Entenda os benefícios de usar passkeys juntamente com a biometria local para uma segurança ótima da aplicação e um acesso do utilizador sem atritos.
Vincent
Created: June 17, 2025
Updated: July 8, 2025
See the original blog version in English here.
Our mission is to make the Internet a safer place and passkeys provide a superior solution to achieve that. That's why we want to keep you updated with the latest industry insights here.
Depois que a biometria em telemóveis se tornou popular, muitas aplicações nativas começaram a usar recursos como Face ID ou Touch ID (ou o equivalente Android) para proteger o acesso à aplicação. Esta proteção biométrica local melhora significativamente a conveniência do utilizador, permitindo um acesso rápido e sem atritos. À primeira vista, passkeys e biometria local podem parecer redundantes porque ambos envolvem a verificação do utilizador. Mas eles servem a propósitos fundamentalmente diferentes. Este artigo irá explorar:
No final, teremos uma melhor compreensão de quando e como aproveitar estas soluções em conjunto para criar uma experiência de aplicação mais segura, fácil de usar e contínua. Também descreveremos cenários práticos onde a combinação de passkeys e biometria local pode melhorar tanto a segurança quanto a conveniência, garantindo que os desenvolvedores possam tomar decisões informadas para atender eficazmente às necessidades dos utilizadores.
Recent Articles
🏢
Passkeys do PayPal: Implemente Passkeys como o PayPal
🔑
As Melhores Chaves de Segurança de Hardware FIDO2 em 2025
📖
Passkeys com Códigos QR e Bluetooth: Transporte Híbrido
📖
Passkeys em Aplicações Nativas: Implementação Nativa vs. WebView
👤
Resolução de Problemas com Passkeys: Soluções para Problemas e Erros
Métodos de autenticação biométrica locais, como o Face ID e Touch ID da Apple, ou as capacidades biométricas do Android, aproveitam características físicas únicas (por exemplo, traços faciais ou impressões digitais) para verificar a identidade de um utilizador. Ao contrário dos PINs ou palavras-passe tradicionais, que dependem de algo que o utilizador sabe, a biometria depende de algo inerente ao utilizador. Esta mudança elimina a necessidade de digitar repetidamente um código, reduzindo significativamente o atrito e tornando o acesso diário à aplicação rápido e seguro.
Antes da biometria ganhar popularidade nos telemóveis, as aplicações que visavam proteger conteúdo sensível frequentemente pediam aos utilizadores para inserir um PIN ou palavra-passe adicional cada vez que eram iniciadas. Embora esta abordagem aumentasse a segurança, também introduzia inconvenientes adicionais, especialmente quando o utilizador já tinha sido autenticado no início da sua sessão. A chegada das tecnologias de reconhecimento facial e de leitura de impressões digitais baseadas no dispositivo simplificou este processo. Em vez de digitar repetidamente um código, um utilizador podia agora desbloquear a aplicação com uma rápida leitura facial ou um breve toque. Se, por qualquer motivo, a verificação biométrica falhar ou o utilizador preferir não a ativar, um PIN, código de acesso ou palavra-passe de recurso permanece disponível. Este design garante tanto a conveniência quanto a acessibilidade sem comprometer a segurança.
É crucial distinguir as verificações biométricas locais dos eventos de autenticação remota completos. A autenticação remota ocorre no início de uma nova sessão, verificando a identidade do utilizador contra os sistemas de backend do serviço usando credenciais como palavras-passe ou passkeys. Este passo estabelece a confiança entre o utilizador e o serviço.
A biometria local, em contraste, foca-se em reverificar a identidade durante uma sessão autenticada em andamento. Em vez de pedir ao utilizador para reintroduzir palavras-passe ou outras credenciais quando sai brevemente da aplicação ou bloqueia o telemóvel, a biometria local confirma que o mesmo utilizador autorizado ainda está no controlo do dispositivo. Esta verificação centrada no dispositivo não requer uma ligação à internet ou interação com servidores remotos, tornando-a rápida, fiável e contínua no uso diário.
