Passkeys do PayPal: Implemente Passkeys como o PayPal

• Primeiro disponível no 4º trimestre de 2022 nos EUA e depois implementado gradualmente em diferentes países e plataformas
• As passkeys do PayPal aumentam a segurança do login do PayPal contra phishing e credential stuffing, oferecendo uma experiência mais conveniente.
• Atualmente, as passkeys são principalmente para logins em contas existentes, não para o cadastro inicial de contas totalmente sem senha.
• A configuração da passkey do PayPal é feita manualmente através da seção 'Login e Segurança' nas configurações da conta.
• O PayPal foi pioneiro na sincronização de passkeys entre seu site e aplicativos nativos, suportando tanto passkeys sincronizadas quanto vinculadas ao dispositivo (embora as sincronizadas sejam mais comuns).
• Embora ofereça uma experiência simplificada globalmente, a implementação na Europa cumpre com o PSD2/SCA, às vezes exigindo etapas de verificação adicionais apesar do uso de uma passkey (contexto de 2FA da passkey do PayPal). O PayPal utiliza a Conditional UI para um login de preenchimento automático contínuo e fornece uma educação clara ao usuário. O sucesso inicial inclui taxas de login aprimoradas e redução de fraudes, posicionando o PayPal como um líder a ser seguido por outras instituições financeiras.

Cada vez mais empresas de uma vasta gama de setores estão a entrar num mundo sem senhas e a implementar passkeys. Através desta série de artigos, pretendemos fornecer uma visão abrangente da experiência do usuário com passkeys dessas empresas. Isso deve permitir que você incorpore essas descobertas e aprimore o login do seu produto de acordo. Em cada artigo, focamo-nos numa única empresa. Hoje, mergulhamos no PayPal.

Desde outubro de 2022, os usuários do PayPal nos EUA podem criar passkeys para as suas contas, marcando um passo significativo em direção à autenticação sem senha na indústria de pagamentos. Após este lançamento inicial, as passkeys do PayPal foram sucessivamente implementadas em países adicionais desde o início de 2023. Como uma das principais plataformas de pagamento digital do mundo, com mais de 400 milhões de usuários, a adoção de passkeys pelo PayPal demonstra um forte compromisso em tornar os pagamentos e transferências online mais seguros e fáceis de usar. O PayPal destaca-se como um pioneiro inicial no espaço de pagamentos, estabelecendo um exemplo positivo para outros bancos e instituições financeiras.

Aviso Legal:

1. O estado da análise inicial foi em agosto de 2023. Este post de blog foi atualizado no final de abril de 2025 para refletir as últimas mudanças na implementação de passkeys do PayPal, observando o que mudou desde a análise inicial.
2. Por favor, consulte os casos de uso para encontrar os dispositivos usados para a análise.
3. Nesta última atualização (abril de 2025), focámo-nos nas principais combinações de SO e plataforma e não testámos todas as variantes em detalhe.

A decisão do PayPal de adotar passkeys está enraizada num imperativo estratégico claro, impulsionado pelos desafios inerentes da autenticação tradicional baseada em senha no cenário de pagamentos digitais.

• Combater Ameaças Cibernéticas: O ambiente de pagamentos digitais está sob constante ataque de ataques de phishing, credential stuffing (uso de listas de senhas roubadas para tentar login em outros sites) e fraude de tomada de controle de conta (ATO). As senhas são o elo mais fraco, vulneráveis a essas ameaças generalizadas. Ao adotar passkeys, que são criptograficamente vinculadas ao site e dispositivo específicos, o PayPal reduz drasticamente a superfície de ataque para essas formas comuns de fraude.
• Reduzir o Atrito e o Abandono do Usuário: Os fluxos de login tradicionais, muitas vezes envolvendo senhas complexas seguidas por Códigos de Uso Único (OTPs) ou perguntas de segurança, criam um atrito significativo para os usuários. Senhas esquecidas levam a processos de recuperação frustrantes, e a autenticação em várias etapas pode fazer com que os usuários abandonem as transações, especialmente em dispositivos móveis. Esse atrito afeta diretamente as taxas de conversão no checkout. As passkeys oferecem uma experiência de login simplificada, com um toque, usando autenticação biométrica familiar ou o PIN do dispositivo, reduzindo drasticamente esses pontos de dor.
• Melhorar a Segurança e a Experiência do Usuário: Fundamentalmente, o PayPal busca resolver a tensão de longa data entre segurança e conveniência. As passkeys fornecem uma maneira de oferecer segurança significativamente mais forte do que as senhas, ao mesmo tempo em que oferecem uma experiência de usuário mais simples e rápida. Este benefício duplo é crítico para uma plataforma que lida com transações financeiras sensíveis.
• Liderança na Indústria: Como membro fundador da FIDO Alliance, a força motriz por trás do padrão de passkeys, o PayPal está comprometido em liderar a indústria em direção a uma autenticação mais segura e amigável ao usuário. Ser uma das primeiras grandes plataformas de pagamento a implementar passkeys reforça essa posição de liderança e estabelece um padrão para concorrentes e parceiros.

