O padrão FIDO2 eliminou matematicamente os ataques de phishing e substituiu senhas por credenciais criptográficas. Veja o que são passkeys, como funcionam, por que elas são essenciais para quem tem cripto em exchanges e como começar a usá-las.
Durante mais de três décadas, a segurança digital se apoiou em um alicerce mal construído: a senha. Criada em uma época em que o acesso à internet era limitado e os ataques eram amadores, a senha sobreviveu até o momento em que grupos criminosos sofisticados, ferramentas automatizadas e inteligência artificial tornaram o roubo de credenciais uma operação industrial.
Os números expõem a fragilidade do modelo: segundo relatórios anuais de segurança das principais big techs, phishing e credenciais comprometidas são responsáveis pela maioria absoluta dos ataques bem-sucedidos a contas pessoais. No universo cripto, onde a perda de acesso pode significar perda irreversível de ativos, o problema é ainda mais crítico.
As passkeys são a resposta da indústria a esse problema. Baseadas em padrões abertos desenvolvidos pela FIDO Alliance (consórcio que reúne Google, Apple, Microsoft, Yubico e centenas de outras empresas), elas substituem senhas por credenciais criptográficas atreladas ao dispositivo do usuário. Este guia explica o que são, como funcionam, por que são especialmente importantes para quem lida com criptoativos e como começar a utilizá-las hoje.
O que são passkeys
Passkeys são credenciais de autenticação baseadas nos padrões FIDO2 e WebAuthn, desenvolvidos pela FIDO Alliance. Permitem login em sites e aplicativos sem digitar nenhuma senha.
No lugar da senha, a autenticação utiliza um dos três métodos abaixo — ou uma combinação deles:
Impressão digital (Touch ID e sensores em celulares Android) ou reconhecimento facial (Face ID), integrados nativamente aos dispositivos.
O mesmo código que desbloqueia o celular ou computador — processado localmente, nunca transmitido ao serviço.
Dispositivo USB ou NFC dedicado (YubiKey, PUFido, Key-ID) que o usuário conecta ou aproxima para confirmar a autenticação.
Passkey é um termo técnico, não uma marca. É o nome padrão adotado pela indústria para credenciais baseadas em FIDO2, assim como “senha” é um termo genérico. Qualquer empresa pode implementar passkeys — e centenas já o fizeram.
Como funcionam: a criptografia por trás
Passkeys utilizam criptografia de chave pública — o mesmo fundamento matemático que protege as redes Bitcoin, Ethereum e outras blockchains. O processo se divide em dois momentos: cadastro e login.
Cadastro: a criação da passkey
- 1. Ao criar uma passkey para um serviço (exemplo: Binance), o dispositivo do usuário gera um par de chaves criptográficas — uma chave privada e uma chave pública.
- 2. A chave privada permanece armazenada exclusivamente no dispositivo — protegida por biometria, PIN ou chip de segurança (Secure Element). Ela nunca é enviada ao servidor.
- 3. A chave pública, que é a contraparte matemática da privada mas não permite reconstrução dela, é enviada ao servidor e armazenada associada à conta do usuário.
Login: o uso da passkey
- 1. O servidor envia ao dispositivo um desafio criptográfico (challenge) — uma sequência aleatória única para aquela sessão.
- 2. O dispositivo solicita autenticação local ao usuário (biometria, PIN ou toque na chave física). Somente após a autenticação, procede.
- 3. O dispositivo assina o desafio com a chave privada. A assinatura é única para aquele desafio específico.
- 4. A assinatura é enviada ao servidor, que verifica sua validade usando a chave pública previamente armazenada. Se a assinatura for válida, o login é aprovado.
🔐 Por que isso neutraliza o phishing
A passkey é vinculada ao domínio real do serviço (binance.com, por exemplo). Mesmo que o usuário caia em um site falso (b1nance.com), o navegador identifica a discrepância de domínio e não autoriza a assinatura. O usuário não precisa julgar visualmente se o site é genuíno — a verificação é matemática e automática.
