A explicação de passkey em 90 segundos

Uma passkey é uma credencial criptográfica que substitui sua senha. Seu dispositivo (celular, laptop, token em hardware) gera um par de chaves único quando você cria a passkey: a metade privada fica no dispositivo, a metade pública é registrada no serviço. Para logar, você toca ou olha para o dispositivo — o dispositivo prova que tem a chave privada sem transmitir a chave em si.

Essa é a concepção inteira. Nenhuma senha para lembrar, nenhuma senha para phishar, nenhuma senha para vazar num breach.

Por que passkeys derrotam phishing

A chave privada é vinculada ao domínio exato em que você registrou. Se você visitar binance-login.com em vez de binance.com, a passkey no seu dispositivo simplesmente não vai funcionar — não há fallback que diga "bom, o domínio está perto o bastante". O navegador, o sistema operacional e a própria passkey todos se recusam a enviar qualquer coisa para o domínio errado. Phishing como conhecemos morre no momento que passkeys são universais.

Onde passkeys funcionam em 2026

  • Contas Google, Apple, Microsoft, Meta. Todas as quatro suportam passkeys para login primário.
  • Coinbase, Kraken, Binance. Todas as três suportam passkeys como método primário ou 2FA.
  • 1Password, Bitwarden, Dashlane. Gerenciadores de senha eles mesmos usam passkeys para acesso ao cofre.
  • Bancos grandes: Bradesco, Itaú, Nubank. Começaram rollouts de passkey em 2024–2025.

As três regras práticas

  • Sincronize passkeys entre seus dispositivos através de Apple iCloud Keychain, Google Password Manager ou 1Password.
  • Mantenha uma chave de segurança em hardware (YubiKey, Titan) como backup para as contas de maior valor.
  • Não delete a senha quando adicionar a passkey. Ainda. Rode passkey + senha forte + 2FA por 3–6 meses antes de remover a senha.

O que passkeys não são

Passkeys não são solução mágica para custódia. Elas protegem o acesso à sua conta; não protegem a seed phrase da sua carteira. Uma passkey na sua conta da Coinbase significa que um phisher não pode logar como você — mas não faz nada se você separadamente digitar a seed do seu hardware wallet num site malicioso.