CibersegurançaNotícias

Segurança das Passkeys: Os riscos ocultos que você precisa conhecer

Entenda por que a conveniência das chaves de acesso sincronizadas pode ser a porta de entrada para invasores e como se proteger de verdade.

Escrito por
Jardeson Márcio
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...
Follow:
Passkeys

As passkeys foram apresentadas como o marco definitivo do fim das senhas e, com elas, do phishing. A promessa é tentadora: autenticação instantânea, resistente a ataques de engenharia social e fácil de usar. Essa tecnologia, baseada no padrão WebAuthn, representa uma das maiores evoluções em segurança digital da última década.

Mas há um ponto crítico que poucos estão discutindo: nem todas as passkeys são criadas iguais. A diferença entre passkeys sincronizadas e passkeys vinculadas ao dispositivo pode determinar se sua conta está realmente protegida ou apenas parece estar.

À medida que empresas e usuários adotam essa tecnologia, compreender os riscos das passkeys sincronizadas é essencial para evitar uma falsa sensação de segurança. Este artigo explica, de forma clara e técnica, por que a conveniência pode ser o maior inimigo da segurança — e como corrigir isso.

Passkeys
Veja a sessão “capturada”. Imagem: Proofpoint

O que são passkeys e a diferença crucial que você precisa saber

Antes de entender os riscos, é fundamental compreender como funcionam as passkeys. Elas são baseadas no padrão WebAuthn, parte da iniciativa da FIDO Alliance, e substituem senhas por um par de chaves criptográficas: uma pública, armazenada pelo servidor, e uma privada, que fica protegida no seu dispositivo.
Quando você faz login, a autenticação é feita localmente, sem transmitir nenhuma senha — o que, em teoria, elimina o phishing e os vazamentos de credenciais.

As passkeys sincronizadas: conveniência com um custo

As passkeys sincronizadas são o tipo mais comum entre usuários de Google, Apple e Microsoft. Elas são criadas em um dispositivo (por exemplo, seu celular) e depois sincronizadas automaticamente via iCloud Keychain ou Gerenciador de Senhas do Google para todos os seus dispositivos conectados à mesma conta.

Essa abordagem tem vantagens óbvias:

  • Usabilidade: a autenticação é rápida e consistente entre dispositivos.
  • Recuperação facilitada: se você perder o celular, basta entrar com sua conta Apple ou Google em outro aparelho e recuperar suas passkeys.

Mas há um custo de segurança nessa conveniência. O limite de confiança deixa de ser o dispositivo físico e passa a ser a conta na nuvem. Em outras palavras, se sua conta Google ou Apple for comprometida, todas as passkeys sincronizadas estarão potencialmente em risco — mesmo que os dispositivos originais estejam seguros.

As passkeys vinculadas ao dispositivo: o padrão-ouro da segurança

As passkeys vinculadas ao dispositivo funcionam de modo diferente. Aqui, a chave privada é criada e armazenada exclusivamente em um hardware seguro, como o Secure Enclave de um iPhone, o TPM de um notebook ou uma YubiKey. Essa chave nunca é exportada ou sincronizada com a nuvem.

O resultado é uma segurança significativamente maior:

  • Impossibilidade de exportação da chave privada.
  • Ausência de dependência da nuvem, eliminando riscos de sincronização comprometida.
  • Controle total por parte do usuário ou administrador de TI.

Por essas razões, as passkeys vinculadas ao dispositivo são consideradas o padrão-ouro da segurança corporativa, especialmente em ambientes que exigem conformidade regulatória e proteção contra invasores avançados.

Como invasores exploram as fraquezas das passkeys sincronizadas

A promessa das passkeys é forte, mas na prática, elas herdam os riscos do ecossistema em que vivem. Quando sincronizadas via nuvem, abrem-se brechas que criminosos podem explorar — não quebrando a criptografia, mas contornando o sistema.

Vetor 1: Apropriação de contas na nuvem e recuperação

Se um invasor obtém acesso à sua conta Apple ou Google, ele pode usar os mecanismos de recuperação de conta para autorizar um novo dispositivo.
Esse novo dispositivo, uma vez autenticado, sincroniza automaticamente todas as passkeys associadas à conta.

Isso significa que a segurança das suas passkeys sincronizadas depende totalmente da segurança da sua conta na nuvem — e não da criptografia local. Mesmo que a passkey em si seja inquebrável, o invasor não precisa quebrá-la: basta enganar o processo de recuperação.

Esse vetor é especialmente perigoso em ambientes corporativos, onde uma única conta comprometida pode conceder acesso a sistemas críticos.

Vetor 2: Ataques de downgrade de autenticação (AiTM)

Outro risco crescente vem dos ataques Adversary-in-the-Middle (AiTM). Nesse tipo de ataque, o invasor cria um proxy de phishing que se coloca entre o usuário e o servidor legítimo.

