Busque por termos como bitcoin, cartão ou VPN.
Tecnologia

Passkey 2026: Google, Apple, Microsoft e Bancos BR

16 min de leitura

Passkey substitui senha por chave criptográfica armazenada no dispositivo, liberada por biometria local. Em junho de 2026, Google, Apple e Microsoft tratam o método como padrão para contas pessoais, e bancos brasileiros como Nubank, Itaú e Banco do Brasil já oferecem login com chave de acesso. Entenda como funciona, onde ativar e quando faz sentido começar.

Atualizado em junho de 2026 · Conteúdo educativo sobre segurança digital, sem consultoria individual. Disponibilidade e requisitos observados em fontes oficiais (FIDO Alliance, Google, Apple, Microsoft) e nos próprios serviços citados na data de publicação.

A senha, como mecanismo principal de autenticação na internet, está em fase final de aposentadoria. A FIDO Alliance — consórcio que reúne Google, Apple, Microsoft, Amazon, bancos e governos — vem empurrando desde 2022 um substituto chamado passkey, ou “chave de acesso” em português. Em 2026, depois de quatro anos de implementação faseada, a tecnologia chegou a um ponto de virada: o Google passou a oferecer passkey como método padrão para contas pessoais, a Apple integrou o recurso ao iCloud Keychain desde o iOS 16, a Microsoft aposentou senhas para novas contas Microsoft em maio de 2024 e os principais bancos brasileiros começaram a aceitar passkey em fluxos de login web. A tese central deste texto é simples: passkey é uma forma de autenticação sem senha digitável, baseada em criptografia assimétrica, que resiste a phishing por construção — não por força de senha, não por hábito do usuário, mas pelo desenho do protocolo. Este conteúdo é informativo e descreve o estado da tecnologia até junho de 2026; configurações específicas variam por dispositivo, versão de sistema operacional e aplicativo, então sempre confirme o passo a passo nas instruções oficiais do seu provedor.

O que é passkey

Passkey é a marca de mercado para uma credencial baseada nos padrões abertos FIDO2 e WebAuthn, mantidos pela FIDO Alliance e pelo World Wide Web Consortium (W3C). O WebAuthn virou recomendação oficial do W3C em março de 2019 e teve sua segunda versão (Level 2) publicada em abril de 2021; o Level 3 está em estágio de candidate recommendation desde 2024. Esses padrões definem como um navegador, um sistema operacional e um servidor podem trocar autenticação criptográfica sem digitar senha.

O conceito técnico por trás é a criptografia assimétrica, também chamada de criptografia de chave pública. Em linguagem comum: para cada serviço em que você cria uma passkey, seu dispositivo gera dois números matematicamente ligados. Um deles, a chave privada, fica armazenado dentro do seu telefone, computador ou chave física, em uma área protegida por hardware (Secure Enclave no iPhone, Titan M2 no Pixel, TPM no Windows). O outro, a chave pública, é enviado ao servidor do site e fica lá, sem segredo nenhum — se vazar, não compromete sua conta.

Quando você volta a fazer login, o servidor envia um desafio aleatório. Seu dispositivo assina esse desafio com a chave privada, libera a assinatura para o servidor e o servidor confere usando a chave pública que ele já tem. Para liberar a assinatura, o dispositivo exige um gesto local: encostar o dedo no leitor biométrico, olhar para a câmera, digitar o PIN da tela de bloqueio. Esse gesto não sai do aparelho. O servidor nunca vê sua impressão digital, nunca vê seu rosto, nunca vê uma senha.

O ponto crítico, que diferencia passkey de qualquer esquema com senha, é que a chave privada está amarrada ao domínio do site. O navegador só permite assinar um desafio se o domínio que pediu coincide com o domínio onde a passkey foi criada. Um site clonado em endereço parecido não consegue obter a assinatura — o protocolo recusa.

Por que substituir senha por passkey

Senha é um modelo de autenticação dos anos 1960 adaptado, contra vontade, para a web. Ele falha em quatro frentes que viraram crônicas.

Phishing. O Relatório de Phishing da Anti-Phishing Working Group (APWG) registrou 989.123 ataques de phishing apenas no terceiro trimestre de 2024, mantendo o patamar histórico iniciado em 2020. O Internet Crime Report 2024 do FBI, divulgado em abril de 2025, apontou phishing como o crime cibernético mais reportado pelo quarto ano consecutivo, com 193 mil queixas. Em um ataque de phishing, o usuário digita a senha em um site que parece o verdadeiro; com passkey, o navegador não autoriza a assinatura porque o domínio não bate.