Os dados biométricos são armazenados e processados de forma segura dentro de módulos de segurança de hardware dedicados - como o Secure Enclave no iOS ou o Trusted Execution Environment (TEE) no Android. Estes módulos confiáveis são projetados para manter os dados biométricos sensíveis a salvo de adulteração, extração ou transferência.
Devido a esta ancoragem a nível de hardware, a verificação biométrica não pode ser facilmente partilhada entre dispositivos ou serviços. Os modelos biométricos de cada dispositivo permanecem únicos para essa unidade em particular, garantindo que, se um utilizador mudar para um novo telemóvel, deve registar novamente a sua biometria do zero. Embora isto adicione um pequeno passo de integração ao trocar de dispositivos, protege contra o acesso não autorizado e previne ataques remotos que poderiam explorar dados biométricos armazenados centralmente. Além disso, a biometria local funciona sem exigir uma ligação à internet, tornando-a fiável mesmo quando o dispositivo está offline.
A biometria local otimiza a segurança ao verificar que a pessoa que está a manusear o dispositivo é de facto o utilizador legítimo e já autenticado, sem exigir a introdução repetida de um PIN ou palavra-passe personalizado, caso a aplicação tenha uma funcionalidade importante como banca, seguros ou outros detalhes pessoais.
Eles mantêm a conveniência ao funcionar de forma contínua e instantânea no dispositivo, operam offline e dependem de enclaves de hardware seguros para proteger dados biométricos sensíveis. Embora não possam substituir a necessidade de uma autenticação remota inicial (como uma passkey ou palavra-passe) para estabelecer a identidade do utilizador em primeiro lugar, são muito eficazes na gestão e proteção de sessões subsequentes e contínuas.
As suas limitações, como a falta de portabilidade e a necessidade de novo registo em novos dispositivos, são compromissos feitos em prol de uma maior conveniência e segurança apertada a nível do dispositivo. Em última análise, a biometria local serve como um método poderoso e fácil de usar para garantir a confiança contínua numa sessão de aplicação, uma vez que essa confiança é inicialmente estabelecida.
As passkeys mudam a natureza da autenticação ao substituir segredos partilhados, como palavras-passe, por credenciais criptográficas assimétricas. Ao contrário da biometria local, que apenas verifica localmente um utilizador já autenticado, as passkeys servem como um método primário de identificação de utilizadores para um serviço remoto. Isto garante uma experiência de login segura e resistente a phishing, mesmo num cenário em que o utilizador e o dispositivo são inicialmente desconhecidos para o backend da aplicação.
Antes das passkeys, a abordagem comum para estabelecer confiança com um serviço remoto envolvia palavras-passe — segredos partilhados conhecidos tanto pelo utilizador como pelo servidor. Embora as palavras-passe sejam simples de implementar, são vulneráveis a ameaças como phishing, credential stuffing e reutilização de palavras-passe.
As passkeys abordam estes desafios usando um par de chaves criptográficas: uma chave privada armazenada de forma segura no dispositivo do utilizador e uma chave pública correspondente registada no serviço. Quando ocorre uma tentativa de login, o serviço envia um desafio que só pode ser resolvido pela chave privada do utilizador. Isto garante que, mesmo que os atacantes intercetem dados ou tentem enganar os utilizadores para que revelem as suas credenciais, não conseguem obter acesso não autorizado.
As passkeys utilizam criptografia assimétrica:
Isto é especialmente importante para sistemas onde, além de aplicações nativas, também são usados websites, onde o phishing é um grande problema. As passkeys criadas num dispositivo móvel podem ser usadas através da Autenticação entre Dispositivos também em websites numa máquina de desktop.
