Esta página foi traduzida automaticamente. Leia a versão original em inglês aqui.
Whitepaper empresarial de Passkeys. Guias práticos, padrões de implementação e KPIs para programas de passkeys.
Com o lançamento do iOS 17 e do Android 14, o cenário das chaves de acesso para apps móveis nativos mudou fundamentalmente. Pela primeira vez, os gerenciadores de senhas de terceiros podem atuar como provedores de chaves de acesso, quebrando o monopólio exclusivo do iCloud Keychain e do Google Password Manager. Isso permite que os usuários tragam suas próprias soluções confiáveis, como 1Password, Bitwarden ou Dashlane, para os fluxos de autenticação em apps nativos. Embora isso seja uma grande vitória para a escolha do usuário, introduz uma complexidade significativa para os desenvolvedores. Sua implementação de chaves de acesso pode se comportar de forma diferente em vários gerenciadores de senhas em aplicativos móveis nativos. Por isso, é importante para qualquer equipe testar as chaves de acesso em apps nativos e os gerenciadores de senhas de terceiros adequadamente.
Este guia abrangente compartilha nossa abordagem testada na prática para testar chaves de acesso em apps nativos com gerenciadores de senhas de terceiros. Embora o ecossistema das chaves de acesso tenha amadurecido significativamente em 2025, a implementação no mundo real ainda exige uma validação cuidadosa em diversas implementações de gerenciadores de senhas. Condensamos nossa experiência em um plano de teste prático que garante que seu app nativo funcione perfeitamente com os gerenciadores de senhas preferidos dos usuários.

Cheatsheet de Passkeys. Guias práticos, padrões de implementação e KPIs para programas de passkeys.
O ecossistema de gerenciadores de senhas evoluiu além das soluções nativas da plataforma. Os usuários escolhem ativamente gerenciadores de senhas de terceiros como 1Password, Bitwarden, Dashlane, Proton Pass e NordPass com base em suas necessidades específicas, como sincronização multiplataforma, recursos corporativos ou preferências de privacidade. Seu app nativo iOS / Android deve acomodar essa diversidade sem forçar os usuários a mudar sua solução de gerenciamento de senhas confiável.
Com base em dados que medimos nas páginas do Corbado, vemos que apenas 5-10% dos usuários em geral confiam em gerenciadores de senhas de terceiros. Embora esse número possa parecer baixo, ele terá um grande impacto na percepção da sua implementação de chaves de acesso e no número de tickets de suporte se você estiver trabalhando em um ambiente de larga escala. Observamos que alguns gerenciadores de senhas implementam a especificação WebAuthn de maneira um pouco diferente, levando a variações sutis na experiência do usuário ou até mesmo a bugs.
Os apps nativos iOS e Android oferecem diferentes formas de uso das chaves de acesso. No Android, você encontrará sobreposições de chaves de acesso e entradas manuais em campos de texto que acionam uma cerimônia de chave de acesso (para web apps, o Android também suporta Conditional UI). O iOS apresenta seu próprio conjunto de sobreposição de chaves de acesso juntamente com Conditional UI e também entradas manuais em campos de texto. Além disso, existem outros casos isolados a verificar. No geral, seu aplicativo nativo deve lidar graciosamente com:
A configuração correta dos sinalizadores determina se as chaves de acesso funcionam conforme o esperado em todos os dispositivos e plataformas. Valores críticos incluem:
Sinalizadores mal configurados nem sempre causam falhas imediatas. No entanto, podem criar problemas sutis e inconsistências, como chaves de acesso estarem disponíveis em um dispositivo, mas não sincronizadas entre dispositivos (mesmo que o mesmo gerenciador de senhas de terceiros possa estar disponível em ambos). Uma das nossas descobertas nos testes foi que alguns gerenciadores de senhas de terceiros configuram os sinalizadores BE/BS incorretamente, sendo responsáveis por grande parte dos problemas com chaves de acesso.
Arquiteturas de atividade única (Android) e cena única (iOS) exigem um gerenciamento
meticuloso do ciclo de vida. Quando a aba de um
gerenciador de senhas aparece e é descartada,
seu app deve preservar o estado, lidar com callbacks e retomar corretamente. Isso é
especialmente crítico no Android, onde a configuração launchMode pode causar
comportamentos inesperados.
Por exemplo, descobrimos que definir a MainActivity como launchMode="singleInstance"
criava problemas. Em algumas versões do Android e personalizações de OEMs, esse modo faz
com que a interface do Gerenciador de Credenciais de Chave de Acesso abra como uma tarefa
separada. Isso não apenas adiciona uma entrada de aplicativo confusa e adicional à tela
"Recentes", mas também pode fazer o app travar se for colocado em segundo plano enquanto a
caixa de diálogo da chave de acesso estiver aberta.
