Todos os produtos apresentados na WIRED são selecionados de forma independente por nossos editores. No entanto, podemos receber compensação de varejistas e/ou de compras de produtos através desses links. Saiba mais.
Senhas são ruins. Elas são difíceis de lembrar, mas pior ainda é jogar o jogo em constante evolução da segurança cibernética com suas contas mais importantes. É aí que as chaves de acesso entram em cena. A chamada “guerra contra as senhas” decolou nos últimos dois anos, com gigantes como Google, Microsoft e Apple pressionando por um futuro sem senhas que a FIDO Alliance (um consórcio criado para “ajudar a reduzir a dependência excessiva do mundo em senhas”) vem tentando realizar por mais de uma década.
Gostando ou não, você será solicitado a criar uma chave de acesso em algum momento, e você provavelmente já tem. Isso é algo bom, pois as chaves de acesso não são apenas muito mais fáceis de usar do que uma senha tradicional, mas também são muito mais seguras. Aqui está tudo o que você precisa saber sobre como usá-las.
As chaves de acesso oferecem uma maneira de confirmar que você é quem diz ser sem lembrar de uma senha longa e complicada, e de uma forma que é resistente a ataques comuns a senhas, como phishing e ataques de dicionário.
“As chaves de acesso foram criadas para substituir senhas e formas desatualizadas de autenticação de dois fatores completamente”, diz Andrew Shikiar, diretor executivo e CEO da FIDO Alliance, à WIRED. Elas representam um raro avanço em segurança cibernética; um que não só é mais fácil de usar do que os métodos anteriores, mas também mais seguro.
Conceitualmente, as chaves de acesso podem assumir muitas formas, mas você interagirá com elas com mais frequência em um dispositivo que possui. Por exemplo, suponha que você deseja entrar em sua conta do Google em um novo dispositivo. Em vez de digitar uma senha, uma chave de acesso permite que você faça login em sua conta com um dispositivo que você já verificou. Você pode usar seu telefone como uma chave de acesso, que concede instantaneamente acesso à sua conta do Google sem nunca digitar uma senha. As melhores implementações de chaves de acesso nem precisam de um nome de usuário.
As chaves de acesso acabam sendo mais seguras e convenientes do que senhas porque funcionam de uma maneira fundamentalmente diferente. Senhas são o que você chamaria de “segredo compartilhado” no mundo da segurança cibernética. Você conhece o segredo, e o serviço com o qual você está se conectando também. O problema é que você precisa lembrar desse segredo, e você não está totalmente no controle dele, já que precisa compartilhá-lo com o serviço que está usando. Uma violação de dados e um pouco de tempo de decriptação são tudo o que é necessário para acabar com uma conta comprometida, e você nem fez nada de errado.
As chaves de acesso usam criptografia de chave pública. Em vez de corresponder a um segredo compartilhado, a criptografia de chave pública funciona correspondendo a um par de chaves — uma chave pública que qualquer um pode ver e uma chave privada à qual apenas você tem acesso. É mais seguro porque apenas você tem acesso à sua chave privada, e é mais fácil porque essa chave está vinculada a algum dispositivo que você possui e geralmente é protegida por biometria.
As chaves de acesso são seguras, ainda mais do que uma senha longa e aleatória. Quando você faz login com uma chave de acesso, envia um punhado de informações para o serviço com o qual está se conectando, incluindo sua chave pública, que é armazenada como uma representação de você como usuário. Essas informações sozinhas não fazem nada.
No dispositivo onde você criou a chave de acesso, você precisará participar de um “desafio” para desbloquear sua chave privada, geralmente algum tipo de autenticação biométrica. Se o desafio for bem-sucedido, é assinado e enviado de volta ao serviço ao qual você está tentando fazer login. Esse desafio é então verificado em relação à chave pública, e se for uma correspondência, você recebe acesso. Criticamente, essa autenticação acontece em seu dispositivo, não em um servidor distante.