Ao abordar esses desafios-chave e alavancar sua posição como líder da FIDO, o PayPal posicionou as passkeys como uma tecnologia fundamental para sua futura estratégia de autenticação.

A implementação de passkeys do PayPal inclui várias características e escolhas de design notáveis que impactam a experiência do usuário e a segurança.

O PayPal iniciou sua jornada com passkeys com uma implementação em fases. A disponibilidade foi introduzida primeiro nos EUA no 4º trimestre de 2022, inicialmente para um subconjunto de usuários via testes A/B, focando principalmente em dispositivos Apple (iOS, iPadOS, macOS) acessando o site. Esta fase inicial permitiu ao PayPal coletar feedback e identificar possíveis problemas em um ambiente controlado.

As implementações sucessivas começaram no início de 2023, expandindo para dispositivos Android (Android 9+) nos EUA e, posteriormente, para mercados europeus importantes como Alemanha e Reino Unido em meados de 2023. Essa estratégia de expansão gradual permitiu ao PayPal adaptar-se a diferentes plataformas e requisitos regulatórios regionais, minimizando o risco. A implementação continuou desde então, com o PayPal trabalhando ativamente para acelerar a disponibilidade global ao longo de 2025, citando resultados positivos da adoção inicial.

Um destaque significativo da implementação do PayPal é a capacidade de criar e usar passkeys dentro de seus aplicativos móveis nativos para dispositivos Apple e Android. Além disso, o PayPal foi um dos primeiros a permitir a sincronização contínua de passkeys entre o site acessado por um navegador e o aplicativo móvel nativo correspondente no mesmo ou em diferentes dispositivos (via chaveiros na nuvem como o iCloud Keychain ou o Google Password Manager).

Essa sincronização significa que um usuário que cria uma passkey em seu iPhone dentro do aplicativo do PayPal pode então usar essa mesma passkey para fazer login via Safari em seu MacBook ou até mesmo no Chrome em um PC com Windows (se sincronizado via Google Password Manager), desde que tenha seu iPhone por perto para aprovar o login do PayPal entre dispositivos. Isso aumenta muito a conveniência e a flexibilidade do usuário. Os usuários também podem optar por usar passkeys vinculadas ao dispositivo, potencialmente armazenadas em uma chave de segurança de hardware, embora as passkeys sincronizadas sejam a abordagem mais comum para a maioria dos usuários devido à facilidade de uso e disponibilidade através dos chaveiros do dispositivo.

O PayPal integrou rapidamente a Conditional UI, o que melhora significativamente a experiência de login do PayPal. Quando um usuário navega para a página de login do PayPal e clica no campo de entrada do nome de usuário, o prompt de passkey nativo do navegador ou do sistema operacional aparece automaticamente, sugerindo a passkey armazenada para aquele site.

Isso elimina a necessidade de o usuário lembrar ou digitar manualmente seu nome de usuário, muito menos sua senha. Ele fornece uma experiência de login simplificada, quase de um toque, aproveitando as capacidades de preenchimento automático inerentes ao padrão de passkeys. Esse foco na conveniência do usuário desde o início tem sido um fator chave na promoção da adoção de passkeys na plataforma do PayPal.

Dentro das configurações da conta, especificamente na seção 'Login e Segurança', o PayPal fornece aos usuários uma visão clara de suas passkeys registradas. Para cada passkey, são exibidos detalhes como o dispositivo no qual foi criada, seu status de sincronização (por exemplo, sincronizada via iCloud Keychain) e o carimbo de data/hora da criação. Essa transparência ajuda os usuários a gerenciar suas passkeys e a entender onde e quando habilitaram este método de login.

O PayPal também fornece orientações claras sobre a exclusão de passkeys, explicando que muitas vezes elas precisam ser removidas tanto localmente do dispositivo/chaveiro quanto do servidor do PayPal para serem totalmente desregistradas.

