Passkey versus senha: qual devo usar?

Atualizado em 27 de março de 2025.

Desde a introdução das passkeys em 2021, muitas grandes empresas passaram a utilizá-las em suas plataformas, como Apple, Google, Microsoft e Amazon. Você deve ter notado que, ao criar uma nova conta ou atualizar as informações da sua conta, às vezes existe a opção de habilitar as passkeys como um método de login. Você pode estar se perguntando se deve ou não usá-las. A resposta é: sim, você deve usar passkeys sempre que tiver a opção. Elas não apenas facilitam o login em suas contas, mas também são muito mais seguras do que as senhas tradicionais.

Continue lendo para saber mais sobre passkeys, por que seu uso é mais seguro e como elas se diferem das senhas.

O que é uma passkey?

Para entender o que é uma passkey, primeiro você precisa entender como elas funcionam. Uma passkey é feita de duas chaves criptográficas: uma chave privada e uma chave pública. A chave pública é armazenada na empresa onde você criou sua conta, enquanto a chave privada é armazenada localmente no dispositivo que você usou para configurar a passkey (também conhecido como dispositivo autenticador). Quando você faz login em uma conta que tem passkeys habilitadas, o servidor da conta envia um desafio para o dispositivo autenticador, que pode ser um telefone, computador, tablet, navegador ou gerenciador de senhas.

O dispositivo autenticador, então, usa a chave privada armazenada para resolver o “desafio” e envia uma resposta de volta para o servidor. Esse processo também é conhecido como “assinar” os dados, o que prova que você é o detentor da chave privada e confirma sua identidade. Do seu lado, você simplesmente se autentica usando o método que utiliza normalmente para acessar seu dispositivo, como reconhecimento facial, impressão digital ou PIN.

Passkeys são mais seguras do que senhas?

Sim, usar passkeys é mais seguro do que senhas. Isso não é apenas porque as passkeys são imunes ao phishing, mas também são à prova de erros. Quando usuários geram uma passkey, não podem cometer erros como fazem com as senhas tradicionais.

Além de serem resistentes ao phishing e à prova de erros, as passkeys também são compatíveis com a autenticação de dois fatores (A2F) por padrão. A A2F é uma segunda forma de autenticação que deve ser habilitada em todas as contas on-line sempre que possível. A menos que seja necessário, muitos usuários não habilitam a A2F em suas contas porque ela cria uma etapa adicional para fazer login. Como as passkeys estão ligadas aos dispositivos nos quais são geradas, o dispositivo atua como autenticador, tornando as passkeys ainda mais seguras do que as senhas, pois esse dispositivo sempre será necessário para fazer login.

No entanto, como as passkeys estão ligadas aos dispositivos nos quais são geradas, isso torna o gerenciamento em diferentes sistemas operacionais e tipos de dispositivos complexo. Por exemplo: se você usa um PC com Windows para gerar uma passkey e quer fazer login nessa conta usando seu iPhone, é melhor usar um serviço que permita sincronizar suas passkeys entre dispositivos, como um gerenciador de senhas. Sem esse serviço, você ainda precisaria ter consigo o dispositivo original para se autenticar.

As principais diferenças entre passkeys e senhas

Aqui estão algumas das principais diferenças entre passkeys e senhas.

Passkeys são criadas de maneira diferente das senhas

Ao criar senhas, os usuários devem seguir as práticas recomendadas para que cibercriminosos não as quebrem com facilidade. Os usuários também devem garantir que cada senha seja exclusiva, o que significa não reutilizá-las em várias contas. Criar senhas fortes e exclusivas por conta própria pode ser difícil, e mais ainda ter que se lembrar de todas elas. Quando se trata de passkeys, os usuários não precisam criar nada. Tudo o que eles precisam fazer é gerar a passkey para a conta e, em seguida, podem fazer login usando o dispositivo a partir do qual geraram a passkey.

As passkeys são resistentes ao phishing, ao contrário das senhas

Phishing é um ataque cibernético no qual cibercriminosos fingem ser alguém que não são – como uma empresa, um familiar ou um amigo – para convencer a vítima a fornecer informações confidenciais. Em um ataque de phishing, cibercriminosos geralmente tentam fazer com que as vítimas cliquem em um link que as direciona para um site falsificado. Esse site falso é projetado para parecer legítimo. Assim, a vítima faz login com as credenciais de sua conta.

Com senhas é fácil ser vítima de phishing, porque você pode inserir seu nome de usuário e sua senha em um site malicioso projetado para roubar suas credenciais. Por outro lado, com as passkeys, cibercriminosos não conseguem enganá-lo para inserir suas informações de login em um site de phishing, já que não há necessidade de inserir nada. Isso torna as passkeys inerentemente resistentes a phishing.

As senhas são mais fáceis de comprometer do que as passkeys

Para que contas online fiquem protegidas, você precisa usar senhas fortes. Uma senha forte tem pelo menos 16 caracteres e contém letras maiúsculas e minúsculas, números e símbolos. Senhas fortes também nunca são reutilizadas e não contêm informações pessoais ou palavras e frases comuns do dicionário. Embora essas sejam as regras para a criação de senhas fortes, muitas pessoas não as seguem e continuam a usar senhas fracas em suas contas online, tornando-as mais vulneráveis a comprometimentos.

Com as passkeys, usuários não precisam se preocupar com a criação de senhas fortes, ou mesmo com o comprometimento de suas contas caso a empresa na qual criaram uma conta sofrer uma violação de dados. Isso ocorre porque os servidores das contas armazenam apenas a parte da chave pública de uma passkey; se o servidor for violado, os cibercriminosos terão acesso apenas à chave pública, que é inútil sem a chave privada que a acompanha.

As passkeys são compatíveis apenas com alguns sites

Alguns sites ainda não são compatíveis com passkeys como método de login, diferenciando-as das senhas, que são aceitas em todos os sites. Porém, vários sites importantes, como Apple, Google, PayPal, Best Buy, Adobe, Amazon e Microsoft, são compatíveis com passkeys. Para ver quais outros sites são compatíveis com passkeys, verifique nosso diretório de passkeys.

Mude para as passkeys e melhore sua segurança

Embora as passkeys sejam consideradas mais seguras do que as senhas, nem todos os sites são compatíveis com elas, de modo que você ainda precisará continuar a utilizar senhas fortes para essas contas on-line. Além de uma senha forte, você também deve ter a A2F ou a autenticação multifator (MFA) habilitada. Como a A2F, a MFA adiciona uma camada extra de segurança à sua conta exigindo que você forneça um ou mais fatores de autenticação adicionais para seu nome de usuário e senha antes de fazer login com sucesso.

Manter suas contas seguras com senhas ou passkeys fortes não precisa ser difícil. Gerenciadores de senhas como o Keeper Password Manager são desenvolvidos para ajudar você a proteger suas contas online armazenando senhas e passkeys, proporcionando uma experiência de login simplificada, não importa qual método você use.

Comece hoje uma avaliação gratuita de 30 dias do Keeper Password Manager para ver como o Keeper pode ajudá-lo a gerenciar suas senhas e passkeys.