A correção recomendada é mudar a configuração para launchMode="singleTask". Isso impede
que o Gerenciador de Credenciais inicie uma tarefa separada, garantindo um ciclo de vida
mais previsível em diferentes OEMs (Samsung, Google, Vivo, etc.) e reduzindo o risco de
bugs específicos de fornecedores. Ele fornece uma base mais estável para testar navegação,
sobreposições e deeplinks.
Observamos que tais problemas no ciclo de vida frequentemente se disfarçam de "bugs do gerenciador de senhas", quando na verdade são problemas a nível de aplicativo. Uma instrumentação adequada e testes em diferentes provedores ajudam a identificar esses padrões precocemente.
Artigos recentes
⚙️
Guia de consulta rápida de chaves de acesso para desenvolvedores
👤
Como excluir uma chave de acesso na Apple, Windows e Android
📖
Guia definitivo sobre erros de WebAuthn em produção (2026)
📖
Explicação técnica da UI condicional do WebAuthn (Preenchimento automático de chaves de acesso)
📖
Chaves de acesso no Brave Browser (2026): O que funciona e o que falha
Concentre seus testes de chaves de acesso em apps nativos nos gerenciadores de senhas de terceiros mais adotados:
Alvos principais (cobertura essencial):
Alvos secundários (com base em sua base de usuários):
Evite a tentação de testar todos os gerenciadores de senhas disponíveis. Concentre-se em provedores que representam 90% da sua base de usuários. Nossa análise mostrou que os cinco alvos principais cobriam 85% dos usuários de gerenciadores de senhas de terceiros na UE/EUA/Reino Unido/AUS/NZ.
Antes de iniciar cada execução de teste, garanta um ambiente limpo e reproduzível:
1. Limpe o estado das credenciais:
2. Estabilize o ambiente de teste:
Cada teste valida aspectos específicos da funcionalidade da chave de acesso. Documente os resultados sistematicamente usando o status de aprovação/falha e notas detalhadas para quaisquer anomalias.
Validar tratamento de cancelamento normal
✓ A aba do gerenciador de senhas abre corretamente
✓ O usuário cancela sem criar uma chave de acesso
✓ O app retorna à tela de login ✓ Sem credenciais órfãs no gerenciador de senhas
✓ A interface exibe as opções de nova tentativa adequadas
Verificar a criação da chave de acesso após o fluxo de autenticação
✓ A autenticação local inicia com confiabilidade
✓ A autenticação biométrica é concluída com sucesso
✓ Credencial criada com RP ID correto
✓ O app transita para o estado autenticado sem loops
Testar cenários de autenticação padrão
✓ A interface de sobreposição da chave de acesso aparece ou o usuário fornece o nome de
usuário no cenário de campo de texto ✓ A verificação biométrica e a solicitação biométrica
única levam a uma autenticação bem-sucedida
✓ Sem loops de seleção ou reaparecimento da aba
✓ A sessão permanece estável após a autenticação
Validar o gerenciamento de chaves de acesso no app
✓ RP ID correto, descobribilidade e sinalizadores BE/BS
✓ O app permanece autenticado após a criação
✓ O gerenciador de senhas atualiza imediatamente com os rótulos corretos
Testar o gerenciamento do ciclo de vida da credencial
✓ Excluir a chave de acesso nas configurações ✓ Não é possível fazer login com a chave de
acesso
✓ Opção de fallback
adequada é oferecida
Validar a portabilidade do app para a web
✓ O navegador reconhece as chaves de acesso criadas no app
✓ A aba de seleção mostra a associação correta do RP
✓ A autenticação é concluída sem o desvio QR/CDA
Testar compartilhamento de credenciais da web para o app
✓ O app exibe a credencial criada na web na seleção
✓ A autenticação de primeira tentativa é bem-sucedida
✓ Sem fallback forçado de
senha
Verificar sincronização de chave de acesso do app nativo para navegador desktop
✓ A chave de acesso criada no app é sincronizada com o gerenciador de senhas desktop ✓ A chave de acesso sincronizada funciona perfeitamente no navegador desktop ✓ Nenhum código QR / fluxo entre dispositivos é acionado ✓ A autenticação é concluída sem loops ou erros
Verificar sincronização de chave de acesso do navegador desktop para app nativo
✓ A chave de acesso criada no desktop é sincronizada com o gerenciador de senhas do celular ✓ O app nativo exibe corretamente a chave de acesso sincronizada ✓ A autenticação é bem-sucedida sem fallback de senha ✓ Logs vinculam a asserção ao ID da credencial correto
Validar cenários de telefone como chave de segurança
✓ O telefone oferece credencial criada no app para CDA web
✓ Sem falsos erros "nenhuma chave de acesso disponível"
✓ A sessão web é concluída após biometria no
celular
Nossos testes extensivos revelaram vários padrões recorrentes que afetam a integração de chaves de acesso com gerenciadores de senhas de terceiros:
Problema: Credenciais criadas em um dispositivo podem não aparecer imediatamente em outros.