Com uma senha, há um monte de espaço para um atacante potencialmente roubar sua senha. Violações de dados podem expor sua senha, e mesmo que esteja criptografada, ela pode ser quebrada. Esquemas de phishing são um vetor de ataque fácil para hackers que buscam roubar senhas. E, se você estiver usando um serviço com práticas de segurança duvidosas, pode ter uma senha exposta como texto simples em uma violação; há dezenas e dezenas de exemplos disso acontecendo antes.
As chaves de acesso são complicadas porque desafiam as convenções de segurança que existem há anos — nomeadamente, autenticação de dois fatores (2FA) ou autenticação multifatorial (MFA). Embora você não precise inserir um código de um texto ou copiar algo de um aplicativo autenticador, as chaves de acesso usam, por natureza, autenticação multifatorial. Isso acontece tão rapidamente que é fácil não perceber.
MFA é sobre adicionar camadas adicionais de proteção além da sua senha. Em vez de apenas sua senha, você precisa dela e de um código enviado para você, por exemplo. As chaves de acesso já funcionam dessa maneira. Você precisa corresponder o par de chaves pública-privada, mas também precisa autenticar que você tem acesso àquela chave privada, geralmente com biometria. Não é “algo que você sabe e algo que você possui”, como a 2FA é normalmente descrita, mas ainda são duas camadas de autenticação.
Aqui está como Shikiar descreve: “Quando você faz login, o serviço emite um desafio criptográfico que só pode ser respondido com a chave privada em seu dispositivo, verificada por algo que você possui (como seu telefone ou laptop) e muitas vezes algo que você é (como uma biométrica). O resultado é um login resistente a phishing sem credenciais reutilizáveis para roubar.”
As chaves de acesso são amplamente integradas em nível de sistema operacional. Se você estiver usando um sistema operacional que não suporta nativamente chaves de acesso — ou seja, Linux — ainda poderá usá-las. No entanto, você precisará usar outro dispositivo, como seu telefone, para escanear um código QR e autenticar-se, ou um gerenciador de senhas de terceiros.
Aqui estão os sistemas operacionais que suportam totalmente chaves de acesso:
Android 9 ou mais recente
iOS 16 ou mais recente
macOS 13 (Ventura) ou mais recente
Windows 10/11 23H2 ou mais recente
Cada um desses sistemas operacionais suporta chaves de acesso para aplicativos nativos, bem como em seu navegador. O Chromium suporta chaves de acesso, o que cobre a grande maioria dos navegadores disponíveis, incluindo Brave, Opera, Vivaldi e Google Chrome. O principal navegador não Chromium, o Mozilla Firefox, também suporta chaves de acesso na versão 122 ou mais recente.
Para usar chaves de acesso, você precisa armazená-las em algum lugar. Os principais sistemas operacionais que suportam chaves de acesso já incluem uma maneira de armazená-las, mas não são criados igualmente.
Windows 10 e Windows 11
Você precisa configurar o Windows Hello para usar chaves de acesso no Windows 10 ou Windows 11. Você pode ter configurado isso durante a instalação, mas se não, pode habilitá-lo no aplicativo Configurações clicando em Contas > Opções de entrada. Sempre que você quiser usar uma chave de acesso, precisará se autenticar com o Windows Hello, seja com seu rosto, impressão digital ou PIN.
O Windows 10 ou 11, versão 23H2 ou posterior, solicitará que você use uma chave de acesso sempre que tentar entrar em um serviço compatível em um navegador compatível (ou através de um aplicativo nativo do Windows). Ao contrário de outros sistemas operacionais, essas chaves de acesso não são sincronizadas entre seus dispositivos. Elas funcionam apenas em seu dispositivo Windows.
macOS
Tanto o macOS quanto o iOS armazenam chaves de acesso em seu iCloud Keychain, então você precisará ativar seu Keychain se ainda não estiver habilitado. Você pode ativá-lo no aplicativo Configurações seguindo Apple ID > iCloud > Senhas e Keychain. Você precisará habilitar 2FA para seu Apple ID para usar o iCloud Keychain.
