A Microsoft deu um passo ousado rumo a um futuro sem senhas ao anunciar que os passkeys serão o método de autenticação padrão para todos os novos usuários de suas contas a partir de maio de 2025. Essa mudança, celebrada no World Password Day, reflete a crescente adoção de tecnologias mais seguras e práticas, como parte de um movimento da indústria para eliminar senhas tradicionais, que são vulneráveis a ataques de phishing, vazamentos e reutilização. Com mais de 1 bilhão de usuários em seus serviços, a decisão da Microsoft pode acelerar a transição global para métodos de login baseados em criptografia, como os passkeys.
O que são passkeys e por que eles importam?
Os passkeys são credenciais digitais baseadas no padrão FIDO2 e WebAuthn, que utilizam criptografia de chave pública para autenticar usuários. Diferentemente das senhas, que podem ser roubadas ou esquecidas, os passkeys são vinculados ao dispositivo do usuário e autenticados por biometria (como impressão digital ou reconhecimento facial) ou PIN, tornando-os resistentes a ataques de phishing. Segundo a Microsoft, 98% das tentativas de login com passkeys são bem-sucedidas, contra apenas 32% com senhas tradicionais. Além disso, os passkeys oferecem uma experiência até oito vezes mais rápida, eliminando a necessidade de digitar códigos complexos ou usar autenticação multifator (MFA) tradicional.
A Microsoft começou a implementar suporte a passkeys em 2024, integrando-os a aplicativos como Xbox, Microsoft 365 e Copilot. Agora, novos usuários serão automaticamente direcionados a configurar um passkey durante o processo de criação de conta, sem a opção de definir uma senha por padrão. Para isso, eles podem usar o aplicativo Microsoft Authenticator ou biometria em dispositivos Windows com Windows Hello. Usuários existentes também podem remover suas senhas e adotar passkeys nas configurações de conta, um processo que a empresa tem incentivado ativamente.
Impactos para usuários e segurança digital
A decisão da Microsoft é um marco na luta contra a insegurança das senhas. A empresa relatou que, em 2024, enfrentou mais de 7 mil ataques de senha por segundo, um aumento de 100% em relação ao ano anterior. Esses ataques exploram senhas fracas, reutilizadas ou vazadas, que comprometem 35% das contas digitais. Os passkeys eliminam esses riscos, pois não há uma senha para ser roubada ou interceptada. Mesmo em cenários de ataques sofisticados, como phishing, os passkeys permanecem seguros, pois exigem acesso físico ao dispositivo do usuário.
Para os usuários, a mudança promete uma experiência mais simples e segura. Em vez de memorizar senhas complexas, eles podem usar biometria ou PINs já configurados em seus dispositivos. A Microsoft também otimizou a interface de login, introduzindo um design “passkey-first” que prioriza métodos sem senha e reduz a complexidade visual, diminuindo a carga cognitiva. Testes de usabilidade mostraram que mensagens destacando a “segurança” e “rapidez” dos passkeys aumentaram a adoção em 24% e 27%, respectivamente.
Desafios e limitações
Apesar dos benefícios, a transição para passkeys enfrenta obstáculos. A compatibilidade com sistemas legados, especialmente em ambientes corporativos, permanece um desafio, já que muitos aplicativos ainda dependem de autenticação por senha. Além disso, usuários que perdem seus dispositivos podem enfrentar dificuldades para recuperar acesso, embora serviços como iCloud Keychain e Google Password Manager ofereçam sincronização de credenciais. A Microsoft também alertou que, enquanto as senhas não forem completamente eliminadas, as contas que mantêm ambas as opções (senha e passkey) ainda estarão vulneráveis a phishing.
Outro ponto de atenção é a dependência do Microsoft Authenticator para alguns usuários. A empresa anunciou que, a partir de junho de 2025, o aplicativo deixará de suportar o armazenamento e preenchimento automático de senhas, mas manterá o suporte a passkeys. Isso significa que os usuários precisarão manter o Authenticator ativo como provedor de passkeys, ou suas credenciais podem ser desativadas.
O futuro da autenticação
A Microsoft não está sozinha nessa jornada. Gigantes como Apple, Google e Amazon também adotaram passkeys, com a FIDO Alliance liderando a padronização. Dados recentes mostram que 75% dos americanos estão cientes dos passkeys, mas apenas 42% os utilizam em pelo menos uma conta. A decisão da Microsoft pode impulsionar esses números, especialmente com a promessa de registrar quase 1 milhão de passkeys por dia. A empresa também planeja expandir o suporte a passkeys em mais serviços e melhorar a sincronização entre dispositivos.
A longo prazo, a Microsoft visa eliminar completamente as senhas, substituindo-as por credenciais resistentes a phishing. Esse objetivo, embora ambicioso, enfrenta resistência cultural e técnica, mas a empresa aposta que a combinação de segurança, conveniência e pressão regulatória – como as leis de proteção de dados na Europa – tornará os passkeys o novo padrão.
Você já experimentou os passkeys no Microsoft Authenticator ou em outros serviços? Acha que eles podem realmente substituir as senhas? Compartilhe sua opinião nos comentários e espalhe esta matéria para continuar a discussão!
Fontes
The Verge, Forbes, PCMag, TechRadar, Microsoft Security Blog