---
url: 'https://www.corbado.com/pt/blog/como-eliminar-senhas-por-completo'
title: 'Como eliminar senhas por completo'
description: 'Conheça a jornada de 4 fases, de passkeys a um sistema verdadeiramente sem senhas: por que apenas as passkeys não são suficientes e como proteger os fluxos de recuperação contra ataques de phishing.'
lang: 'pt'
author: 'Vincent Delitz'
date: '2025-10-31T14:40:14.713Z'
lastModified: '2026-03-25T10:03:59.228Z'
keywords: 'passwordless, passkeys, autenticação sem senha, recuperação de conta, resistente a phishing, segurança de autenticação, jornada passwordless'
category: 'Authentication'
---

# Como eliminar senhas por completo

## 1. Introdução: Por que a implementação de passkeys não é a linha de chegada

A implementação de passkeys representa um salto monumental na segurança da
[autenticação](https://www.corbado.com/pt/blog/passkeys-revolut), mas não é a jornada completa. Se você já
implementou passkeys, provavelmente está comemorando a melhoria nas métricas de segurança,
mas **como realmente fazemos a transição de ter passkeys para alcançar uma autenticação
totalmente sem senhas?**

As passkeys oferecem vantagens de segurança cruciais através do seu **design resistente a
phishing**, usando
[criptografia de chave pública](https://www.corbado.com/pt/blog/webauthn-pubkeycredparams-credentialpublickey)
vinculada a domínios específicos, o que torna impossível para os invasores enganarem os
usuários para que se autentiquem em sites fraudulentos. Elas **eliminam a reutilização de
credenciais**, já que cada passkey é única para um serviço específico, o que significa que
o comprometimento de um serviço não afeta os outros. Além disso, fornecem **imunidade a
ataques de força bruta**, substituindo segredos memorizados por chaves criptográficas que
não podem ser adivinhadas ou quebradas.

No entanto, essas poderosas vantagens desaparecem no momento em que um usuário pode
contornar a [autenticação](https://www.corbado.com/pt/blog/passkeys-revolut) com passkey e fazer login com uma
senha. Isso levanta uma questão crucial: **Por que as passkeys sozinhas não são
suficientes para uma segurança completa?** A resposta está em entender que, enquanto a
porta da senha permanecer aberta, os invasores tentarão entrar por ela. Ainda mais
importante é a questão: **o que torna a recuperação de conta a vulnerabilidade oculta que
pode minar toda a sua implementação de passkeys?** Violações recentes de grande
repercussão mostraram que os invasores visam cada vez mais os fluxos de recuperação em vez
da [autenticação](https://www.corbado.com/pt/blog/passkeys-revolut) primária.

Este artigo irá guiá-lo pela jornada completa, desde a implementação de passkeys até a
obtenção de uma verdadeira segurança sem senhas, abordando cada uma dessas questões
críticas com soluções práticas e exemplos do mundo real.

### O que "Passwordless" realmente significa?

**Autenticação verdadeiramente passwordless significa eliminar completamente as senhas da
sua arquitetura de segurança.** Em um sistema sem senhas, os usuários não podem definir,
redefinir ou usar senhas em nenhum ponto de sua jornada de autenticação. Em vez disso, a
autenticação depende inteiramente de métodos criptográficos como passkeys.

Muitas organizações afirmam ser "passwordless" enquanto ainda mantêm senhas em segundo
plano como uma opção de fallback. Isso não é verdadeiramente passwordless, mas sim apenas
uma opção sem senha. **A distinção é importante porque, enquanto as senhas existirem em
qualquer parte do seu sistema, incluindo os fluxos de recuperação, elas permanecem uma
vulnerabilidade explorável que os invasores irão visar.**

## 2. As duas brechas que comprometem a segurança das passkeys

A verdadeira segurança sem senhas exige tanto a eliminação de senhas da autenticação
primária QUANTO a garantia de que os processos de recuperação sejam igualmente resistentes
a [phishing](https://www.corbado.com/glossary/phishing).

