Adeus, senhas: a chave digital que promete mudar seu login na internet e por que você deve começar a usar agora

Existe uma pequena ironia na segurança digital: quanto mais importante uma senha é, mais difícil ela deveria ser de lembrar. Durante anos, especialistas alertaram que esse era um dos grandes problemas da vida online.

Combinações simples são descobertas com facilidade por máquinas. Sequências fortes demais, por outro lado, viram um desafio para qualquer pessoa comum.

No meio dessa rotina, muita gente adotou a saída mais perigosa: repetir a mesma senha em várias contas. Basta um vazamento ou um golpe de phishing, nome dado às tentativas de enganar o usuário para roubar dados, para que e-mail, banco, lojas virtuais e outros perfis fiquem expostos de uma só vez.

Foi para tentar arrumar essa bagunça que os gerenciadores de senha ganharam espaço. Eles guardam combinações longas e diferentes em um único lugar, deixando o usuário responsável por lembrar apenas a senha principal. A Wirecutter observa, porém, que a solução ajudou, mas nunca virou hábito para a maioria das pessoas.

O motivo é simples: a pessoa dispõe do seu tempo agora para evitar um problema que talvez, quem sabe, só apareça no futuro.

Depois veio a autenticação em duas etapas, também chamada de 2FA. Na prática, é aquela confirmação extra além da senha, como um código enviado por mensagem ou gerado em um aplicativo.

A camada aumenta a proteção, mas também deixa o login mais trabalhoso. E, em alguns casos, esse código ainda pode ser capturado por golpistas bem preparados.

É aí que as passkeys entram. Em vez de tentar consertar as senhas, elas mudam a lógica do acesso.

Uma passkey é uma chave digital criada para abrir uma conta específica. No lugar de digitar uma senha, o celular ou computador encontra essa chave e pede uma confirmação. Pode ser um PIN, reconhecimento facial ou impressão digital.

Para Jacob Hoffman-Andrews, tecnólogo sênior da Electronic Frontier Foundation, a comparação mais simples é pensar na passkey como uma senha enorme, que não pode ser copiada e colada, mas que o aparelho consegue usar de forma mais rápida e segura.

Na prática, isso resolve alguns dos vícios mais antigos das senhas. Passkeys não precisam ser decoradas, não funcionam em páginas falsas de phishing e não ficam expostas do mesmo jeito quando um serviço sofre vazamento de dados.

Derek Hanson, diretor de tecnologia da Yubico, chama atenção para outro ponto: essa defesa ganha ainda mais peso num cenário em que a inteligência artificial consegue imitar vozes e criar e-mails fraudulentos em grande escala.

Antes de usar uma passkey, é preciso decidir onde ela será salva. A chave pode ficar no próprio aparelho, em um gerenciador de senhas ou em uma chave física de segurança.

De acordo com a Wirecutter, passkeys usam criptografia de ponta a ponta, uma proteção que impede terceiros de lerem essas chaves. Isso vale até para empresas como Apple, Google, Microsoft e gerenciadores de senha. Na prática, apenas dispositivos autorizados pelo usuário conseguem acessá-las.

No ecossistema da Apple, elas ficam no app Senhas e sincronizam pelo Apple ID. Em Android, Chromebooks e Chrome, passam pelo Google Password Manager. No Windows, o recurso aparece integrado à conta Microsoft.

Gerenciadores como 1Password e Bitwarden também aceitam passkeys. Já quem prefere evitar a nuvem pode usar chaves físicas, como modelos da Yubico avaliados pela Wirecutter. Só existe um detalhe importante: perder o dispositivo significa perder as passkeys salvas nele.

Passkeys só funcionam em sites compatíveis. A FIDO Alliance, grupo responsável pela base técnica da tecnologia, mantém uma lista pesquisável de serviços que já aceitam esse tipo de login.

Mesmo onde o recurso existe, a experiência ainda muda bastante. Alguns sites permitem várias passkeys por conta. Outros limitam o usuário a apenas uma. Há serviços que dispensam a autenticação em duas etapas no acesso por passkey, enquanto outros mantêm etapas extras.

Apesar disso, a recomendação da Wirecutter é criar uma passkey sempre que um site oferecer essa opção. As senhas ainda não vão desaparecer, mas cada chave criada deixa uma conta menos dependente de combinações fáceis de roubar.