha mainstream #1 (XChaCha20, sincronização de passkeys fluida, 1,49 €/mês) — o Bitwarden mantém a vantagem em open source / self-host.

As passkeys são um grande avanço na autenticação: nenhuma palavra-passe para memorizar, anti-phishing por conceção, desbloqueio biométrico rápido. Mas em junho de 2026 ainda não substituem as palavras-passe — a transição vai acontecer gradualmente ao longo de 5-10 anos. Eis como navegar neste período de coexistência.

Passkeys em 2026: excelentes onde são suportadas, mas a maioria dos grandes sites e a grande maioria dos sites de nicho ainda dependem das palavras-passe. O NordPass ou o Bitwarden continua a ser essencial.

01 — O que é uma passkey, exatamente?

Uma passkey é um par de chaves criptográficas (pública + privada) guardado no teu dispositivo. A chave privada nunca sai do dispositivo — protegida por biometria ou PIN. Quando inicias sessão, o site envia um desafio criptográfico que o teu dispositivo assina localmente. O site verifica a assinatura com a chave pública. Nenhuma palavra-passe é transmitida. O resultado: o phishing torna-se impossível por conceção — a assinatura só funciona na origem criptográfica exata do site.

Uma passkey é um par de chaves criptográficas guardado no teu dispositivo:

Chave privada: NUNCA sai do dispositivo. Protegida por biometria (Face ID, Touch ID, Windows Hello) ou PIN local.
Chave pública: enviada ao site durante o registo.

Durante um início de sessão:

O site envia um desafio criptográfico (aleatório) ao teu navegador
O teu dispositivo pede-te para desbloquear (biometria ou PIN)
A chave privada assina o desafio
O site verifica a assinatura com a chave pública
✅ Início de sessão bem-sucedido sem qualquer palavra-passe transmitida

Implicação chave: phishing impossível (a assinatura SÓ funciona no site correto, por estar ligada à origem criptográfica).

02 — Adoção em junho de 2026: o ponto da situação

Grandes sites com forte adoção:

Google (todas as apps + Workspace)
Apple ID
Microsoft (conta pessoal + Microsoft 365)
Amazon
Github
eBay, PayPal, Best Buy, Adobe, Yahoo

Adoção parcial:

LinkedIn, X (Twitter), Shopify, Cloudflare, Coinbase, Robinhood

Ainda não:

Grandes bancos europeus (BNP, Société Générale, etc.)
Sites de e-commerce de nicho
Serviços públicos (impots.gouv.fr, Ameli, etc.)
A maioria dos SaaS B2B
Sites de imprensa, fóruns, comunidades

Estimativa aproximada junho de 2026: uma minoria dos grandes sites globais suporta passkeys, e a fração de utilizadores que as ativou em pelo menos um site continua pequena — a lista atualizada de sites compatíveis está em passkeys.directory.

02 bis — O que a coexistência muda na prática

Mesmo onde as passkeys estão disponíveis, a experiência continua desigual de um serviço para outro em 2026. Há vários atritos a antecipar:

As palavras-passe continuam muitas vezes a ser um recurso obrigatório: muitos serviços oferecem passkeys como opção mas mantêm o ecrã de palavra-passe por defeito. Por vezes tens de clicar explicitamente em «Iniciar sessão de outra forma → passkey».
A sincronização depende do teu ecossistema: uma passkey criada no Apple Keychain (iCloud Keychain) é partilhada entre dispositivos Apple, mas não é diretamente utilizável no Windows ou no Android sem passar por um gestor multiplataforma (NordPass, Bitwarden, 1Password) ou um procedimento de transferência.
Alguns serviços voltam a impor uma reautenticação periódica por palavra-passe mesmo com uma passkey ativa, para ações sensíveis.

Consequência prática: um cofre multiplataforma continua a ser essencial para guardar as palavras-passe residuais e servir de fornecedor de passkeys unificado fora do ecossistema Apple. A promessa anti-phishing das passkeys mantém-se (é uma propriedade criptográfica do WebAuthn/FIDO2, não uma opinião), mas a cobertura ainda não é universal.