### 2.1 Por que ter senhas como opção de fallback representa um risco de segurança significativo

Manter senhas como uma opção de fallback preserva todos os vetores de ataque que as
passkeys foram projetadas para eliminar. Os invasores simplesmente redirecionam suas
campanhas de [phishing](https://www.corbado.com/glossary/phishing) para visar a entrada de senhas, enquanto os
ataques de [credential stuffing](https://www.corbado.com/glossary/credential-stuffing) e password spraying
continuam usando credenciais roubadas de outras violações. A engenharia social permanece
eficaz, pois os usuários ainda podem ser enganados para revelar senhas a falsos agentes de
suporte.

Enquanto as senhas existirem, elas permanecem o elo mais fraco, um único ponto de entrada
que contorna completamente a segurança resistente a [phishing](https://www.corbado.com/glossary/phishing) das
passkeys.

### 2.2 A brecha da recuperação de conta

Olhar apenas para a experiência de login também não é suficiente. Um vetor de ataque
crítico, mas muitas vezes negligenciado, é o **fluxo de recuperação de conta**. Mesmo as
organizações que implementaram passkeys podem permanecer vulneráveis se seu processo de
recuperação depender de métodos suscetíveis a phishing, como OTPs por SMS ou links mágicos
por e-mail.

Considere a violação de grande repercussão da MGM Resorts em 2023, onde os invasores não
visaram o sistema de autenticação primário, mas exploraram o processo de recuperação de
conta por meio de engenharia social, contornando todas as medidas de segurança primárias.
Da mesma forma, a violação do sistema de suporte da Okta demonstrou como os fluxos de
recuperação podem se tornar o elo mais fraco, permitindo que os invasores redefinam
credenciais e obtenham acesso não autorizado aos ambientes dos clientes.

Esses incidentes ressaltam uma verdade crucial: **implementar passkeys sem proteger o
fluxo de recuperação é como instalar uma porta de aço e deixar as janelas abertas**.

![Notícia sobre o ataque à MGM.png](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/MGM_Newsreport_d516890011.png)

## 3. A jornada passwordless

Alcançar uma verdadeira [autenticação sem senha](https://www.corbado.com/pt/glossary/ctap) não é um único passo,
é uma jornada estratégica que requer planejamento cuidadoso, implementação gradual e
otimização contínua:

![jornada passwordless](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/passwordless_journey_438daba96e.png)

### 3.1 Fase 1: Adicionar Passkeys

A primeira fase foca em **introduzir passkeys como um método de autenticação adicional**,
mantendo as opções existentes como fallbacks. Esta etapa de construção de base permite que
os usuários tenham tempo para entender e confiar na nova tecnologia, enquanto mantêm
métodos familiares disponíveis para reduzir o atrito.

**Passos Chave de Implementação:**

- Integrar a autenticação com passkey ao seu fluxo de autenticação existente
- Habilitar a criação de passkeys para usuários novos e existentes
- Manter senhas e outros métodos de autenticação como alternativas
- Acompanhar as taxas de criação de passkeys e os padrões de uso

**Métricas de Sucesso:**

- Porcentagem de usuários que criaram pelo menos uma passkey acima de 50%
- Taxa de sucesso na criação de passkeys acima de 95%
- Uso inicial de passkeys para autenticação atingindo 20-30%

### 3.2 Fase 2: Aumentar a adoção de passkeys

Uma vez que as passkeys estejam disponíveis, o foco muda para **impulsionar a adoção e
torná-las o método de autenticação preferido**. Esta fase transforma as passkeys de uma
opção alternativa para a escolha principal de autenticação por meio de engajamento
estratégico do usuário e otimização.