Uma das principais vantagens das passkeys é a sua portabilidade contínua entre os dispositivos de um utilizador. Os sistemas operativos modernos podem sincronizar passkeys através de armazenamento seguro na nuvem (por exemplo, iCloud Keychain, Google Password Manager), permitindo que os utilizadores iniciem sessão a partir de múltiplos dispositivos sem novo registo ou necessidade de lembrar palavras-passe para a primeira instalação da aplicação. Além disso, as passkeys também podem ser usadas em cenários onde um segundo fator seria necessário para fornecer proteção semelhante à de dois fatores sem introduzir atrito. Esta sinergia permite logins rápidos e seguros, independentemente do dispositivo que o utilizador escolha, reforçando um ecossistema onde a autenticação segura é universalmente acessível e fácil de manter.
As passkeys representam um método poderoso e resistente a phishing para autenticar utilizadores desconhecidos em serviços remotos. Ao aproveitar a criptografia assimétrica e abandonar os segredos partilhados em favor de chaves privadas residentes no dispositivo, elas eliminam muitas das fraquezas que assolavam os sistemas baseados em palavras-passe. As passkeys combinam segurança robusta, portabilidade global e integração direta com componentes de segurança de hardware. Como resultado, servem como uma base sólida para estabelecer a identidade do utilizador — algo que a biometria local por si só não pode fornecer. No contexto de aplicações nativas, as passkeys são o primeiro passo crítico na criação de uma sessão segura, após o qual a biometria local pode ser empregada para manter um acesso rápido e conveniente ao utilizador.
Quando se trata de autenticação em aplicações nativas, passkeys e biometria local desempenham papéis importantes, mas diferentes. Embora ambos melhorem a experiência do utilizador e a segurança, eles abordam problemas fundamentalmente distintos:
Compreender estas diferenças é vital para os desenvolvedores que pretendem criar fluxos de autenticação robustos que sejam seguros e fáceis de usar.
Para entender melhor as distinções e os papéis complementares das passkeys e da biometria local, a tabela abaixo compara as suas principais características em várias dimensões, incluindo propósito, casos de uso, segurança e portabilidade. Esta comparação destaca como estas tecnologias abordam problemas fundamentalmente diferentes, enquanto trabalham juntas para melhorar tanto a segurança quanto a conveniência do utilizador.
Aspecto | Passkeys | Biometria Local |
---|---|---|
Fase | Após Instalação da App Re-Login Timeout da Sessão | App está instalada e com login efetuado |
Propósito Principal | Autenticar um utilizador desconhecido (login inicial) | Verificar se o utilizador atualmente ativo (que já está autenticado) é o proprietário legítimo do dispositivo/app |
Protege | Acesso à conta do utilizador | Acesso à aplicação com login efetuado |
Caso de Uso | Ideal para primeiros logins ou após reinstalações, estabelecendo confiança com serviços e permitindo logins entre plataformas e dispositivos | Ideal para reverificar se o portador do dispositivo é o proprietário, desbloqueando a aplicação rapidamente sem reintroduzir palavras-passe/passkeys |
Modelo de Autenticação | Autenticação remota: verifica a identidade contra um sistema de backend | Verificação local: verifica dados biométricos armazenados de forma segura no dispositivo, não contacta um servidor remoto |
MFA | Sim + resistente a phishing | Não |
Biometria nativa | Sim (ex: Face ID, Touch ID, Biometria Android) | Sim (ex: Face ID, Touch ID, Biometria Android) |
Âmbito e Portabilidade | Usabilidade entre dispositivos, plataformas e aplicações (apps nativas + web) graças à sincronização segura de chaves na nuvem | Específico do dispositivo, não transferível: os modelos biométricos devem ser registados novamente em novos dispositivos Não pode ser facilmente movido entre plataformas |
