Se tens passado algum tempo na internet nos últimos meses, é muito provável que já te tenhas deparado com uma mensagem do género: “Deseja criar uma passkey para esta conta?”. Se a tua reação imediata foi fechar a janela com medo de estragar alguma coisa, não estás sozinho. A verdade é que a tecnologia está a mudar a um ritmo alucinante e, desta vez, é para matar de vez uma das maiores dores de cabeça do nosso dia a dia digital: as palavras-passe.
Neste artigo encontras:
Sinceramente, já era altura. Todos nós sabemos o quão perigoso é usar “Benfica123!” ou “DataDeNascimento” em todos os sites, mas a preguiça (e a falta de memória) acabam sempre por vencer. O problema é que explicar o que substitui esta velha prática pode parecer grego para muita gente. Falar em criptografia assimétrica, chaves públicas e privadas é meio caminho andado para o pessoal adormecer a meio do texto.
Por isso, decidi descomplicar. Vou explicar-te exatamente o que é uma passkey (ou chave de acesso) e porque é que deves começar a usá-las hoje mesmo, sem recorrer a jargão técnico aborrecido.
Afinal, o que é uma Passkey na Prática?
Vamos esquecer os códigos por um segundo. Pensa numa passkey como um bilhete de identidade digital que está trancado dentro do teu telemóvel ou computador. Em vez de teres de inventar e memorizar uma combinação de letras e números para entrar num site (como a Amazon, a tua conta do Google ou o portal do banco), o site simplesmente pergunta ao teu telemóvel: “Olha lá, este tipo é quem diz ser?”
Tu olhas para o telemóvel (Face ID) ou metes o dedo no leitor de impressões digitais, e o telemóvel responde ao site: “Sim, confirmo, é ele. Podes abrir a porta.” Tudo isto acontece em frações de segundo, sem que tenhas de escrever uma única letra.
A Magia por Detrás do Pano (Como Funciona ao Criar)
Quando clicas no botão mágico de “Criar Passkey” num site, acontece um aperto de mão secreto entre o servidor desse site e o teu equipamento. O sistema gera dois pedaços de um puzzle digital complexo.
A primeira peça do puzzle fica guardada no cofre do site (a chave pública). A segunda peça (a chave privada) fica escondida no chip de segurança máxima do teu telemóvel ou computador. O truque genial aqui é que o site nunca, mas nunca, chega a ver a tua chave privada. Eles só sabem que, quando as duas metades se tentam juntar, encaixam na perfeição.
Isto significa que, mesmo que hackers ataquem a base de dados do site e roubem a primeira peça do puzzle, não lhes serve de absolutamente nada, porque a outra metade está fisicamente no teu bolso.
Onde é que Guardo Isto? E Se Eu Perder o Telemóvel?
Esta é a pergunta de um milhão de euros. Onde é que estas chaves mágicas ficam guardadas? Tens basicamente duas opções principais:
- Presas ao Aparelho (Device-bound): A passkey fica gravada no chip TPM do teu computador Windows ou no Secure Enclave do teu iPhone/Mac. É super seguro, mas tem um senão: se tentares fazer login noutro computador que não o teu, não vais conseguir usar essa passkey.
- Sincronizadas na Nuvem (Syncable Passkeys): Esta é a via que eu recomendo a toda a gente. Podes guardar as tuas passkeys num Gestor de Palavras-Passe (como o iCloud Keychain da Apple, o Google Password Manager, o 1Password ou o Bitwarden). Assim, se criares a passkey no telemóvel, ela fica automaticamente disponível no teu tablet ou no teu portátil. Trocas de telemóvel? Não há stress, as chaves vão contigo.
Porquê Mudar? O Que Torna a Passkey Tão Segura?
As palavras-passe tradicionais têm falhas terríveis, e a principal culpada costuma ser a peça que está entre a cadeira e o teclado: nós próprios. Podes ter a password mais complexa do mundo, mas se receberes um e-mail falso a fingir ser o teu banco, clicares no link e a escreveres lá, já foste. A isto chama-se Phishing.
As passkeys são imunes ao Phishing. Literalmente. Se fores parar a um site falso da Apple, por exemplo, e tentares usar a tua passkey, o teu telemóvel vai perceber na hora que o endereço do site não bate certo com o endereço onde a chave foi criada. O telemóvel recusa-se a entregar a chave, e o hacker fica de mãos a abanar. Simples e brilhante.
Além disso, como cada passkey é gerada automaticamente de forma matemática, esquece lá a preocupação de teres de criar senhas diferentes para sites diferentes. Elas são, por natureza, 100% únicas e impossíveis de adivinhar, mesmo pelos supercomputadores mais potentes do mundo.
Perguntas Frequentes (FAQ)
O que acontece à minha palavra-passe antiga depois de criar uma passkey?
Num futuro utópico, as palavras-passe vão desaparecer por completo. No entanto, hoje em dia, estamos numa fase de transição. Na maioria dos sites, a tua palavra-passe antiga continua a funcionar como um “plano B” caso estejas num dispositivo onde não tens acesso à tua passkey. Alguns serviços (como a Microsoft) já permitem remover totalmente a palavra-passe, mas ainda é raro.
Alguém pode copiar a minha passkey se me roubar o telemóvel?
Não. As passkeys estão trancadas a nível de hardware e não podem ser lidas como se fossem um ficheiro de texto normal. Mais importante ainda: para usar a passkey, é obrigatório passar pela autenticação biométrica (a tua cara ou o teu dedo) ou saber o código PIN do aparelho. Se te roubarem o telemóvel bloqueado, as passkeys estão seguras.
Posso ter mais do que uma passkey para a mesma conta?
Sim, sem dúvida! É, aliás, uma excelente prática de segurança (e uma bela rede de salvação). Podes criar uma passkey guardada no iCloud da Apple para usares nos teus dispositivos móveis, e criar uma segunda passkey na mesma conta guardada no teu portátil com Windows Hello. Assim, tens sempre como entrar.
O meu telemóvel mais antigo suporta isto?
A tecnologia WebAuthn (que dá vida às passkeys) é suportada na grande maioria dos dispositivos modernos. Precisas de ter, pelo menos, o iOS 16 (no caso da Apple) ou o Android 9. Se o teu equipamento estiver atualizado, a probabilidade de estares pronto para entrar no mundo sem passwords é quase garantida.
Sem Comentários! Seja o Primeiro.