Reconhecendo que as passkeys são um conceito novo para muitos usuários, o PayPal investiu na educação do usuário. Eles usam consistentemente o termo "passkeys" e fornecem explicações detalhadas dentro do fluxo de configuração e em sua seção de FAQ dedicada. Isso inclui informações sobre o que são as passkeys, como funcionam, o processo de configuração, sincronização e exclusão. Ao abordar proativamente as possíveis perguntas e preocupações dos usuários, o PayPal visa construir confiança e incentivar a adoção deste novo método de autenticação.

Veja a captura de tela a seguir que fornece mais informações sobre o processo correto de exclusão de passkeys em duas fases.

• Limitações Ocasionais de Plataforma/Navegador (Historicamente): Conforme observado na análise inicial (agosto de 2023), as passkeys não estavam universalmente disponíveis em todas as combinações de dispositivo e navegador. Por exemplo, o suporte ao Windows estava inicialmente ausente. Atualização de abril de 2025: Essa limitação foi em grande parte resolvida. As passkeys do PayPal agora são suportadas na maioria dos principais sistemas operacionais (iOS, macOS, Android, Windows 10+) e navegadores (Chrome, Safari, Edge, Firefox), melhorando significativamente a disponibilidade e a consistência.
• Exclusão Local nem sempre reconhecida: Uma pequena desvantagem técnica observada é que, se um usuário excluir uma passkey apenas de seu dispositivo local sem também removê-la das configurações de sua conta do PayPal, o botão de login de um toque ainda pode aparecer, potencialmente confundindo o usuário. A exibição deveria, idealmente, ser atualizada imediatamente após a primeira detecção da exclusão local.
• Nenhum fluxo verdadeiro Identifier-First no Android (principalmente Conditional UI / One-Tap): No Android, embora o uso da Conditional UI seja excelente para a experiência do usuário, o fluxo de login principal do PayPal parece fortemente voltado para isso ou para um botão de passkey dedicado, em vez de oferecer um fluxo identifier-first tradicional que degrada graciosamente se nenhuma passkey for encontrada. Embora isso proteja contra a enumeração de contas, uma implementação mais robusta poderia oferecer caminhos mais claros para usuários sem uma passkey registrada naquele dispositivo específico. Além disso, não está claro por que no iOS isso é implementado corretamente e no Android não.

A adoção e implementação precoces de passkeys pelo PayPal renderam resultados positivos, demonstrando os benefícios tangíveis desta tecnologia tanto para a segurança quanto para a experiência do usuário.

• Aumento das Taxas de Sucesso de Login: Relatórios iniciais indicaram um aumento significativo nas taxas de sucesso de login (+10%) para usuários que optaram por passkeys em comparação com os métodos de senha tradicionais. Isso destaca a redução do atrito e menos erros associados à digitação e recuperação de senhas.
• Redução de Fraude de Tomada de Controle de Conta (ATO): As passkeys são altamente resistentes a phishing e credential stuffing, que são os principais vetores para a fraude de ATO. O PayPal relatou uma redução substancial nas tentativas e sucessos de fraude de ATO (-70% relatado em 2023) para usuários que habilitaram passkeys, mostrando os fortes benefícios de segurança.
• Tempos de Checkout Mais Rápidos: Para usuários que utilizam passkeys para login durante o processo de checkout, o fluxo de autenticação simplificado reduz significativamente o tempo necessário para concluir a transação, com relatórios sugerindo que os tempos de checkout podem cair para cerca de 5 segundos em cenários ideais.

Esses KPIs iniciais ressaltam o convincente caso de negócio para as passkeys, provando que elas não apenas aumentam a segurança, mas também melhoram métricas de negócios críticas como conversão e redução de fraudes.

A implementação de passkeys na Europa como um banco, provedor de pagamentos ou organização de serviços financeiros apresenta desafios únicos em comparação com regiões como os EUA, principalmente devido aos requisitos rigorosos da Segunda Diretiva de Serviços de Pagamento (PSD2) da União Europeia e seu mandato para a Autenticação Forte do Cliente (SCA).

O PSD2 visa aumentar a segurança para pagamentos eletrônicos dentro do Espaço Econômico Europeu (EEE) e do Reino Unido (que incorporou regras semelhantes). Sua pedra angular é a SCA, que exige que a maioria das iniciações de pagamento eletrônico e certas ações de acesso à conta sejam autenticadas usando pelo menos dois fatores independentes de três categorias:

• Conhecimento: Algo que apenas o usuário sabe (por exemplo, senha, PIN - embora senhas estáticas sozinhas sejam muitas vezes insuficientes).
• Posse: Algo que apenas o usuário possui (por exemplo, um dispositivo confiável, um token, um telefone recebendo um OTP).
• Inerência: Algo que o usuário é (por exemplo, dados biométricos como impressão digital ou reconhecimento facial).