**Passos Chave de Implementação:**

- Tornar a autenticação com passkey a opção padrão nos fluxos de login
- Implementar
  [prompts inteligentes](https://docs.corbado.com/corbado-connect/features/passkey-intelligence)
  que incentivam a criação de passkeys após logins bem-sucedidos com senha
- Educar os usuários sobre os benefícios de segurança e conveniência através de mensagens
  no aplicativo
- Oferecer incentivos para a [adoção de passkeys](https://www.corbado.com/pt/blog/passkeys-adocao-business-case)
  (checkout mais rápido, recursos exclusivos)
- Realizar testes A/B com diferentes mensagens e abordagens de UI para maximizar a
  conversão
- Implementar políticas de acesso condicional que exigem passkeys para operações sensíveis

**Métricas de Sucesso:**

- Mais de 60% dos usuários ativos com pelo menos uma passkey
- Mais de 80% dos logins usando passkeys para contas habilitadas para passkey
- Taxa de falha na criação de passkeys inferior a 2%

![Abordagem de login automático com passkey da Corbado](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/Automatic_passkey_login_approach_corbado_797564e31c.png)

### 3.3 Fase 3: Tornar-se passwordless

É aqui que a verdadeira transformação de segurança acontece: **remover completamente as
senhas para usuários que usam passkeys de forma consistente**. Esta fase elimina o
principal vetor de ataque ao desativar as senhas para usuários que demonstraram uma adoção
bem-sucedida de passkeys.

**Passos Chave de Implementação:**

- Analisar os padrões de autenticação do usuário usando
  [sistemas de monitoramento inteligentes](https://docs.corbado.com/corbado-connect/features/passkey-intelligence)
- Identificar usuários que usam exclusivamente passkeys com múltiplos dispositivos prontos
  para passkey
- Oferecer a desativação de senhas com uma mensagem clara sobre os benefícios de segurança
- Verificar a disponibilidade de passkeys de backup (sincronizadas na nuvem ou em
  múltiplos dispositivos)

**Métricas de Sucesso:**

- Mais de 30% dos usuários elegíveis removendo voluntariamente as senhas
- Nenhum aumento nas taxas de bloqueio de conta
- Manutenção ou melhoria nas pontuações de satisfação do usuário

### 3.4 Fase 4: Recuperação resistente a phishing

A fase final aborda a última vulnerabilidade: **transformar a recuperação de conta em um
processo resistente a phishing**. Esta fase garante que os fluxos de recuperação
correspondam ao nível de segurança da autenticação primária, prevenindo ataques por
brechas.

**Passos Chave de Implementação:**

- Implementar autenticação multifator com pelo menos um fator resistente a phishing
- Fatores resistentes a phishing disponíveis:
    - **Passkeys de Backup**: Passkeys de recuperação armazenadas em dispositivos
      secundários ou serviços em nuvem que fornecem prova criptográfica de identidade
      (opção mais amplamente disponível)
    - **API de Credenciais Digitais**: Padrão W3C para afirmações de identidade
      criptograficamente verificadas de provedores confiáveis (tecnologia emergente, ainda
      não difundida)
    - **Chaves de Segurança de Hardware**: Tokens físicos [FIDO2](https://www.corbado.com/glossary/fido2)
      registrados como fatores de recuperação que não podem ser phished ou duplicados
      (exige que os usuários comprem e mantenham dispositivos físicos)
    - **Verificação de Documento de Identidade com Detecção de Vivacidade**: Escaneamento
      de documento de identidade [governamental](https://www.corbado.com/passkeys-for-public-sector) combinado
      com ações biométricas em tempo real para provar a presença física

**Nota sobre as opções de recuperação:** Embora a
[API de Credenciais Digitais](https://www.corbado.com/pt/blog/digital-credentials-api) e as Chaves de Segurança
de Hardware ofereçam forte segurança, elas ainda não são amplamente adotadas. A primeira é
uma tecnologia emergente e a segunda exige que os usuários comprem dispositivos físicos.

Quando as passkeys de backup não estão disponíveis, a verificação de documento de
identidade com detecção de vivacidade se torna uma alternativa viável. Apesar de possíveis
contornos para burlar as verificações de vivacidade sem a posse física de um documento de
identidade, esses métodos ainda fornecem uma segurança significativamente mais forte do
que os OTPs tradicionais, que podem ser facilmente interceptados por meio de phishing,
troca de SIM ou ataques man-in-the-middle.

