As passwords dominam a internet há mais de meio século. São utilizadas para aceder a contas bancárias, redes sociais, serviços de streaming, plataformas de trabalho e praticamente tudo o que fazemos online.
Mas existe um problema: já não são suficientemente seguras.
Num mundo onde ataques automatizados, phishing alimentado por inteligência artificial e fugas de dados acontecem diariamente, as palavras-passe transformaram-se num dos maiores pontos fracos da segurança digital.
É por isso que Microsoft, Google, Apple e dezenas de outras empresas tecnológicas estão a acelerar a transição para um novo modelo de autenticação: as passkeys.
O crescimento das passkeys
Durante anos, as passkeys pareciam uma promessa distante. Em 2026, tornaram-se uma realidade global.
Segundo a FIDO Alliance, organização responsável pelos principais padrões de autenticação sem password, existem atualmente cerca de 5 mil milhões de passkeys em utilização em todo o mundo.
Os números mostram uma adoção surpreendentemente rápida:
-
90% dos consumidores já conhecem as passkeys;
-
75% ativaram pelo menos uma passkey;
-
quase metade dos utilizadores já as utiliza regularmente;
-
68% das organizações estão a implementar ou testar passkeys para os seus colaboradores.
Poucas tecnologias de segurança cresceram tão rapidamente em tão pouco tempo.
O que é uma passkey?
Apesar do nome, uma passkey não é uma password melhorada.
Funciona de forma completamente diferente.
Quando cria uma passkey, o teu dispositivo gera duas chaves criptográficas:
-
uma chave pública enviada para o serviço online;
-
uma chave privada armazenada de forma segura no seu dispositivo.
Quando inicias sessão, o serviço verifica se a tua chave privada corresponde à chave pública registada. O processo acontece automaticamente e não exige que memorizes qualquer palavra-passe.
Na prática, basta desbloquear o dispositivo com impressão digital, reconhecimento facial ou PIN.
Porque Microsoft, Google e Apple querem abandonar as passwords
A razão principal é simples: as passwords falham demasiado.
Mesmo passwords complexas podem ser:
-
roubadas através de phishing;
-
reutilizadas em vários serviços;
-
expostas em fugas de dados;
-
descobertas por hackers.
Segundo a Microsoft, os métodos tradicionais de autenticação continuam a ser um dos principais vetores de ataque. A empresa considera as passkeys uma forma de autenticação resistente a phishing, precisamente porque a credencial nunca é enviada para o site, nem pode ser reutilizada por terceiros.
Outro fator importante é a ascensão da inteligência artificial. Ataques de engenharia social e campanhas de phishing tornaram-se mais sofisticados, ficando cada vez mais difícil para os utilizadores distinguir mensagens legítimas de tentativas de fraude.
A principal vantagem: resistência ao phishing
Este é o argumento mais forte a favor das passkeys.
Com uma password, um utilizador pode ser enganado e introduzir as suas credenciais num site falso.
Com uma passkey, isso não funciona.
A autenticação está associada ao domínio legítimo do serviço. Mesmo que um hacker crie uma cópia perfeita de um website, a passkey simplesmente não funcionará nesse endereço.
Por isso, organismos como o National Cyber Security Centre do Reino Unido recomendam que os utilizadores escolham passkeys sempre que essa opção esteja disponível.
O que muda para os utilizadores comuns?
Mais do que uma mudança tecnológica, trata-se de uma mudança de experiência.
Em vez de:
-
memorizar passwords;
-
receber códigos SMS;
-
utilizar aplicações de autenticação;
-
redefinir palavras-passe esquecidas;
o utilizador apenas confirma a identidade através do método já utilizado para desbloquear o telemóvel ou computador.
Na maioria dos casos, o processo torna-se mais rápido e mais simples.
É por isso que muitas empresas descrevem as passkeys não apenas como mais seguras, mas também como mais convenientes.
Existem riscos?
Sim. Como qualquer tecnologia, as passkeys não são perfeitas.
Uma das preocupações mais frequentes é a dependência do universo tecnológico.
Muitas passkeys ficam sincronizadas através de plataformas como iCloud, Google Password Manager ou Microsoft Password Manager. Isso facilita a recuperação de acesso caso o utilizador perca um dispositivo, mas também concentra parte da segurança nesses fornecedores.
Outra preocupação é a recuperação de contas.
Se alguém perder todos os dispositivos associados e não tiver configurado métodos de recuperação adequados, o processo de recuperação pode tornar-se mais complexo.
Por essa razão, empresas como a Microsoft estão a reforçar os sistemas de recuperação de conta através de verificação biométrica e validação de identidade.
As passwords vão desaparecer?
Não imediatamente.
Milhões de serviços ainda dependem de passwords e muitas organizações mantêm sistemas antigos que não suportam autenticação moderna.
No entanto, a tendência é clara.
A Microsoft já está a eliminar métodos considerados vulneráveis, incluindo perguntas de segurança e, progressivamente, algumas formas de autenticação baseadas em SMS. A estratégia da indústria é reduzir gradualmente a dependência de credenciais que podem ser roubadas ou reutilizadas.
Tal como aconteceu com os disquetes, CDs ou SMS, as passwords podem não desaparecer de um dia para o outro, mas o seu papel está a diminuir rapidamente.
O início de uma nova era
Durante décadas, a segurança digital baseou-se numa ideia simples: provar quem somos através de algo que sabemos.
As passkeys mudam essa lógica.
Em vez de depender da memória humana, passam a depender de criptografia avançada e da segurança dos dispositivos modernos.
A transição ainda está longe de concluída, mas os sinais são claros. Quando Microsoft, Google e Apple apostam na mesma direção, normalmente não se trata de uma tendência passageira.
E tudo indica que o futuro da internet será cada vez menos feito de passwords e cada vez mais de passkeys.