Além disso, para transações remotas, a SCA muitas vezes requer Vinculação Dinâmica, o que significa que a autenticação deve estar especificamente vinculada ao valor e ao beneficiário da transação.

As passkeys sincronizadas estão tecnicamente bem equipadas para atender aos requisitos da SCA. Uma única ação de autenticação com passkey combina inerentemente dois fatores:

• Posse: O usuário possui o dispositivo que armazena a chave privada.
• Inerência (ou Conhecimento): O usuário desbloqueia esse dispositivo usando biometria (Inerência) ou um PIN/senha do dispositivo (Conhecimento) para autorizar o uso da passkey.

No entanto, não há orientação oficial dos reguladores sobre como a natureza sincronizada das passkeys sincronizadas e o fator de posse se correspondem. Portanto, muitas organizações de serviços financeiros europeias abstêm-se de implementar passkeys (ainda) devido a essa incerteza.

Por favor, veja também nossos outros posts de blog sobre PSD2 e passkeys para uma leitura detalhada:

• Passkeys Vinculadas ao Dispositivo vs. Sincronizadas
• Análise dos Requisitos de PSD2 e SCA
• O que os Requisitos de SCA Significam para as Passkeys
• Implicações do PSD3 / PSR para as Passkeys

A implementação do PayPal na Europa parece adaptada para se encaixar em sua infraestrutura de conformidade com a SCA existente. Ao contrário do potencial para um login com passkey de um único passo nos EUA, os usuários europeus podem, por vezes, experimentar um processo de várias etapas para login ou ações sensíveis:

1. Autenticar com Passkey: Isso substitui a entrada da senha e satisfaz dois fatores (Posse + Inerência / Conhecimento).
2. Verificação Adicional (se acionada): Dependendo da avaliação de risco ou de novos dispositivos, do valor da transação ou de outros gatilhos da SCA, o PayPal ainda pode exigir uma etapa de verificação adicional, como:

• Inserir um OTP entregue por SMS.
• Aprovar uma notificação push através do aplicativo móvel do PayPal.

Isso significa que, em certos cenários europeus, a passkey atua como uma parte do processo de autenticação, mas pode nem sempre eliminar a necessidade de um fator distinto subsequente para cumprir totalmente como a SCA é interpretada e aplicada para casos de uso específicos. Isso contrasta com a experiência ideal sem atritos, onde a passkey é a autenticação inteira.

O PayPal utiliza armazenamento local ou cookies para lembrar dispositivos confiáveis onde uma passkey sincronizada foi usada, o que reduz a frequência dessas verificações adicionais da SCA em interações subsequentes, mas logins iniciais ou de alto risco geralmente exigem a prova de posse extra.

O PayPal reconhece o atrito potencial que essa abordagem em camadas introduz na Europa em comparação com outras regiões. Como resultado, eles estão defendendo ativamente uma evolução das regras da SCA. No início de 2025, o PayPal recomendou publicamente que as regulamentações da SCA deveriam incentivar métodos de autenticação que podem ser realizados inteiramente em um único dispositivo (como passkeys aproveitadas através do autenticador embutido de um dispositivo), sem exigir interação com um dispositivo separado (como receber um SMS OTP). O PayPal chama isso de autenticação forte do cliente baseada em resultados.

Essa defesa sinaliza o objetivo estratégico do PayPal de harmonizar a experiência do usuário globalmente e alcançar todo o potencial de redução de atrito das passkeys dentro do quadro regulatório europeu.

É importante distinguir as passkeys do PayPal da autenticação biométrica puramente local dentro do aplicativo nativo do PayPal para iOS / Android. Embora as passkeys muitas vezes dependam da autenticação biométrica (como Face ID ou Touch ID em dispositivos Apple, ou impressão digital / reconhecimento facial no Android) para autorizar o uso da chave privada armazenada de forma segura no dispositivo, a passkey em si é mais do que apenas uma verificação biométrica.

• Autenticação Biométrica Local: Este método autentica o usuário no dispositivo ou aplicativo local usando biometria. No entanto, isso por si só não verifica criptograficamente a identidade do usuário para um serviço online como o PayPal de uma forma resistente a phishing. Apenas prova que a pessoa usando o dispositivo é o proprietário legítimo.
• Passkeys do PayPal: As passkeys usam criptografia de chave pública. A verificação biométrica (ou PIN do dispositivo) desbloqueia o secure enclave no dispositivo para acessar a chave privada. Esta chave privada é então usada para assinar um desafio do servidor do PayPal, provando a posse do par de chaves. Este processo criptográfico é resistente a phishing e verifica a identidade do usuário para o PayPal.