Vazamento de banco de dados. Quando um site armazena senha — mesmo com hash — e o banco vaza, atacantes têm material para tentativas offline. Com passkey, o servidor só guarda a chave pública, que é inútil sozinha. Não há nada para vazar que comprometa a conta.

Reuso de senha. O relatório “Specops Weak Password Report 2024” analisou bilhões de senhas vazadas e identificou que padrões repetidos como “123456”, “password” e “admin” continuam entre os mais usados. Usuários reciclam a mesma senha em vários serviços; um vazamento em um lugar abre porta em todos os outros. Passkey é única por par usuário-domínio por desenho — não há reuso possível.

SMS como segundo fator está quebrado. O NIST, agência de padrões dos Estados Unidos, desaconselha SMS como segundo fator desde a publicação SP 800-63B em 2017, atualizada na revisão 4 publicada em julho de 2024. O motivo é SIM swap — fraude em que o atacante convence a operadora a transferir sua linha para um chip novo. No Brasil, casos de SIM swap são frequentes em boletins de ocorrência envolvendo invasão de Pix. Passkey dispensa SMS: o segundo fator está embutido (algo que você tem, o dispositivo; algo que você é, a biometria local).

Como passkey funciona na prática

Na operação diária, há três momentos: criar, usar e sincronizar.

Criar. Em um site ou app que suporta passkey, há um botão “criar chave de acesso” ou “ativar passkey” nas configurações de segurança. Ao clicar, o sistema operacional toma o controle e pergunta se você confirma com biometria. Em segundos, a chave privada é gravada no dispositivo e a chave pública é enviada ao servidor. Nenhuma senha foi digitada.

Usar. Em logins futuros, o site mostra um campo de usuário (ou nem isso, em fluxos com “passkey autofill”) e seu navegador detecta que há passkey disponível. Aparece a janela do sistema pedindo Face ID, Touch ID, Windows Hello ou PIN. Você confirma, o login acontece. Em smartphones modernos, todo o processo leva menos de três segundos.

Sincronizar. Aqui está o ponto que diferencia passkey de uma chave física tradicional. Como a chave privada está armazenada em um cofre criptográfico do sistema operacional — iCloud Keychain na Apple, Gerenciador de Senhas do Google no Android e Chrome, Windows Hello/Conta Microsoft — ela é replicada de forma criptografada para outros dispositivos do mesmo ecossistema do mesmo usuário. Se você cria uma passkey no iPhone, ela aparece no Mac, no iPad, no Safari. Se cria no Android, aparece no Chrome em qualquer Windows logado na mesma conta Google. A sincronização usa criptografia ponta a ponta — nem Apple, nem Google, nem Microsoft conseguem ler a chave em trânsito.

Existe também o modo “cross-device”, em que você escaneia um QR code com o celular para logar em um computador onde sua passkey não está. Isso usa Bluetooth para confirmar proximidade física, evitando que o QR seja interceptado remotamente.

Adoção em 2026 — onde já funciona

O quadro abaixo resume o estado de junho de 2026 dos principais provedores e serviços relevantes para o usuário brasileiro. As datas referem-se ao lançamento público para contas pessoais, não a testes fechados.

ProvedorStatus passkeyDisponível desdeOnde se ativa
Conta GoogleMétodo padrão para contas pessoaisMaio/2023 (geral); padrão desde out/2023myaccount.google.com > Segurança > Chaves de acesso
Apple IDIntegrado ao iCloud KeychainSetembro/2022 (iOS 16, macOS Ventura)Ajustes > Senhas (criação automática em sites suportados)
Conta MicrosoftAposentou senha para novas contas pessoaisMaio/2024account.microsoft.com > Segurança > Opções avançadas
AmazonDisponível para conta web e appOutubro/2023Sua Conta > Login e segurança > Chaves de acesso
WhatsAppComo confirmação de novo aparelhoOutubro/2023 (Android) / Abril/2024 (iOS)Ajustes > Conta > Chaves de acesso
GitHubPara login e operações sensíveisSetembro/2023Settings > Password and authentication > Passkeys
PayPalLogin web e mobileOutubro/2022 (iOS); 2023 (Android/Windows)Configurações > Segurança > Chaves de acesso
Mercado Livre / Mercado PagoLogin web2024Minha conta > Segurança
NubankLogin no internet banking web2025Configurações de acesso no site
ItaúLogin web em fase de expansão2025-2026Painel de segurança do internet banking
Banco do BrasilEm piloto para contas selecionadas2025-2026App e portal, em rollout regional

O movimento dos grandes provedores reflete uma posição publicada pela FIDO Alliance em janeiro de 2025: o relatório “State of Passkey Deployments” estimou que mais de 15 bilhões de contas de usuários no mundo já tinham acesso a passkey em algum dos serviços vinculados, com mais de 20% das contas do Google ativando o recurso no primeiro ano de disponibilidade.