**Métricas de Sucesso:**

- 100% dos fluxos de recuperação incluem fatores resistentes a phishing
- Zero tomadas de conta bem-sucedidas através de processos de recuperação
- Taxas de conclusão de recuperação mantidas acima de 90%

## 4. Exemplos de empresas que começaram a remover senhas

O movimento passwordless está ganhando força em toda a indústria de tecnologia, com
empresas líderes abandonando as senhas.

### 4.1 Organizações totalmente passwordless

Várias empresas já alcançaram a eliminação completa de senhas para suas operações
internas. **Okta, Yubico e Cloudflare efetivamente chegaram a zero uso de senhas
internamente** e seus fluxos de login não aceitam mais senhas.

### 4.2 Empresas em transição ativa

Os gigantes da tecnologia **Google, Apple, Microsoft e X estão ativamente descontinuando
as senhas**, mas ainda não as eliminaram completamente. Sua abordagem equilibra melhorias
de segurança com a escolha do usuário durante o período de transição.

O **Google** adotou uma postura agressiva ao ativar a opção "Pular senha quando possível"
por padrão para todas as contas, tornando as passkeys o método de autenticação preferido,
mas ainda permitindo que os usuários optem por não usar, se necessário. Essa abordagem de
opt-out cria um forte impulso em direção ao passwordless, mantendo a flexibilidade para os
usuários que ainda não estão prontos para a transição.

A **Microsoft** vai um passo além, permitindo que os usuários removam completamente suas
senhas de suas contas hoje, com planos de "eventualmente remover o suporte a senhas por
completo" no futuro. Este roteiro claro sinaliza aos usuários que as senhas estão com os
dias contados, incentivando a adoção antecipada de métodos sem senha.

A **Apple** integrou as passkeys em todo o seu ecossistema e promove ativamente seu uso,
embora as senhas do Apple ID permaneçam disponíveis como uma opção de fallback. Sua
abordagem aproveita a sincronização perfeita entre os dispositivos Apple para tornar a
[adoção de passkeys](https://www.corbado.com/pt/blog/passkeys-adocao-business-case) o mais fácil possível.

Essas empresas não estão forçando uma mudança imediata, mas estão enviando uma mensagem
clara: **as senhas desaparecerão assim que a adoção atingir uma massa crítica**. Suas
estratégias envolvem tornar as passkeys o padrão, educar os usuários sobre os benefícios e
reduzir gradualmente a funcionalidade das senhas.

## 5. Quando devemos começar a remover as senhas?

A decisão de remover as senhas não deve ser apressada ou aplicada universalmente. Em vez
disso, devemos adotar uma **abordagem gradual e baseada em dados** que considere o
comportamento do usuário, as capacidades do dispositivo e os perfis de risco.

### 5.1 Quem deve começar sua jornada passwordless imediatamente

**Setores de alto risco que sofrem ataques de phishing severos hoje devem iniciar sua
transição para o passwordless imediatamente, mas ainda seguir uma implementação gradual e
estratégica:**

- **Bancos e Instituições Financeiras:** Alvos principais para roubo de credenciais. Para
  bancos europeus, as passkeys também se alinham aos requisitos de Autenticação Forte do
  Cliente (SCA) da [PSD2](https://www.corbado.com/blog/psd2-passkeys), fornecendo MFA resistente a phishing que
  atende à conformidade regulatória enquanto melhora a experiência do usuário.
- **Provedores de Pagamento e Fintechs:** O acesso direto aos fundos dos clientes os torna
  atraentes para o crime cibernético organizado.
- **Corretoras de Criptomoedas:** Transações irreversíveis significam que credenciais
  roubadas levam a perdas permanentes.
- **Saúde e Seguros:** Enfrentam tanto requisitos de conformidade quanto riscos à
  segurança do paciente devido ao roubo de identidade médica.
- **Governo e Infraestrutura Crítica:** Alvos de atores de estados-nação com campanhas
  sofisticadas de spear-phishing.

**Para essas organizações, a ação imediata é crítica, mas o sucesso ainda requer uma
abordagem de implementação metódica e gradual.** Comece hoje, mas implemente
estrategicamente para garantir alta adoção e evitar bloqueios de usuários.