Portanto, embora a biometria seja muitas vezes o gatilho amigável para um login com passkey, a tecnologia subjacente da passkey fornece a autenticação online forte e resistente a phishing, ao contrário da autenticação biométrica local sozinha.

Veja também nosso post do blog sobre passkeys vs. biometria local para mais detalhes.

A autenticação com passkey do PayPal não se limita aos logins diretos na conta do PayPal. Também pode ser usada através do SDK do Provedor de Pagamentos do PayPal em fluxos de checkout de terceiros em sites e aplicativos de comerciantes. Isso permite que os comerciantes que utilizam o PayPal para processamento de pagamentos ofereçam aos seus clientes uma experiência de autenticação sem senha, segura e contínua diretamente em seus fluxos de checkout. Utilizar passkeys através do SDK do PayPal simplifica significativamente o processo de pagamento, reduz o atrito e aumenta a segurança, mitigando os riscos de phishing e ataques de credential stuffing. Para um guia abrangente e detalhes técnicos sobre a implementação de passkeys em contextos de terceiros, por favor, consulte nosso artigo dedicado sobre integração de SDK de terceiros com passkeys.

A implementação técnica do PayPal foca-se fortemente em aproveitar os recursos modernos de passkey para otimizar a experiência do usuário, principalmente através da Conditional UI e de botões de passkey dedicados.

• Conditional UI / Login de Um Toque: Como discutido, o PayPal habilita a Conditional UI em sua página de login. Quando um usuário foca no campo de entrada do nome de usuário, o navegador/SO oferece automaticamente a passkey como uma opção de preenchimento automático, apresentando o e-mail do usuário vinculado à passkey. O PayPal também utiliza um botão dedicado "Fazer login com Passkey", particularmente visível quando nenhum nome de usuário é pré-preenchido ou em logins subsequentes. Isso permite um login no PayPal sem digitar nenhum identificador primeiro.
• Nenhum Fluxo Identifier-First Tradicional no Android: No Android, o fluxo do PayPal parece projetado em torno da passkey como o método principal, se uma existir. Não há um fluxo identifier-first proeminente e explícito onde um usuário digita seu e-mail, e então o sistema verifica se há uma passkey e potencialmente recorre a uma senha se nenhuma for encontrada. Embora este design ajude a prevenir a enumeração de contas (atacantes adivinhando endereços de e-mail válidos), pode ser menos intuitivo para usuários que fornecem seu identificador e depois precisam escolher um método de login (ou no caso do PayPal não podem usar passkeys, mas apenas uma senha). Para iOS, o fluxo identifier-first com início de login automático com passkey foi implementado corretamente.
• Implementação em Aplicativo Nativo: Nos aplicativos nativos do PayPal, a experiência com passkey é ainda mais integrada. A Conditional UI é frequentemente acionada automaticamente quando o aplicativo abre ou navega para a tela de login, apresentando imediatamente o e-mail do usuário associado à passkey e solicitando autenticação biométrica ou PIN.
• Lembrar Dispositivo e SCA Subsequente: O PayPal implementa uma lógica para "lembrar" um dispositivo confiável após um login com passkey bem-sucedido, particularmente na Europa para gerenciar a conformidade com a SCA. Isso depende do armazenamento local (cookies ou armazenamento do aplicativo). Se o usuário limpar o armazenamento ou optar explicitamente por não usar o recurso "lembrar este dispositivo", os logins subsequentes com passkey nesse dispositivo podem acionar etapas adicionais da SCA.

O PayPal publicou um FAQ abrangente que fornece uma explicação detalhada sobre passkeys e guia os usuários através do processo de configuração. Isso reflete o reconhecimento da necessidade de educar os usuários sobre a tecnologia e a funcionalidade por trás das passkeys, já que nem todos podem estar familiarizados com elas ainda.

Para registrar novas passkeys para sua conta do PayPal, siga estes passos:

1. Clique no ícone de configurações (navegador da web) ou no ícone do perfil (aplicativo) no canto superior direito
2. Clique em Segurança (navegador da web) ou Login e segurança (aplicativo)

3. Clique em Passkey

4. Clique no botão Criar uma Passkey

Explicação da Criação de Passkey de Agosto de 2023

Com o tempo, o PayPal melhorou sua mensagem e texto para o usuário ao criar uma passkey para o seguinte

Explicação da Criação de Passkey de Abril de 2025

Note que realizamos os casos de uso apenas com dispositivos prontos para passkey (por exemplo, nenhum iPhone anterior ao iOS 16.0, nenhum MacBook anterior ao macOS Ventura, nenhum dispositivo Windows anterior ao Windows 10). Usamos a mesma conta do PayPal para cada caso de uso.