Passkey nos bancos brasileiros

Bancos são adotantes tardios por uma razão regulatória legítima: cada mudança em mecanismo de autenticação passa por homologação interna de risco e, em alguns casos, por consultas ao Banco Central. Ainda assim, o quadro brasileiro avançou em 2025 e 2026.

Nubank habilitou login com passkey no internet banking web para clientes pessoa física durante 2025, mantendo o app móvel com biometria nativa do dispositivo (Face ID, impressão digital) — fluxo que já era equivalente a passkey em segurança, embora não use o padrão FIDO2 explicitamente. A novidade web é registrar uma chave de acesso para evitar usar senha e código por SMS.

Itaú expandiu em 2026 o uso de chave de acesso para login no internet banking pessoa física, partindo de um piloto de 2024. O banco mantém senha de seis dígitos como fallback e o iToken como segundo fator transacional.

Banco do Brasil está em piloto regional desde 2025 para clientes pessoa física, com expansão gradual. O foco inicial é login no portal e em operações de baixo risco; transações Pix de valor relevante continuam exigindo confirmação por iToken ou biometria no app.

Bradesco e Santander mantêm em 2026 a estrutura de senha + biometria no app + token, sem rollout público de passkey FIDO2 confirmado para contas pessoais até a data desta publicação. Ambos sinalizaram em comunicação institucional acompanhar o movimento da indústria.

Inter e C6 Bank usam biometria do dispositivo como fator principal no app móvel — funcionalmente próximo de passkey, mas sem rollout explícito de chave de acesso FIDO2 no fluxo web.

Vale a observação: no Brasil, a parcela majoritária do uso de banco acontece no aplicativo móvel, e os apps já operam com biometria local há anos. O ganho real de passkey nos bancos está no acesso web e na recuperação de conta em novo aparelho — pontos historicamente vulneráveis a engenharia social.

Como criar e usar uma passkey

O fluxo varia por dispositivo, mas a lógica é a mesma: ir à configuração de segurança do serviço, escolher “criar chave de acesso” e confirmar com a biometria do aparelho.

iPhone (iOS 16 ou superior)

  1. Abra Safari e entre no site (ex.: myaccount.google.com).
  2. Vá em Segurança > Chaves de acesso (ou equivalente).
  3. Toque em “Criar uma chave de acesso”.
  4. O iOS exibirá uma caixa pedindo Face ID ou Touch ID.
  5. Confirme; a chave é salva no iCloud Keychain.
  6. No próximo login, basta o Face ID — sem digitar senha.

Android (Android 9 ou superior, com Google Play Services)

  1. Abra Chrome e acesse o serviço.
  2. Nas configurações de segurança, escolha criar passkey.
  3. O sistema pedirá impressão digital, rosto ou PIN da tela de bloqueio.
  4. A chave é armazenada no Gerenciador de Senhas do Google e sincronizada com seus outros aparelhos Android e com o Chrome em desktops logados na mesma conta.

Windows 11

  1. Acesse o site em Edge ou Chrome.
  2. Crie a passkey na seção de segurança da conta.
  3. Windows Hello tomará controle, pedindo rosto pela câmera, leitor biométrico ou PIN.
  4. A chave fica no TPM do computador. Para tê-la em outro Windows, vincule à sua conta Microsoft ou use um gerenciador como 1Password ou Bitwarden, que sincronizam passkey entre plataformas.

Mac (macOS Ventura ou superior)

  1. Em Safari, vá ao serviço.
  2. Crie a passkey nas configurações de conta.
  3. O macOS pedirá Touch ID (se houver) ou senha do usuário do Mac.
  4. Chave salva no iCloud Keychain, espelhada para iPhone e iPad.

Chrome em qualquer sistema

Desde a versão 121 do Chrome, lançada em janeiro de 2024, o navegador permite usar diretamente o Gerenciador de Senhas do Google como cofre de passkeys, com sincronização entre Windows, macOS, Linux e ChromeOS — desde que você esteja logado no perfil do Chrome. Para criar, basta o fluxo padrão do site escolhido.