Armazenamento e Segurança de Dados | Chaves privadas armazenadas num secure enclave Chaves públicas armazenadas no lado do servidor Nenhum segredo partilhado transmitido Resistente a phishing | Modelos biométricos armazenados num enclave de hardware seguro no dispositivo Nunca saem do dispositivo Protegido pelo hardware do dispositivo |
Requisito de Internet | Requer ligação à internet para autenticar com o serviço remoto e registar chaves. | Nenhuma ligação à internet necessária; a verificação é totalmente local, tornando-a útil mesmo offline e se a aplicação tiver um caso de uso offline |
Backup e Recuperação | As chaves podem ser copiadas e restauradas via sincronização na nuvem (ex: iCloud Keychain, Google Password Manager), garantindo uma recuperação fácil se um dispositivo for perdido ou substituído | Nenhum mecanismo de backup integrado para biometria; se o dispositivo falhar, os utilizadores devem registar novamente os seus dados biométricos num novo dispositivo |
Integração com Websites e Aplicações | Pode ser usado tanto para aplicações nativas como para websites. As passkeys simplificam os fluxos de login ao autenticar utilizadores sem revelar credenciais, melhorando a segurança em geral | Limitado ao dispositivo e à aplicação instalada localmente. |
Implementação pelo Desenvolvedor | Integrar usando padrões web (WebAuthn, FIDO2) e APIs de plataforma nativa O backend deve lidar com chaves públicas e desafios. | Aproveitar os SDKs da plataforma (iOS, Android) para prompts biométricos Nenhum tratamento especial de backend necessário. |
Experiência do Utilizador | Após a configuração inicial, os utilizadores podem iniciar sessão rapidamente sem se lembrarem do email ou palavras-passe, mesmo em novos dispositivos Integração otimizada com atrito reduzido | Fornece re-acesso instantâneo e sem palavra-passe às aplicações assim que o utilizador já se tenha autenticado. |
Embora a tabela destaque as principais diferenças, é importante reconhecer que as passkeys e a biometria local não são tecnologias concorrentes — são complementares. Juntas, elas fornecem uma experiência de autenticação em camadas:
Ao combinar passkeys e biometria local, os desenvolvedores podem oferecer um fluxo de autenticação seguro, contínuo e fácil de usar.
Ao combinar passkeys e biometria local, os desenvolvedores podem criar um fluxo de autenticação robusto que:
Esta sinergia garante que as aplicações possam fornecer tanto autenticação forte como conveniência contínua — uma combinação vencedora para as expectativas dos utilizadores modernos.
Para obter uma melhor compreensão de como funcionam os exemplos e combinações do mundo real, examinaremos duas implementações diferentes: uma que aproveita apenas passkeys e outra que usa uma abordagem combinada.
A aplicação Kayak demonstra uma implementação de passkeys para autenticação do utilizador. As passkeys são perfeitamente integradas no processo de login, oferecendo aos utilizadores a opção de se autenticarem sem precisarem de se lembrar do seu endereço de e-mail ou palavra-passe. Como mostrado no ecrã de autenticação, os utilizadores podem selecionar diretamente uma passkey para iniciar sessão. Esta abordagem simplifica significativamente a experiência do utilizador, reduzindo a carga cognitiva e eliminando o atrito relacionado com palavras-passe.
Uma vez autenticado através de uma passkey, o utilizador obtém acesso irrestrito à aplicação sem necessitar de reautenticação. Este design é particularmente adequado para a Kayak, uma aplicação de viagens que gere principalmente o histórico de reservas e itinerários, que não são considerados dados altamente sensíveis ou críticos.
Principais Destaques da Abordagem da Kayak:
Esta implementação demonstra como as passkeys podem otimizar o processo de autenticação, eliminando a necessidade de palavras-passe e proporcionando uma experiência sem atritos para os utilizadores. No entanto, em cenários onde são realizadas ações mais sensíveis ou críticas dentro da aplicação, podem ser necessárias camadas adicionais de segurança, como a biometria local. Vamos explorar como o GitHub aproveita tanto as passkeys como a biometria para garantir a segurança sem comprometer a usabilidade.
