Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Português
Entry № 892

Passkey

Revisado porCybersecurity entrepreneur & security researcher

O que é Passkey?

PasskeyCredencial FIDO2/WebAuthn resistente a phishing: par de chaves assimétricas ligado ao dispositivo ou sincronizável que substitui as palavras-passe por um desafio-resposta criptográfico.

Uma passkey é uma credencial de chave pública criada e armazenada por um autenticador (smartphone, chave de segurança ou keychain de plataforma) e registada na parte confiante. Assenta em dois padrões: a API WebAuthn do W3C (o Nível 1 tornou-se Recomendação a 4 de março de 2019, o Nível 2 a 8 de abril de 2021, com o Nível 3 em rascunho) e o protocolo CTAP2 da FIDO Alliance entre cliente e autenticador — em conjunto comercializados como FIDO2. Para iniciar sessão, o utilizador desbloqueia o autenticador por biometria ou PIN; o dispositivo assina com a chave privada um desafio de uso único enviado pelo servidor, que verifica a assinatura com a chave pública registada.

Como a chave privada nunca sai do elemento seguro e a asserção está ligada criptograficamente à origem do serviço (o rpId), as passkeys eliminam a reutilização de palavras-passe, o phishing, o replay e a maioria dos kits adversary-in-the-middle como o Evilginx: a origem assinada não coincide com o domínio do atacante. A Apple introduziu passkeys de consumo na WWDC 2022; a Google tornou-as a opção predefinida em 2023 e a Microsoft seguiu para contas de consumo em 2024. As passkeys sincronizadas (iCloud Keychain, Google Password Manager, 1Password) recuperam-se entre dispositivos, enquanto as passkeys ligadas ao dispositivo em chaves como as YubiKey oferecem o maior nível de garantia para uso empresarial. O risco residual centra-se nos mecanismos de recuperação de conta e na confiança depositada nos fornecedores de sincronização na nuvem.

flowchart TD
  subgraph R[Registo]
    A[Utilizador] -->|desbloqueio biometria/PIN| B[O autenticador gera o par de chaves]
    B -->|chave publica + ID de credencial| C[A parte confiante armazena a chave publica]
  end
  subgraph V[Autenticacao]
    D[O servidor envia um desafio aleatorio] --> E[O autenticador assina o desafio<br/>com a chave privada, ligada ao rpId]
    E -->|assercao assinada| F{Assinatura valida<br/>e origem coincide?}
    F -->|Sim| G[Acesso concedido]
    F -->|Nao| H[Rejeitado - phishing/replay bloqueado]
  end

Exemplos

  1. 01

    Iniciar sessão no Google com a passkey guardada no iCloud Keychain de um iPhone.

  2. 02

    Uma passkey empresarial numa YubiKey usada para autenticação no Microsoft Entra ID.

Perguntas frequentes

O que é Passkey?

Credencial FIDO2/WebAuthn resistente a phishing: par de chaves assimétricas ligado ao dispositivo ou sincronizável que substitui as palavras-passe por um desafio-resposta criptográfico. Pertence à categoria Identidade e acesso da cibersegurança.

O que significa Passkey?

Credencial FIDO2/WebAuthn resistente a phishing: par de chaves assimétricas ligado ao dispositivo ou sincronizável que substitui as palavras-passe por um desafio-resposta criptográfico.

Como se defender contra Passkey?

As defesas contra Passkey costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.

Quais são outros nomes para Passkey?

Nomes alternativos comuns: Passkey FIDO, Credencial sincronizada.

Termos relacionados

Ver também