Passkey vs 2FA SMS vs autenticador TOTP vs chave física

Para entender onde passkey se encaixa, compare com os outros métodos de autenticação reforçada disponíveis em 2026.

MétodoO que éResistente a phishingResistente a SIM swapFunciona offlineAtrito de uso
Senha + SMSSenha digitada + código enviado por torpedoNãoNãoNão (precisa sinal de telefonia)Alto
Senha + TOTP (Google Authenticator, Authy, Microsoft Authenticator)Senha + código rotativo de 6 dígitos gerado offlineParcial — código pode ser inserido em site falsoSimSimMédio
Senha + chave física FIDO2 (YubiKey, Titan)Senha + dispositivo USB/NFCSimSimSimMédio
Passkey (sem senha)Chave criptográfica no dispositivo + biometria localSimSimSimBaixo

Em termos de robustez, passkey e chave física FIDO2 são equivalentes — afinal, passkey é tecnicamente uma chave FIDO2 sincronizada em vez de fisicamente portátil. A diferença prática: chave física custa entre R$ 250 e R$ 600, exige carregar mais um item e tem risco real de perda; passkey vem de graça no aparelho que você já usa.

Para a maioria dos usuários, o caminho racional em 2026 é: passkey nas contas mais importantes (Google, Apple, Microsoft, banco, e-mail principal), TOTP como reforço onde passkey ainda não está disponível, SMS apenas como último recurso e somente nas contas de baixa criticidade. Chave física é indicada para perfis de risco elevado (jornalistas, ativistas, executivos de TI, administradores de sistemas) que precisam de um fator que não dependa do mesmo ecossistema do dispositivo principal.

Riscos e limitações

Passkey não resolve todos os problemas. Há quatro pontos legítimos de atenção.

Perda do dispositivo principal sem backup configurado. Se você só tem um aparelho com passkey e o perde, precisa de uma rota de recuperação. Por isso é importante: ter mais de um dispositivo logado no mesmo ecossistema (iPhone + iPad, Pixel + outro Android, dois Windows logados na mesma conta Microsoft), manter o cofre sincronizado, e cadastrar um método de fallback (telefone de recuperação, e-mail secundário, código de backup impresso).

Sincronização exige confiança no provedor de cofre. Quando seu passkey é replicado pelo iCloud Keychain, Gerenciador de Senhas do Google ou Conta Microsoft, você está confiando no esquema de criptografia ponta a ponta deles. Os três publicam documentação detalhada (Apple Platform Security Guide, Google Cloud Key Management Whitepaper, Microsoft Security Architecture), e em todos a chave privada é cifrada com material derivado do PIN ou senha de bloqueio do dispositivo — o servidor do provedor não tem como ler. Ainda assim, é mais uma camada de confiança do que a senha digitada (que estava só na sua cabeça).

Vendor lock-in entre ecossistemas. Uma passkey criada no iCloud Keychain não é portátil para o Gerenciador de Senhas do Google — você não copia e cola. Para sair do iPhone para o Android, hoje você precisa criar uma nova passkey no novo aparelho (e idealmente deixar a antiga registrada no serviço durante o período de transição). A FIDO Alliance publicou em outubro de 2024 a especificação Credential Exchange Protocol, que prevê transferência segura de passkeys entre cofres, mas a implementação ainda está em rollout entre os grandes provedores.

Nem todos os serviços suportam. Em junho de 2026, o catálogo de sites com passkey ainda não cobre 100% do que o usuário usa no dia. Para essas contas, a senha continua sendo o caminho, e o conselho de sempre permanece: senha longa, única por serviço, armazenada em gerenciador.

Para quem faz sentido começar agora

Se você usa Google, Apple ou Microsoft como provedor principal de identidade — o que vale para praticamente qualquer adulto com smartphone em 2026 —, ativar passkey na conta principal é a mudança com melhor relação custo-benefício em segurança digital disponível hoje. Custo: cinco minutos. Benefício: imunidade prática a phishing nessa conta, que normalmente é a porta de entrada para várias outras (porque é usada em “Entrar com Google”, “Entrar com Apple”, etc.).

Para quem opera Pix de valor relevante, gerencia conta jurídica, lida com criptoativos ou tem responsabilidade técnica em alguma organização, o caminho racional é ir além: passkey nas contas principais mais uma chave física FIDO2 como segundo fator de raiz para os serviços mais críticos. O método científico aplicado a segurança recomenda redundância proporcional ao impacto da falha — perder acesso à conta do banco principal é classe de evento diferente de perder acesso ao login do Spotify.