Para configurar inicialmente a primeira passkey para nossa conta do PayPal, clicamos em 'Criar uma Passkey' como mostrado anteriormente na seção 3.

É notável que neste ponto o usuário é novamente informado sobre o que são as passkeys. Isso mostra que o PayPal quer educar os usuários que ainda não conhecem as passkeys.

Após clicar em 'Criar uma Passkey', o PayPal exige a confirmação de nossa identidade através de autenticação de dois fatores.

Agosto de 2023

Abril de 2025

Uma vez que isso tenha sido verificado com sucesso, uma passkey pode ser criada, e o pop-up padrão de passkey da Apple aparece, solicitando que usemos o Face ID.

Uma vez registrada com sucesso, recebemos uma notificação confirmando a geração bem-sucedida da passkey.

Nas configurações de 'Login e segurança', agora podemos ver detalhes sobre a passkey ou até mesmo removê-la novamente. As propriedades incluem informações sobre o dispositivo no qual a passkey foi criada e se foi sincronizada, juntamente com um carimbo de data/hora da criação.

Se você quiser excluir uma passkey, o PayPal oferece uma ótima orientação aos usuários de que as passkeys precisam ser excluídas localmente e no lado do servidor.

Ao usar a mesma combinação de navegador-sistema operacional para a qual uma passkey já foi armazenada, o PayPal detecta isso e não exibe a opção 'Criar uma Passkey'. Somente após a passkey ter sido removida do dispositivo novamente, você pode instalar uma nova.

Se quisermos fazer login no aplicativo do PayPal para iOS, usamos a passkey criada anteriormente neste dispositivo. Assim que abrimos o aplicativo, o pop-up padrão de passkey da Apple aparece, solicitando que usemos o Face ID para fazer login. Se o campo de entrada do nome de usuário estiver vazio, a janela da passkey não aparecerá imediatamente, mas devido à Conditional UI habilitada, a passkey armazenada será automaticamente sugerida e pré-preenchida assim que clicarmos no campo.

Após verificar nossa identidade com o Face ID, a passkey é recuperada com sucesso, concedendo-nos acesso à nossa conta.

Em agosto de 2023, ainda não era possível criar uma passkey em um MacBook (isso foi corrigido em abril de 2025). No entanto, podíamos fazer login com uma que estivesse sincronizada no Apple Keychain. Neste caso de uso, recuperamos a passkey que registramos em nosso iPhone no caso de uso 1.

Assim que entramos na página do PayPal no navegador, somos apresentados ao familiar pop-up de passkey do Safari. Aqui, selecionamos 'dispositivo iPhone, iPad ou Android', que inclui o iPhone no chaveiro que contém a passkey do caso de uso 1.

Nós escaneamos o código QR com o dispositivo onde nossa passkey está armazenada (neste caso, do caso de uso 1).

Após fazer login com a passkey no iPhone, ainda precisamos confirmar nossa identidade com 2FA quando a usamos pela primeira vez para nosso MacBook também, antes de sermos então logados em nossa conta do PayPal.

Neste caso de uso, geramos uma passkey em um dispositivo Android usando o aplicativo do PayPal e a armazenamos no Google Password Manager. O processo para gerar a passkey para o aplicativo do PayPal para Android é o mesmo que para o aplicativo do PayPal para iPhone, com a única diferença sendo que criamos a passkey no Android usando as capacidades de toque biométrico do Android em vez do Face ID e que nesta etapa é possível especificar a conta do Google onde a chave mestra criada será armazenada. Uma vez que nossa impressão digital foi registrada com sucesso, recebemos uma notificação confirmando a geração bem-sucedida da passkey. A passkey agora é exibida na seção Passkeys nas configurações de login e segurança.

Ao contrário do iPhone, o telefone Android não reconhece que uma passkey já existe no dispositivo e continua a exibir a opção 'Criar uma Passkey'. Se os usuários então quiserem configurar uma passkey, o PayPal detecta isso e impede a criação de uma nova e a substituição de uma passkey existente.

Além disso, em agosto de 2023, o telefone não reconhecia se já existia uma passkey para outro telefone Android armazenada no Google Password Manager e permitia a criação de uma segunda passkey. Isso foi corrigido até abril de 2025.