Passkeys vs. senhas vs. 2FA tradicional
As três principais formas de autenticação disponíveis hoje têm características muito distintas em termos de segurança, usabilidade e resistência a ataques modernos:
Senha tradicional
- Vulnerável a phishing
- Pode vazar em breaches
- Reutilização entre serviços
- Digitada (pode ser capturada)
- Depende da memória do usuário
Senha + 2FA (SMS/TOTP)
- Melhora significativa vs. senha
- SMS vulnerável a SIM swap
- TOTP pode ser capturado em phishing real-time
- Depende de autenticador adicional
- Ainda exige senha
Passkey (FIDO2)
- Imune a phishing (vinculada ao domínio)
- Não há o que vazar em breach
- Única por serviço (sem reuso)
- Chave privada nunca é transmitida
- Login mais rápido que senha
Sincronizadas vs. device-bound: dois tipos de passkeys
Um detalhe importante que muitos usuários não percebem ao ativar passkeys: existem dois modelos distintos de implementação, com implicações de segurança bem diferentes.
Passkeys sincronizadas (synced)
A chave privada é armazenada no gerenciador de credenciais do sistema operacional — iCloud Keychain (Apple), Google Password Manager ou Microsoft Hello — e sincronizada entre todos os dispositivos do usuário via nuvem criptografada.
- Criadas no iPhone, utilizáveis em Mac, iPad e demais dispositivos Apple (e equivalente no ecossistema Google/Microsoft)
- Em caso de perda do dispositivo, basta fazer login na nova conta — as passkeys são restauradas da nuvem
- Adequadas para a maioria dos serviços do dia a dia
- A segurança das passkeys depende da segurança da conta Apple/Google/Microsoft
- Comprometimento da conta cloud pode dar acesso às passkeys sincronizadas
Passkeys device-bound (vinculadas ao dispositivo)
A chave privada é armazenada em uma chave de segurança física (YubiKey, PUFido, Key-ID). A chave nunca pode ser copiada, exportada ou sincronizada. Existe apenas naquele dispositivo específico.
- Máxima segurança: a chave privada existe em um único dispositivo físico
- Imune ao comprometimento de contas cloud
- Indicada para contas críticas: exchanges cripto, e-mail principal, serviços bancários
- Perda da chave sem backup = perda de acesso permanente
- Boa prática de mercado: sempre manter pelo menos duas chaves registradas em cada conta crítica, guardadas em locais distintos
Passkeys e criptomoedas: por que são críticas
Para usuários que mantêm criptoativos em exchanges, passkeys não são apenas uma melhoria de segurança — são a principal defesa contra os ataques mais comuns do setor. Os motivos:
Sites falsos de exchanges capturam senhas e códigos 2FA em tempo real. Passkeys são matematicamente imunes: a credencial é vinculada ao domínio real (binance.com) e não funciona em um domínio falso (b1nance.com).
Criminosos clonam o número do celular da vítima junto à operadora e recebem os códigos SMS. Passkeys não dependem de SMS e, portanto, neutralizam esse vetor completamente.
Quando uma exchange sofre breach e senhas vazam, usuários com passkey como método principal não são afetados — a credencial que importa nunca esteve no servidor comprometido.
Com IA gerando e-mails e sites falsos quase perfeitos, a proteção precisa ser criptográfica — não dependente do julgamento visual do usuário para distinguir genuíno de falso.
Exchanges e serviços que já suportam passkeys
Nos últimos anos, as principais exchanges globais adicionaram suporte a passkeys. Entre elas, destacam-se:
- Binance — suporte completo a passkeys com opção de chave física FIDO2
- Coinbase — passkeys sincronizadas e device-bound disponíveis para login
- Kraken — suporte a chaves FIDO2 como segundo fator
- Gemini — WebAuthn para autenticação em contas e saques
- Bitso, Mercado Bitcoin, Foxbit — no Brasil, o suporte varia por plataforma — verifique nas configurações de segurança
Além de exchanges, passkeys são suportadas por Google, Apple, Microsoft, Amazon, PayPal, GitHub, X (antigo Twitter), WhatsApp, LinkedIn e centenas de outros serviços. O diretório oficial passkeys.directory mantém lista atualizada de serviços compatíveis.
