A senha virou ponto fraco. As passkeys ocuparam o lugar

Você provavelmente já repetiu uma senha em mais de um serviço. Quase todo mundo faz isso. O problema é que, em 2025, essa prática deixou de ser apenas um mau hábito e passou a funcionar como uma vantagem operacional para criminosos. Entre 19 bilhões de credenciais vazadas analisadas por pesquisadores de segurança, só 6% eram realmente únicas. Os outros 94% eram senhas recicladas, reaproveitadas ou levemente alteradas, segundo uma análise da DeepStrike com dados da SpyCloud.

O número que desmonta a defesa da senha

Esse dado ajuda a encerrar um debate que já se arrasta há anos. A senha não é só frágil. Ela virou matéria-prima de um mercado de fraude em escala industrial. O DBIR 2025 da Verizon mostra que credenciais roubadas foram o vetor inicial em 22% das violações analisadas. Em um dia comum, ataques de credential stuffing, quando invasores testam combinações vazadas de usuário e senha em milhares de sites, já representam 19% das tentativas de autenticação contra provedores de login único. Nos piores dias, esse índice chega a 44%.

No Brasil, essa fragilidade encontra um ambiente especialmente perigoso. Basta pensar na rotina de golpes que usam engenharia social, clonagem de WhatsApp, falsas centrais bancárias e fraudes ligadas ao Pix. Em todos esses casos, o criminoso procura a mesma coisa: um atalho para entrar em contas que concentram dinheiro, identidade e confiança. A senha reaproveitada continua sendo esse atalho.

Por que a passkey acerta onde a senha falha

É aqui que entram as passkeys, ou chaves de acesso. O Passkey Index 2025 da FIDO Alliance, com dados de empresas como Amazon, Google, Microsoft, PayPal, Target e TikTok, traz um contraste difícil de ignorar: passkeys alcançam taxa de sucesso de autenticação de 98%, enquanto senhas ficam em 32%. Não se trata de um pequeno ganho de conveniência. É uma troca de tecnologia.

Na prática, a passkey cria um par de chaves criptográficas para cada conta. Uma fica no seu dispositivo; a outra, com o serviço. Quando você entra, o aparelho prova que possui a chave privada, geralmente com biometria ou PIN local. Nada útil para um atacante é digitado, adivinhado ou reaproveitado em outro site. Isso muda a lógica inteira da proteção.

A velocidade também pesa. Segundo um estudo da Microsoft sobre adoção de passkeys, entrar com passkey é três vezes mais rápido do que digitar uma senha e oito vezes mais rápido do que usar senha com autenticação multifator tradicional. Em plataformas como o TikTok, a taxa de sucesso no login dobrou. A Zoho relatou acessos seis vezes mais rápidos.

As big techs mudaram o padrão sem fazer alarde

Google, Apple e Microsoft entenderam que ninguém quer aprender segurança digital como hobby. A saída foi transformar a opção mais segura na opção mais simples. O Google já tem mais de 800 milhões de contas usando passkeys e relata índice 99,9% menor de comprometimento entre esses usuários, de acordo com dados reunidos pela DeepStrike. A Amazon colocou 175 milhões de usuários em passkeys no primeiro ano. A Microsoft registra quase 1 milhão de novas passkeys por dia e, desde maio de 2025, tornou esse método o padrão para todas as novas contas, decisão que elevou em 120% o uso da autenticação por passkey em sua plataforma.

A Apple resolveu outra peça importante em setembro de 2025, quando o iOS 26 passou a permitir a portabilidade de credenciais pelo padrão Credential Exchange. Em termos simples, a passkey finalmente deixou de ficar presa ao gerenciador nativo da empresa. Isso reduziu uma das últimas resistências ao modelo.

No fim de 2025, 69% dos usuários já tinham pelo menos uma passkey, ante 39% de awareness dois anos antes, segundo o levantamento da FIDO Alliance. A Gartner projeta que elas se tornem o método principal de autenticação até 2027. Ninguém publicou um manifesto contra a senha. Só tornaram a alternativa mais rápida, mais fácil e mais segura.

O limite do gerenciador de senhas

Gerenciadores de senhas continuam úteis. Eles resolvem o problema da memória e reduzem a tentação de repetir credenciais. Só que não eliminam a fraqueza central: a senha continua existindo como segredo compartilhado. Ela trafega, é armazenada no servidor e funciona se for roubada.

O mesmo relatório da Verizon mostra que malwares do tipo infostealer capturaram 548 milhões de senhas e 17 bilhões de cookies de sessão apenas em 2024. Entre dispositivos comprometidos, só 49% das senhas de um mesmo usuário eram diferentes entre serviços, mesmo quando havia gerenciador envolvido. E há um agravante: o sequestro de sessão permite contornar até o segundo fator. Em vez de roubar a senha, o invasor rouba o cookie que já representa uma sessão autenticada, como descreve um relatório sobre credenciais comprometidas.

O que fazer antes da próxima onda de vazamentos

O movimento já começou, com ou sem anúncio oficial. Para acompanhar, vale priorizar passkeys nas contas mais críticas, especialmente e-mail, bancos, carteiras digitais e serviços que concentram documentos. Mantenha o gerenciador de senhas, mas com outro papel: cuidar dos sites que ainda não migraram e armazenar passkeys quando houver suporte. Ative biometria no celular e no computador, porque ela passou a ser parte da defesa cotidiana. E revise agora as senhas mais repetidas, sobretudo se alguma delas coincide com login de e-mail, banco ou marketplace.

A taxa de reutilização de 94% não revela preguiça individual. Ela mostra o fracasso de um sistema que pediu a pessoas comuns que memorizassem dezenas, às vezes centenas, de credenciais distintas. As passkeys partem de uma ideia mais realista: tirar do usuário a parte mais vulnerável do processo. Em um cenário de golpes cada vez mais convincentes, essa pode ser a diferença entre conter um risco e virar mais um caso de fraude.