Se quisermos fazer login no aplicativo do PayPal para Android, usamos a passkey criada anteriormente neste dispositivo. Assim que abrimos o aplicativo, o pop-up padrão de passkey do Android aparece, solicitando que usemos o Touch ID para fazer login. Se o campo de entrada do nome de usuário estiver vazio, a janela da passkey não aparecerá imediatamente, mas devido à Conditional UI habilitada, a passkey armazenada será automaticamente sugerida e pré-preenchida assim que clicarmos no campo.

Android e Chrome

App Nativo iOS

iOS e Safari ao começar a digitar o nome de usuário

iOS e Safari no carregamento da página

Após verificar nossa identidade com o Face ID, a passkey é recuperada com sucesso, concedendo-nos acesso à nossa conta.

O PayPal estabeleceu-se como um claro líder na adoção de passkeys nas indústrias de serviços financeiros e de pagamentos. Seu lançamento precoce, implementação global em fases e compromisso com os principais recursos de passkey, como a Conditional UI e o fornecimento de uma experiência de login com passkey de um toque, demonstram uma abordagem inovadora para aprimorar tanto a segurança quanto a experiência do usuário.

Ao posicionar estrategicamente as passkeys como um substituto para as senhas, o PayPal aborda diretamente ameaças prevalentes como phishing e credential stuffing, levando a benefícios tangíveis como redução de fraudes e aumento das taxas de sucesso de login. O processo de login simplificado do PayPal, muitas vezes envolvendo apenas uma rápida verificação biométrica, oferece uma melhoria significativa de usabilidade em relação aos fluxos tradicionais de senha e OTP.

Embora a integração de passkeys na Europa exija lidar com as complexidades do PSD2 e da SCA, resultando às vezes em fluxos de autenticação de várias etapas que diferem da experiência ideal com passkey, a defesa ativa do PayPal pela evolução regulatória destaca seu compromisso em alcançar uma experiência global mais harmonizada e sem atritos. Sua implementação técnica, focada na Conditional UI e na integração com aplicativos nativos, mostra as melhores práticas para a implantação de passkeys.

O percurso do PayPal com as passkeys fornece um modelo convincente para outros bancos, provedores de pagamento e instituições financeiras. Demonstra que adotar este padrão de autenticação moderno não é apenas viável em um ambiente altamente regulamentado, mas também oferece vantagens significativas de segurança, negócios e experiência do usuário. À medida que o PayPal continua a acelerar sua implementação global de passkeys em 2025 e além, eles abrem caminho para um futuro mais seguro e sem senhas para os pagamentos online. Esperamos que muitos outros sigam seu exemplo. Sinta-se à vontade para entrar em contato para perguntas sobre passkeys relacionadas a pagamentos.

O que são as Passkeys do PayPal?

As passkeys do PayPal são uma forma moderna e segura de iniciar sessão na sua conta PayPal sem precisar de uma senha. Elas usam criptografia e são armazenadas de forma segura no seu dispositivo (como o seu smartphone ou computador) ou num gestor de passkeys sincronizado na nuvem (como o iCloud Keychain ou o Google Password Manager).

Como as Passkeys do PayPal melhoram a segurança?

As passkeys do PayPal são resistentes a phishing porque estão vinculadas ao site específico do PayPal e não podem ser enganadas para funcionar em sites falsos. Elas também protegem contra credential stuffing e violações de dados, pois sua chave privada nunca sai do seu dispositivo. Isso fornece uma segurança mais forte do que as senhas tradicionais e pode substituir métodos menos seguros como os OTPs por SMS, atuando como uma forma robusta de 2FA.

Como configuro uma Passkey do PayPal?

Você pode configurar uma passkey na seção "Login e Segurança" dentro das configurações da sua conta do PayPal no site do PayPal ou no aplicativo móvel nativo. O processo envolve a verificação da sua identidade e, em seguida, o uso do método de desbloqueio de tela do seu dispositivo (como impressão digital ou reconhecimento facial, ou PIN do dispositivo) para criar e salvar a passkey.

Posso usar as Passkeys do PayPal em vários dispositivos?

Sim, se você usar um gerenciador de passkeys que sincroniza entre dispositivos (como o iCloud Keychain para dispositivos Apple ou o Google Password Manager para Android e Chrome), sua passkey do PayPal pode ser usada para um login contínuo no PayPal em todos os seus dispositivos sincronizados. Em alguns casos, pode ser necessário aprovar o login em outro dispositivo próximo.

As Passkeys do PayPal substituem as senhas completamente?

Para os usuários que configuraram uma passkey, ela fornece um login sem senha no PayPal. Atualmente, as passkeys são usadas principalmente para fazer login em contas existentes e você não pode se inscrever para uma nova conta do PayPal sem definir inicialmente uma senha. No entanto, o objetivo estratégico é avançar para um futuro sem senhas, onde as passkeys são o principal método de autenticação.