Como começar a usar passkeys
O processo de ativação é simples e difere conforme o tipo de passkey escolhido:
Via biometria do celular ou computador (passkey sincronizada)
- 1. Acessar as configurações de segurança do serviço (exemplo: Binance → Segurança → Passkeys)
- 2. Selecionar “Criar passkey” ou “Adicionar passkey”
- 3. Autenticar com biometria (digital, Face ID) ou PIN do dispositivo
- 4. Pronto — os próximos logins podem ser feitos com biometria em vez de senha
Via chave de segurança física (passkey device-bound)
- 1. Conectar a chave (YubiKey, PUFido ou Key-ID) via USB ou aproximar via NFC, conforme compatibilidade
- 2. Nas configurações de segurança do serviço, selecionar “Adicionar chave de segurança”
- 3. Tocar na chave quando solicitado pelo navegador
- 4. Pronto — os próximos logins exigirão o toque físico na chave
O mercado de chaves de segurança FIDO2
Para usuários que optam por passkeys device-bound (a opção mais segura para contas críticas), o mercado global conta com três principais fabricantes, todos com produtos disponíveis no Brasil:
Fabricante sueca, pioneira do setor. Linhas principais: YubiKey Security Key (entrada, apenas FIDO2) e YubiKey 5 (avançada, com suporte adicional a Smart Card, TOTP, HOTP, OpenPGP). Disponível em conectores USB-A, USB-C e com NFC.
Opção acessível para quem está começando com autenticação FIDO2. Foca em interoperabilidade com os principais serviços que suportam passkeys. Conector USB.
Utiliza tecnologia PUF (Physically Unclonable Function), que gera chaves criptográficas a partir de variações microscópicas únicas do silício do chip — tornando o dispositivo fisicamente impossível de clonar. Indicada para usuários com perfil de segurança elevada.
📊 Nota editorial
A escolha entre as marcas depende do orçamento, ecossistema de dispositivos utilizado e nível de segurança desejado. Todas suportam os padrões FIDO2 e WebAuthn nos serviços compatíveis. Análises detalhadas e comparativas serão publicadas na seção Reviews.
Boas práticas para adoção de passkeys
- ✓ Registre duas chaves físicas por conta crítica — uma em uso diário, outra como backup em local seguro. Perda única não causa perda de acesso.
- ✓ Use device-bound em contas críticas — exchanges cripto, e-mail principal, serviços bancários. Passkeys sincronizadas são aceitáveis para contas de menor impacto.
- ✓ Remova métodos de autenticação fracos após ativar passkeys — SMS 2FA e recuperação por e-mail podem ser exploradas como backdoor caso permaneçam ativas.
- ✓ Mantenha firmware atualizado — tanto do dispositivo quanto da chave física. Fabricantes lançam correções de segurança periodicamente.
- ✓ Nunca compre chaves FIDO2 de vendedores não oficiais — há casos documentados de dispositivos adulterados. Compre apenas de fabricantes ou revendedores autorizados.
⚠️ Importante: não damos recomendação de investimento
Este conteúdo tem caráter exclusivamente informativo e educacional. O KriptoHoje não é consultor de investimentos e não recomenda a compra, venda ou manutenção de Bitcoin, Ethereum ou qualquer ativo específico. Ainda que passkeys sejam um padrão de segurança importante, sua adoção e a escolha de produtos associados são decisões técnicas individuais. Investimento em criptoativos envolve risco elevado de perda total do capital.
Onde comprar chaves de segurança FIDO2 no Brasil
A KriptoBR, integrante do mesmo grupo do KriptoHoje, é revendedora oficial Yubico (YubiKey), Key-ID e SecuX (PUFido) no Brasil.
Envio direto do Brasil, suporte técnico em português e garantia do fabricante.
Ver catálogo de chaves FIDO2 →