O GitHub equilibra a integração de passkeys para um login seguro com a biometria local para proteger o conteúdo da aplicação no estado de login efetuado. As passkeys são oferecidas como uma opção de login rápida e resistente a phishing, o que é particularmente importante dados os requisitos de autenticação multifator (MFA) do GitHub. Isto elimina a necessidade de os utilizadores gerirem palavras-passe ou códigos de uso único, proporcionando uma experiência de login contínua e segura. Mas, para o propósito deste artigo, não analisaremos a sua implementação de passkeys.
Camada Adicional de Segurança do GitHub com Biometria Local: Como o GitHub também oferece operações sensíveis como a fusão de pull requests, o GitHub permite que os utilizadores ativem a proteção biométrica local se sentirem que é necessário. Neste exemplo, o Face ID é usado para bloquear a aplicação no iOS, garantindo que apenas o proprietário do dispositivo pode aceder ou executar a App GitHub. A aplicação solicita explicitamente os privilégios necessários ao sistema operativo para ativar a biometria e oferece intervalos configuráveis (por exemplo, imediato ou após um tempo de inatividade definido).
Principais Destaques da Abordagem do GitHub:
Juntos, estes exemplos ilustram como as passkeys e a biometria local podem ser adaptadas às necessidades de diferentes aplicações, equilibrando a conveniência do utilizador com medidas de segurança apropriadas.
Abaixo estão quatro recomendações adaptadas a cenários comuns onde a biometria local e as passkeys podem ser implementadas. As recomendações estão estruturadas para que desenvolvedores, gestores de produto e decisores possam identificar rapidamente qual a abordagem que melhor se adapta à sua situação. Segue-se uma tabela de resumo, facilitando o mapeamento de cada recomendação a um determinado cenário:
Embora as recomendações acima cubram uma gama de cenários comuns, existem inúmeras outras situações onde a escolha de implementar biometria local, passkeys, ou ambos, pode variar. Cada aplicação tem necessidades únicas de segurança, usabilidade e conformidade, e é essencial que desenvolvedores, gestores de produto e líderes de negócio avaliem exaustivamente estes fatores antes de decidirem uma abordagem. Ao ponderar cuidadosamente os seus casos de uso específicos, requisitos regulamentares e expectativas dos utilizadores, pode criar uma estratégia de autenticação que não só protege os seus utilizadores e os seus dados, mas também oferece a experiência contínua e fácil de usar que os clientes de hoje esperam.
Como vimos, a biometria local e as passkeys desempenham papéis fundamentalmente diferentes, mas complementares, nas estratégias de autenticação modernas. A biometria local simplifica a verificação contínua da sessão, aproveitando as características inerentes do utilizador para verificações rápidas no dispositivo, enquanto as passkeys estabelecem uma relação de confiança segura e resistente a phishing com serviços remotos. Ao combinar cuidadosamente estes métodos, os desenvolvedores podem criar uma experiência de utilizador que é simultaneamente sem atritos e altamente segura, atendendo eficazmente às necessidades de um cenário digital diversificado e exigente. Voltando às perguntas da Introdução:
Ao reconhecer os papéis distintos, mas mutuamente benéficos, das passkeys e da biometria local, os desenvolvedores e decisores podem implementar uma abordagem de autenticação abrangente que equilibra segurança, conveniência e satisfação do utilizador. Ao fazê-lo, as aplicações tornam-se mais resilientes contra ameaças, mais fáceis de navegar e mais adaptáveis às exigências evolutivas dos utilizadores e regulamentares — entregando, em última análise, um ambiente digital contínuo e confiável.
Enjoyed this read?
🤝 Join our Passkeys Community
Share passkeys implementation tips and get support to free the world from passwords.
🚀 Subscribe to Substack
Get the latest news, strategies, and insights about passkeys sent straight to your inbox.
Related Articles
Table of Contents