### 5.2 Estratégia de implementação gradual

**Comece com um subgrupo menor:** Inicie sua transição para o passwordless com usuários
que demonstram uso consistente de passkeys. Esses primeiros adeptos ajudarão a identificar
possíveis problemas antes de uma implantação mais ampla.

**Analise os padrões de comportamento do usuário:**

- Frequência de login e métodos usados
- Tipos de dispositivos e compatibilidade com passkeys
- Tentativas de autenticação falhas
- Uso do fluxo de recuperação
- Padrões de autenticação entre dispositivos

**Usuários elegíveis para desativação de senha com base nesses padrões:**

- **Autenticam-se consistentemente via passkeys** - mostrando que estão confortáveis com a
  tecnologia
- **Usam passkeys em múltiplos dispositivos** - indicando que têm métodos de acesso de
  backup
- **Não usaram senhas ou fluxos de recuperação nos últimos 30-60 dias** - demonstrando que
  não dependem da autenticação baseada em senha

## 6. Como a Corbado pode ajudar

A Corbado fornece uma plataforma abrangente para guiar as organizações através de todas as
quatro fases da jornada passwordless descrita acima. Desde a implementação inicial de
passkeys até a eliminação completa de senhas, a solução da Corbado lida com a complexidade
técnica enquanto fornece as ferramentas necessárias para uma adoção bem-sucedida pelo
usuário.

**Suporte para as Fases 1 e 2:** A Corbado oferece uma integração perfeita de passkeys com
pilhas de autenticação existentes, prompts inteligentes que maximizam as taxas de adoção e
análises detalhadas para acompanhar a criação e os padrões de uso de passkeys. O recurso
[Passkey Intelligence](https://docs.corbado.com/corbado-connect/features/passkey-intelligence)
da plataforma otimiza automaticamente a experiência do usuário com base nas capacidades do
dispositivo e no comportamento do usuário, garantindo uma integração tranquila.

**Implementação das Fases 3 e 4:** Para organizações prontas para remover as senhas
completamente, a Corbado permite a desativação gradual de senhas com base na prontidão do
usuário, mantendo fluxos de recuperação seguros e resistentes a phishing.

Ao lidar com a compatibilidade entre plataformas, mecanismos de fallback e otimização da
experiência do usuário, a Corbado acelera a transformação para o passwordless de anos para
meses, permitindo que as organizações se concentrem em seu negócio principal enquanto
alcançam uma autenticação resistente a phishing.

## Conclusão

A jornada para uma verdadeira [autenticação sem senha](https://www.corbado.com/pt/glossary/ctap) responde às duas
perguntas críticas que levantamos no início:

**Por que as passkeys sozinhas não são suficientes para uma segurança completa?** Porque a
segurança é tão forte quanto seu elo mais fraco. Enquanto as senhas permanecerem
disponíveis, mesmo como um fallback, os invasores simplesmente se voltarão para elas
através de phishing, [credential stuffing](https://www.corbado.com/glossary/credential-stuffing) ou ataques de
downgrade. Cada senha em seu sistema mina os benefícios de resistência a phishing das
passkeys.

**O que torna a recuperação de conta a vulnerabilidade oculta?** Os fluxos de recuperação
são muitas vezes a brecha esquecida. Como demonstraram as violações da MGM Resorts e da
Okta, os invasores cada vez mais contornam implementações robustas de passkeys explorando
métodos de recuperação mais fracos, como OTPs por SMS ou links mágicos por e-mail. É como
instalar uma porta de aço e deixar as janelas abertas.

A verdadeira segurança sem senhas exige a conclusão de toda a jornada:
[implementar passkeys](https://www.corbado.com/pt/blog/tutorial-passkeys-como-implementar-em-apps-web),
impulsionar a adoção, remover completamente as senhas e proteger os fluxos de recuperação
com métodos resistentes a phishing. Somente fechando todas as portas de senha, incluindo
aquelas escondidas nos processos de recuperação, as organizações podem alcançar uma
autenticação verdadeiramente segura.