Solução: Implemente lógica de repetição com recuo exponencial. Ofereça opções de atualização manual para usuários que enfrentam atrasos de sincronização.
Problema: O comportamento do gerenciador de senhas varia significativamente entre as versões do sistema operacional, especialmente no Android 14+ e iOS 17+.
Solução: Mantenha uma matriz de compatibilidade e ajuste os fluxos com base na versão do sistema operacional detectada. Considere requisitos mínimos de versão para obter a melhor experiência.
A implementação bem-sucedida do suporte a chaves de acesso por gerenciadores de senhas de terceiros em apps nativos exige testes metódicos e atenção aos detalhes. Nosso plano de teste abrangente, refinado através de testes no mundo real, fornece uma base sólida para validar a integração das suas chaves de acesso.
Principais conclusões para implantação em produção:
O ecossistema de chaves de acesso continua a evoluir rapidamente. Gerenciadores de senhas atualizam regularmente suas implementações, sistemas operacionais introduzem novos recursos e a própria especificação WebAuthn avança. Estabelecendo agora uma estrutura de teste robusta, você estará preparado para se adaptar conforme a tecnologia amadurece.
Continuaremos atualizando nossos SDKs e metodologia de testes à medida que surgirem novos padrões. O investimento em testes abrangentes com gerenciadores de senhas de terceiros compensa através da redução da carga de suporte e da melhoria na satisfação do usuário. Afinal de contas, a autenticação simplesmente deve funcionar - independentemente de qual gerenciador de senhas seus usuários escolham.
Corbado é a Authentication Intelligence Platform para times de CIAM que rodam autenticação consumer em escala. Mostramos o que logs de IDP e ferramentas genéricas de analytics não enxergam: quais dispositivos, versões de SO, navegadores e gerenciadores de credenciais suportam passkeys, por que os registros não viram logins, onde o fluxo WebAuthn falha e quando uma atualização de SO ou navegador quebra silenciosamente o login — tudo sem substituir Okta, Auth0, Ping, Cognito ou seu IDP interno. Dois produtos: Corbado Observe adiciona observabilidade para passkeys e qualquer outro método de login. Corbado Connect entrega passkeys gerenciados com analytics integrado (junto ao seu IDP). VicRoads roda passkeys para mais de 5M de usuários com Corbado (+80% de ativação de passkey). Fale com um especialista em Passkeys →
Priorize 1Password, Bitwarden, Dashlane, Proton Pass e NordPass como alvos principais. Esses cinco provedores cobrem 85% dos usuários de gerenciadores de senhas de terceiros nos mercados da UE/EUA/Reino Unido/AUS/NZ, oferecendo ampla cobertura sem investimento excessivo em provedores de nicho.
A configuração incorreta dos sinalizadores de elegibilidade de backup (BE) e estado de backup (BS) é uma das principais causas de falhas de sincronização entre dispositivos. Alguns gerenciadores de senhas de terceiros configuram esses sinalizadores incorretamente, fazendo com que uma chave de acesso exista em um dispositivo, mas não sincronize com outros, mesmo quando o mesmo gerenciador de senhas está instalado em ambos.
Definir a MainActivity com launchMode singleInstance faz com que a interface do Gerenciador de Credenciais apareça como uma tarefa separada, criando uma entrada confusa nos Recentes e podendo travar o app quando colocado em segundo plano. Mudar a configuração para launchMode singleTask resolve isso em vários OEMs, incluindo Samsung, Google e Vivo.
Um plano de teste abrangente cobre 10 cenários: criação de chave de acesso e cancelamento normal, autenticação por sobreposição e campo de texto, gerenciamento de credenciais no app, exclusão de credenciais com fallback e sincronização bidirecional entre dispositivos. Os testes multiplataforma também devem confirmar que as chaves de acesso criadas no app autenticam em um navegador e as criadas na web autenticam no app nativo.
Artigos relacionados
Índice