Para quem ainda usa SMS como segundo fator em qualquer conta financeira: substituir por TOTP (Microsoft Authenticator, Google Authenticator, Authy) é o primeiro passo, mesmo antes de passkey, porque o SMS é o elo mais frágil descrito acima. Onde a conta oferecer passkey, prefira passkey direto.

Perguntas frequentes

Passkey funciona sem internet?

A geração da assinatura criptográfica é offline — acontece dentro do seu dispositivo. Mas o login no serviço precisa de internet para enviar a assinatura ao servidor. Em prática, o usuário só nota internet ausente como o site não carregar.

Posso ter passkey no celular e usar para logar no computador?

Sim. É o fluxo “cross-device”. O site mostra um QR code, você lê com a câmera do celular e confirma com biometria. Funciona em qualquer combinação iPhone + Windows, Android + Mac, etc., porque o protocolo é padrão. A confirmação por Bluetooth garante que celular e computador estejam próximos.

Se eu perder o celular, perco acesso a tudo?

Não, desde que você tenha sincronização ativada e ao menos um outro dispositivo no mesmo ecossistema, ou um método de fallback configurado (telefone secundário, e-mail de recuperação, códigos de backup). É a mesma boa prática que vale para conta com senha — só que o “cofre” agora é o ecossistema do sistema operacional.

Passkey é mais seguro que biometria do app do banco?

Tecnicamente é o mesmo princípio (chave no dispositivo + biometria local), só que padronizado e auditável. O ganho real de passkey é interoperabilidade — funciona igual em Google, banco, e-mail, e-commerce — e o servidor do serviço guarda chave pública em vez de senha. Em apps de banco já bem feitos, o ganho marginal é menor; em sites do banco, é grande.

Bandidos podem clonar minha biometria?

A biometria não sai do seu dispositivo. O que viaja é uma assinatura criptográfica liberada porque a biometria validou. Mesmo que alguém clone sua impressão digital, precisaria do seu aparelho físico desbloqueado para gerar uma assinatura nova. E a chave privada está em hardware protegido (Secure Enclave, TPM), de onde extração exige ataque físico avançado.

Preciso pagar para usar passkey?

Não. Passkey é gratuito em Google, Apple, Microsoft, bancos e demais serviços que suportam. Gerenciadores de senha pagos (1Password, Dashlane) oferecem passkey como recurso, mas o sistema operacional já oferece nativamente sem custo.

Devo apagar minha senha depois de criar passkey?

Não imediatamente. Em 2026, mantenha a senha cadastrada como rota de recuperação, especialmente nos bancos. Conforme a recuperação por passkey amadurecer (cofre sincronizado, segundo dispositivo logado, códigos de backup gerados), você pode reduzir o papel da senha. Algumas plataformas — como a Microsoft em contas pessoais novas desde 2024 — já oferecem opção de remover a senha totalmente; só faça depois de testar pelo menos uma recuperação real.

Este conteúdo é informativo. Configurações de segurança variam por dispositivo e versão de sistema — verifique sempre as instruções oficiais do seu app, navegador ou banco antes de alterar método de autenticação. As datas e disponibilidades citadas refletem o estado público em junho de 2026 e podem mudar a qualquer momento por decisão dos provedores.

Leia · também

Tecnologia

Sync.com: análise honesta do backup na nuvem com criptografia ponta a ponta

leiturasingular.com.brLS

Este conteúdo pode conter links de afiliados. Se você contratar ou comprar algo por meio deles, o Leitura Singular pode receber uma…

7 min · 16/06/2026
Tecnologia

VPS da Bluehost vale a pena? Análise honesta

leiturasingular.com.brLS

VPS da Bluehost vale a pena? Análise honesta: preços em dólar, planos self-managed, renovação e por que a maioria dos sites brasileiros…

15 min · 15/06/2026
Tecnologia

Servidor VPS da Locaweb vale a pena? Análise honesta

leiturasingular.com.brLS

VPS da Locaweb vale a pena? Datacenter no Brasil, reais sem câmbio e suporte 24h em português — mas SSD (não NVMe)…

16 min · 15/06/2026
Tecnologia

Locaweb vale a pena? Análise honesta da veterana brasileira de hospedagem

leiturasingular.com.brLS

Locaweb vale a pena? Análise honesta: preços em reais (de R$ 5,90/mês), datacenter e suporte 24/7 no Brasil, renovação, limite de visitas…

16 min · 15/06/2026