Investigadores da plataforma de cibersegurança Cybernews identificaram mais de dezanove mil milhões de combinações de login e password expostas em bases de dados na internet apenas no primeiro trimestre de 2025. Cerca de 94 por cento dessas passwords eram reutilizadas em mais do que um serviço, o que significa que uma fuga de dados numa rede social qualquer pode abrir a porta a uma conta bancária ou a um correio electrónico pessoal. É este o problema estrutural que as passkeys se propõem resolver, e os números de 2026 sugerem que a substituição está finalmente a acontecer a uma escala real.
Adoção crescente das passkeys
Segundo a FIDO Alliance, a organização responsável pelos principais padrões de autenticação sem password, existem hoje cerca de cinco mil milhões de passkeys activas em todo o mundo. Um levantamento global feito pela mesma organização em Maio de 2026, com onze mil consumidores em dez países, mostrou que 75 por cento já tinham activado pelo menos uma chave de acesso, contra apenas 53 por cento registados nos Estados Unidos e no Reino Unido em 2024. É um crescimento acentuado num espaço de tempo relativamente curto, e reflecte-se também no lado empresarial, onde 68 por cento das organizações inquiridas já implementaram, testaram em piloto ou começaram a preparar a adopção de passkeys para autenticação de funcionários.
Como funcionam as passkeys
Uma passkey funciona de forma fundamentalmente diferente de uma password melhorada. Quando um utilizador cria uma passkey, o dispositivo gera um par de chaves criptográficas, uma pública, enviada e guardada no servidor do serviço, e uma privada, que nunca sai do dispositivo. Ao iniciar sessão, o serviço envia um desafio criptográfico que o dispositivo responde usando a chave privada, confirmada previamente por biometria, impressão digital, reconhecimento facial, ou pelo código de desbloqueio do aparelho. Não há nenhuma password a viajar pela rede, nem nenhum segredo partilhado que possa ser intercetado ou reutilizado por um atacante.
Resistência ao phishing
É precisamente esta arquitectura que torna as passkeys resistentes a phishing de uma forma que nenhuma password, por mais complexa que seja, consegue igualar. Um utilizador pode ser enganado a introduzir uma password num sítio falso que imita na perfeição o original. Com uma passkey, isso simplesmente não acontece, porque a autenticação está criptograficamente associada ao domínio legítimo do serviço, mesmo que a cópia visual do sítio seja indistinguível da versão real. Num contexto em que os ataques de engenharia social se tornaram mais sofisticados com o apoio da própria inteligência artificial, este é o argumento mais forte a favor da tecnologia.
Benefícios para as empresas
A adopção empresarial traz benefícios que vão além da segurança pura. Entre as organizações que já implementaram passkeys, 47 por cento relataram maior confiança na postura de segurança, 45 por cento notaram logins mais rápidos, 43 por cento observaram melhor satisfação dos funcionários com os sistemas de tecnologia, e 35 por cento registaram menos chamadas de suporte relacionadas com redefinição de passwords esquecidas. São ganhos operacionais concretos, num terreno onde passwords esquecidas, trocas obrigatórias periódicas e códigos enviados por SMS geram custos reais de suporte técnico e frustração generalizada entre utilizadores.
Adopção em Portugal e futuro
A Microsoft anunciou que, a partir de 1 de Setembro de 2026, as passkeys vão passar a ser o método de autenticação predefinido no Microsoft Entra ID, a plataforma de identidade usada por milhões de organizações em todo o mundo. Os utilizadores actualmente configurados para autenticação por SMS ou por voz vão ser automaticamente convidados a registar uma passkey na próxima vez que realizarem autenticação multifactor. A empresa vai ainda mais longe e confirma que, a partir de Fevereiro de 2027, deixa de oferecer nativamente a entrega de códigos por SMS e voz, remetendo essa funcionalidade para parceiros de telecomunicações externos.
Em Portugal, a transição está numa fase mais inicial, mas já visível. A Chave Móvel Digital funciona como forma de autenticação forte para serviços do Estado, ainda que continue dependente de códigos SMS, um método que a própria indústria de cibersegurança considera vulnerável. Alguns bancos nacionais começaram a testar autenticação biométrica integrada nas suas aplicações, e serviços de retalho como a Worten e a Fnac já permitem logins simplificados através de contas Google e Apple, que suportam passkeys de forma nativa. A tendência aponta para a expansão gradual das passkeys nos serviços financeiros nacionais e para a integração futura com a carteira europeia de identidade digital, a EUDI Wallet.
O que muda para os utilizadores
O que muda para os utilizadores é, sobretudo, uma redução de fricção, entrar numa conta passa a ser o mesmo gesto usado dezenas de vezes por dia para desbloquear o telemóvel, sem necessidade de memorizar combinações de letras maiúsculas, caracteres especiais e números. Para as empresas, a mudança é mais estrutural, reduz custos de suporte, simplifica a conformidade com regulamentos de protecção de dados e elimina uma categoria inteira de credenciais que podiam ser roubadas em massa através de fugas de dados. As passwords não vão desaparecer de um dia para o outro, sobretudo em sistemas antigos que ainda não suportam autenticação moderna, mas o seu papel central na segurança digital está, de forma mensurável, a diminuir.
Conclusão
As passkeys representam um avanço significativo na autenticação digital, oferecendo segurança superior contra phishing e vantagens operacionais para empresas. Embora as passwords ainda estejam presentes em muitos sistemas, a tendência é clara: a autenticação sem password está a tornar-se o novo padrão, impulsionada por necessidades de segurança, experiência do utilizador e eficiência operacional.