As Passkeys do PayPal são um tipo de 2FA?

As passkeys fornecem inerentemente autenticação multifator (algo que você tem - o dispositivo com a chave, e algo que você é - biometria, ou algo que você sabe - PIN do dispositivo). Quando usadas para o login no PayPal, elas substituem a senha e servem como um método de autenticação muito forte que pode cumprir os requisitos de 2FA. Na Europa, devido às regras da SCA, um passo adicional pode, por vezes, ser necessário mesmo após o uso de uma passkey.

Posso usar uma chave de segurança física como uma Passkey do PayPal?

Sim, o padrão de passkeys suporta o uso de chaves de segurança FIDO2 (como YubiKeys) para armazenar passkeys. Embora menos comum para o usuário médio em comparação com as passkeys sincronizadas na nuvem, este é um método suportado para aqueles que preferem uma passkey com suporte de hardware.

As Passkeys do PayPal estão disponíveis no meu país?

O PayPal começou a implementar as passkeys nos EUA no final de 2022 e tem vindo a expandir-se gradualmente para outros países, incluindo mercados europeus chave como a Alemanha e o Reino Unido desde meados de 2023. O PayPal está a acelerar a implementação global em 2025. Verifique as configurações da sua conta ou o centro de ajuda do PayPal para a disponibilidade mais recente na sua região.

O que devo fazer se a minha passkey do PayPal não estiver a funcionar?

Se a sua passkey do PayPal não estiver a funcionar, primeiro confirme a compatibilidade do seu dispositivo e navegador (Chrome, Safari, Edge, Firefox com as últimas atualizações). Tente remover e adicionar novamente a sua passkey através das configurações da sua conta. Limpar o cache ou reiniciar o seu navegador/dispositivo também pode resolver problemas comuns.

As passkeys do PayPal estão disponíveis na Austrália?

Sim, o PayPal expandiu gradualmente a disponibilidade de passkeys para a Austrália desde o início de 2024. Os usuários australianos podem habilitar as passkeys através da seção "Login e Segurança" nas configurações da sua conta do PayPal. Certifique-se de que o seu dispositivo suporta passkeys (iOS 16+, Android 9+, macOS Ventura, Windows 10+) para a melhor experiência.

Quais navegadores suportam as passkeys do PayPal?

As passkeys do PayPal são amplamente suportadas nos navegadores modernos, incluindo Chrome, Safari, Edge e Firefox. Certifique-se de que o seu navegador está atualizado para a versão mais recente para uma compatibilidade e segurança ótimas.

Como habilito o login com passkey para o PayPal?

Para habilitar as passkeys do PayPal, inicie sessão na sua conta, navegue até "Login e Segurança", selecione "Passkeys" e siga as instruções para criar e registrar a sua passkey usando a autenticação biométrica ou PIN incorporada do seu dispositivo.

Posso usar as passkeys do PayPal com o Firefox?

Sim, as passkeys do PayPal são suportadas no Firefox. Certifique-se de que o seu navegador Firefox está atualizado para a versão mais recente. Você pode criar e gerenciar passkeys através das configurações da sua conta do PayPal, usando o suporte nativo a passkeys do Firefox.

Como funciona o login com código QR da passkey do PayPal?

Ao fazer login no PayPal a partir de um dispositivo sem uma passkey armazenada, você pode escanear um código QR exibido na tela usando um dispositivo que tenha a sua passkey. O código QR aciona a autenticação no seu dispositivo principal, fazendo o seu login de forma segura sem inserir senhas.

A passkey do PayPal está disponível no Reino Unido?

Sim, as passkeys do PayPal estão disponíveis no Reino Unido desde meados de 2023. Os usuários do Reino Unido podem configurar passkeys através das configurações da sua conta do PayPal e desfrutar de logins seguros e sem senha em dispositivos suportados.

Posso usar a YubiKey para passkeys no PayPal?

Sim, o PayPal suporta chaves de segurança de hardware como a YubiKey para autenticação com passkey. Você pode registrar a sua YubiKey através da configuração de passkey do PayPal em "Login e Segurança", fornecendo uma segurança robusta e com suporte de hardware para a sua conta.

Por que preciso fornecer um código 2FA após usar passkeys?

Em certas regiões como a Europa, os requisitos regulatórios sob o PSD2/SCA podem exigir uma etapa de verificação adicional mesmo após a autenticação bem-sucedida com passkey. Esta etapa adicional de 2FA garante a conformidade e aumenta a segurança da conta, especialmente para logins em dispositivos novos ou de alto risco.