Semelhante ao Windows, você será solicitado a criar uma chave de acesso sempre que criar uma nova conta em um serviço que suporte chaves de acesso. Se você quiser adicionar uma chave de acesso a uma conta já criada, terá que fazê-lo através das configurações daquele aplicativo. Ao contrário do Windows, essas chaves de acesso funcionam entre dispositivos, assumindo que você tenha acesso ao seu iCloud Keychain.
Nas versões mais recentes do macOS (versão 15 ou posterior), é muito mais fácil criar e gerenciar chaves de acesso através do aplicativo especializado Senhas.
iOS
O iOS segue os mesmos princípios que o macOS quando se trata de chaves de acesso. Elas são armazenadas em seu iCloud Keychain e sincronizadas entre seus dispositivos. No iOS 18 e mais recente, você pode gerenciar chaves de acesso no aplicativo especializado Senhas, e em versões mais antigas, pode encontrá-las em suas configurações.
Android
O Android 9 e versões mais recentes suportam chaves de acesso, mas de formas diferentes. Por padrão, chaves de acesso no Android usarão o Gerenciador de Senhas do Google, que está vinculado à sua Conta do Google e sincroniza entre seus dispositivos. No Android 14 e mais recente, você pode optar por armazenar suas chaves de acesso em outro lugar, como em um gerenciador de senhas de terceiros.
Se você deseja todas as suas chaves de acesso em todos os seus dispositivos, independentemente do sistema operacional, precisa de um gerenciador de senhas. A maioria dos melhores gerenciadores de senhas suporta chaves de acesso, permitindo que você armazene e sincronize suas chaves em quase qualquer dispositivo. Eu pessoalmente uso o 1Password, mas serviços como NordPass, Bitwarden e Dashlane também suportam chaves de acesso. Você pode criar e armazenar chaves de acesso com um gerenciador de senhas no Android e iOS.
Existem apenas alguns lugares onde você pode armazenar e sincronizar chaves de acesso, mas muitos serviços suportam chaves de acesso para login. Os suspeitos usuais incluem Microsoft, Adobe, Amazon, Google e Apple, mas ainda há muitos sites e aplicativos que não suportam chaves de acesso.
Você pode encontrar um punhado de diretórios que afirmam ter uma lista completa de aplicativos que suportam chaves de acesso com uma rápida pesquisa no Google. O 1Password mantém um diretório, assim como alguns serviços B2B, incluindo um diretório da Hanko e outro da OwnID. Estas não são listas completas. Aplicativos da Meta como Facebook e Instagram não estão listados, por exemplo, apesar de terem adicionado suporte para chaves de acesso em junho de 2025.
O melhor diretório que encontrei é de uma organização sem fins lucrativos chamada 2factorauth na Suécia. Ele está hospedado no GitHub, atualizado constantemente e, criticamente, mantido pela comunidade. É o mais atualizado que encontrei, e os aplicativos estão até organizados em categorias para que você possa, por exemplo, escolher um serviço de VPN que suporte chaves de acesso.
As chaves de acesso substituirão (eventualmente) as senhas
As chaves de acesso foram criadas para substituir senhas, mas estamos no meio de uma longa e árdua transição para chegar lá. Isso requer que cada aplicativo, dispositivo e sistema operacional adote um novo padrão de autenticação e abandone um modelo que usamos há décadas em toda a nossa vida digital.
O ponto de inflexão está bem encaminhado, no entanto. Com serviços maiores adotando chaves de acesso, é possível usá-las em suas contas mais importantes. Se nada mais, vale a pena usar chaves de acesso em contas que estão conectadas a outras, como sua conta do Google ou Facebook, se você usar recursos de login social.
Apesar de oferecer vantagens claras em segurança, as chaves de acesso não são uma solução (desculpe o trocadilho) pronta para melhor segurança. Como Shikiar coloca, “As chaves de acesso seguram a porta da frente, mas as organizações ainda precisam endurecer toda a jornada de identidade, desde a integração e recuperação até o gerenciamento de sessões.”