03 — Vantagens passkeys vs. palavras-passe

Critério	Palavras-passe	Passkeys
Memorização	Palavra-passe mestra + 2FA	Nenhuma (biometria)
Phishing	Vulnerável	Impossível por conceção
Reutilização	Risco humano	Nenhum (chave por site)
Comprometimento do servidor	Hash a quebrar	Inutilizável (nenhum segredo guardado)
Força bruta	Possível se a mestra for fraca	Impossível (chave aleatória de 256 bits)
UX	Escrever + preenchimento automático	Toque biométrico
Multidispositivo	Sync via gestor	Sync via SO/gestor
Transferência	Exportar/importar	Em padronização

As passkeys vencem em quase todos os critérios de segurança. As palavras-passe mantêm a vantagem da portabilidade total e da disponibilidade universal.

04 — NordPass + passkeys: a combinação vencedora de 2026

O NordPass e o Bitwarden suportam passkeys desde 2024. Podes então:

Guardar as tuas passkeys no NordPass (ou no Bitwarden) (em vez do Apple Keychain ou do Google Password Manager)
Sincronizar em todos os teus dispositivos (iOS, Android, Windows, macOS, Linux) através da encriptação zero-knowledge
Manter as tuas palavras-passe no mesmo cofre para os sites que ainda não suportam passkeys
Migrar gradualmente: ativa passkeys nos sites compatíveis, mantém palavra-passe + 2FA nos restantes

Grande vantagem: evitas o lock-in Apple-only (o Keychain não funciona no Android) ou Google-only (o Password Manager é limitado no iOS).

05 — Como ativar passkeys agora

No Google: myaccount.google.com → Segurança → Passkeys e chaves de segurança → Criar uma passkey.

No Apple ID: Definições → [o teu nome] → Início de sessão e segurança → Passkeys.

No Github: Settings → Password and authentication → Passkeys → Add a passkey.

No Microsoft: account.microsoft.com → Segurança → Opções de segurança avançadas → Passkeys.

Estratégia de transição:

Ativa primeiro no Google + Apple ID (contas centrais)
Depois no Github / Microsoft (se fores programador)
Depois no PayPal / Amazon (contas financeiras/e-commerce)
Mantém palavra-passe Bitwarden + 2FA TOTP como recurso em todo o lado

06 — Riscos e limites das passkeys

Perda do dispositivo: se as tuas passkeys não estiverem sincronizadas (Apple Keychain offline) e perderes o teu iPhone, o procedimento de recuperação é longo (muitas vezes: recurso a palavra-passe + 2FA por email/SMS). Daí o valor de um gestor multiplataforma como o NordPass ou o Bitwarden.
Lock-in do ecossistema: a Apple, a Google e a Microsoft promovem os seus próprios fornecedores de passkeys para te manter no seu jardim. O Bitwarden quebra este lock-in.
Adoção desigual: enquanto a maioria dos sites não as suportar, vais sempre precisar de palavras-passe. O Bitwarden gere ambos.
Recuperação da conta: se perderes todos os teus dispositivos E os teus backups Bitwarden, acabou. Daí a importância dos backups cifrados do gestor (Tools → Export Vault).

07 — Veredicto 2026

As passkeys são melhores do que as palavras-passe em quase todos os critérios de segurança. Mas em junho de 2026 a transição ainda é parcial: a maioria dos grandes sites e a grande maioria dos sites de nicho ainda dependem das palavras-passe.

Recomendação: adota uma estratégia híbrida:

✅ Passkeys ativadas em todo o lado onde for possível (anti-phishing, UX rápida)
✅ NordPass Premium ou Bitwarden para guardar passkeys E palavras-passe (multiplataforma) — vê o nosso ranking dos melhores gestores de palavras-passe 2026 para escolher o adequado
✅ 2FA TOTP nas contas críticas que ainda usam palavra-passe
✅ Backups regulares do gestor (exportação cifrada)
✅ Para as contas ainda com palavra-passe, verifica a robustez atual com o nosso verificador de robustez de palavras-passe

Daqui a 5-10 anos podemos falar do fim das palavras-passe. Não em 2026.

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Ver NordPass Premium →Fornecedor de passkeys desde 2024 · 1,49 €/mês plano de 2 anos→

08 — Para aprofundar

Análise NordPass 2026 completa
Bitwarden vs. 1Password
Metodologia pública
Glossário de palavras-passe e autenticação — definições de passkey, FIDO2, WebAuthn, TOTP, phishing e mais

Dados de adoção: registos públicos passkeys.directory e anúncios oficiais dos fornecedores (Google, Apple, Microsoft, GitHub, etc.). As percentagens de adoção são estimativas indicativas, não medições exaustivas.