O atacante faz o servidor acreditar que o navegador do usuário não suporta passkeys, forçando o sistema a oferecer um método de autenticação alternativo — como SMS, TOTP ou link por e-mail.
Esses métodos são facilmente interceptáveis, permitindo que o invasor contorne completamente a proteção da passkey.

Pesquisas recentes mostram que muitos usuários acabam caindo nesse tipo de armadilha por não perceberem a troca sutil de método de autenticação, especialmente em sites falsos visualmente idênticos ao original.

Vetor 3: Sequestro por extensões de navegador maliciosas

Mesmo quando as passkeys estão implementadas corretamente, extensões de navegador maliciosas podem introduzir novas vulnerabilidades.
Essas extensões podem interceptar chamadas da API WebAuthn, manipulando o processo de registro ou login.

Uma extensão comprometida pode, por exemplo:

  • Forçar um fallback para senha;
  • Aprovar uma autenticação de forma silenciosa;
  • Registrar o usuário em um domínio falso.

Tudo isso sem quebrar a criptografia — apenas explorando o elo mais fraco: o ambiente de execução.
Por isso, mesmo o navegador e seu ecossistema de extensões se tornam partes críticas da superfície de ataque.

Guia prático: como implementar passkeys de forma segura

Entender as vulnerabilidades é apenas o primeiro passo. O próximo é adotar práticas sólidas para garantir que a implementação de passkeys realmente ofereça o nível de segurança prometido.

Para empresas e administradores de TI

Em ambientes corporativos, a prioridade deve ser a eliminação de ambiguidade na autenticação. Algumas recomendações práticas:

  1. Exigir passkeys vinculadas ao dispositivo para todos os sistemas críticos.
    Isso significa usar chaves de segurança físicas (como YubiKey, Feitian ou Titan) ou módulos TPM integrados.
  2. Desativar métodos alternativos como SMS, TOTP ou e-mail de recuperação.
    Esses mecanismos enfraquecem o modelo de segurança e reabrem brechas conhecidas.
  3. Implementar políticas de allow-listing para extensões de navegador.
    Apenas extensões auditadas e aprovadas devem ser permitidas em estações de trabalho corporativas.
  4. Educar os funcionários sobre o conceito de “autenticação verdadeira”. Mesmo tecnologias avançadas perdem eficácia se o usuário não compreender seu funcionamento.
  5. Monitorar continuamente os eventos de autenticação. Logs centralizados permitem identificar comportamentos suspeitos e responder rapidamente.

Ao seguir essas práticas, empresas podem atingir um patamar de segurança próximo do ideal, minimizando os vetores que tornam as passkeys sincronizadas vulneráveis.

Para usuários avançados

Mesmo fora do ambiente corporativo, usuários podem — e devem — fortalecer sua própria segurança:

  1. Prefira passkeys vinculadas ao dispositivo para contas críticas (e-mail principal, banco, autenticação multifatorial).
  2. Proteja sua conta na nuvem com os métodos mais fortes disponíveis: autenticação por hardware, alertas de login e chaves de recuperação físicas.
  3. Evite extensões de navegador de fontes desconhecidas. Um único complemento comprometido pode neutralizar toda a sua camada de segurança.
  4. Revise periodicamente os dispositivos sincronizados com sua conta Apple ou Google e remova aqueles que você não reconhece.
  5. Não confie em “atalhos de login” oferecidos por sites desconhecidos — especialmente se redirecionarem para domínios não oficiais.

Essas medidas simples reduzem drasticamente o risco de comprometimento e garantem que a segurança das passkeys seja uma vantagem real, e não apenas uma ilusão.

Conclusão: a conveniência não pode superar a segurança

As passkeys representam uma revolução inegável na autenticação moderna. No entanto, a segurança das passkeys depende diretamente de sua implementação.
As passkeys sincronizadas oferecem conveniência e praticidade, mas também introduzem vetores de ataque relacionados à sincronização em nuvem, recuperação de contas e ambientes inseguros.

Por outro lado, as passkeys vinculadas ao dispositivo oferecem isolamento físico, controle total e resiliência superior, tornando-se o padrão recomendado para ambientes corporativos e usuários que valorizam segurança real.

No fim, a lição é clara: a conveniência não deve substituir a segurança.
Reveja hoje mesmo as configurações das suas contas mais importantes, fortaleça a proteção das suas passkeys e considere investir em uma chave de segurança de hardware.
Para administradores e profissionais de TI, é hora de reavaliar políticas de autenticação e garantir que o elo mais fraco não esteja escondido atrás da promessa de uma tecnologia “à prova de falhas”.

TAGS:
Compartilhe este artigo
Games

Gregg Mayles se despede da Rare com uma poesia emocionante

Gregg Mayles se despede da Rare com uma poesia emocionante

Gregg Mayles, icônico diretor de jogos da Rare, anuncia sua saída em uma poesia tocante. Descubra os detalhes dessa transição.

Por Emanuel Negromonte

Leia também

Posts sobre o mesmo assunto