passkey

Passkey é o padrão moderno de autenticação backed-by-hardware que substitui senhas por pares de chaves criptográficas armazenados nos dispositivos do usuário. Implementa FIDO2 / WebAuthn. No iPhone, as Passkeys sincronizam via iCloud Keychain. No Android, via Google Password Manager. Mercado Bitcoin, NovaDAX, Foxbit, e a maioria dos serviços online relevantes no Brasil suportam Passkey em 2026.

O que torna a Passkey diferente de uma senha

Duas propriedades de segurança:

O segredo nunca deixa o dispositivo. Onde uma senha é digitada num site de phishing e roubada, uma Passkey está vinculada ao domínio que a emitiu. O site falso não consegue pedir autenticação da Passkey — o navegador recusa porque os domínios não batem. Essa é a mesma propriedade de domínio-binding que YubiKey sempre teve, agora estendida para o mainstream.

O segredo é imune ao engajamento social. Um usuário não consegue "ditar" sua Passkey para um suposto agente de suporte. Não consegue colá-la num DM de Telegram. A Passkey só é acionada quando o desbloqueio biométrico do dispositivo (Face ID, digital) ou PIN autoriza.

O que a Passkey substitui no contexto cripto

SMS 2FA, TOTP, e em muitos casos até hardware keys discretas. O fluxo "senha + Passkey" funciona como autenticação backed-by-hardware usando o dispositivo que você já carrega, sem precisar comprar uma YubiKey separada. Para uma conta de exchange, isso reduz o login a um passo e elimina o risco de SIM swap por completo.

Mercado Bitcoin ativou Passkey em 2024. Bitso e Foxbit acompanharam. Em 2026, qualquer exchange brasileira que não suporte Passkey está atrasada em segurança básica.

O modelo de sincronização cross-device

Passkeys criadas no iPhone sincronizam para iPad, Mac e outros dispositivos Apple via iCloud Keychain. Passkeys criadas no Android sincronizam para outros Android via Google Password Manager. A sincronização entre plataformas (iPhone para Android) é tecnicamente suportada via padrão WebAuthn, mas a UX para mover Passkeys entre ecossistemas continua complicada em 2026.

Essa propriedade de sincronização distingue Passkey de YubiKey: a Passkey está essencialmente "na sua iCloud Keychain" ou "na sua conta Google", protegida pela biometria do dispositivo. O modelo de segurança agora depende da integridade da sua conta iCloud ou Google — não só do dispositivo.

A preocupação do single point of failure

Se a iCloud for comprometida, todas as contas protegidas por Passkey vinculadas àquele Apple ID estão em risco. Mitigação: habilitar Advanced Data Protection da iCloud (criptografia end-to-end para dados iCloud incluindo Passkeys), configurar contato de recuperação e chave de recuperação, e usar contas Passkey-eligible com ativos críticos só depois disso estar pronto.

A mesma lógica se aplica ao Google: habilitar Advanced Protection, configurar opções de recuperação, e tratar comprometimento da conta Google como equivalente a comprometimento de toda conta downstream protegida por Passkey.

Quando YubiKey ainda é preferível

Para contas guardando patrimônio de R$ 500 mil ou mais, uma hardware key discreta (YubiKey 5C NFC, Solo Key) continua sendo padrão-ouro. A chave é fisicamente separada do telefone, sem dependência de sincronização em nuvem, e resiste ao vetor de ataque "conta iCloud comprometida" que a Passkey sozinha não defende. Para um holder brasileiro acima da casa dos R$ 500 mil em cripto, o layout padrão: Passkey para logins normais, YubiKey backup para contas de alto valor, ambas registradas.

Leitura adicional: YubiKey, 2FA, A verdade sobre 2FA.