As Passkeys Podem Ser Hackeadas?
Vincent
Created: June 3, 2025
Updated: June 20, 2025
As Passkeys Podem Ser Hackeadas?#
Por design, as passkeys são significativamente mais seguras do que as palavras-passe tradicionais e são muito mais difíceis de hackear devido à sua natureza criptográfica. No entanto, como qualquer tecnologia, não estão totalmente imunes a certas vulnerabilidades.
- As passkeys são mais seguras do que as palavras-passe devido à sua base criptográfica.
- As passkeys eliminam os riscos associados a ataques de phishing, man-in-the-middle, brute-force, replay e credential stuffing.
Compreendendo a Segurança das Passkeys#
As passkeys são construídas sobre o padrão WebAuthn e utilizam criptografia de chave pública para autenticar utilizadores sem depender de palavras-passe tradicionais. Isto torna-as inerentemente mais seguras contra ameaças comuns como phishing, credential stuffing e ataques de força bruta. Eis porque as passkeys são consideradas seguras:
-
Infraestrutura de Chave Pública: As passkeys utilizam um par de chaves pública-privada, onde a chave privada nunca sai do dispositivo do utilizador, tornando quase impossível para os atacantes intercetar.
-
Eliminação de Palavras-Passe: Uma vez que as passkeys não dependem de segredos partilhados (como palavras-passe), eliminam o risco de reutilização de credenciais, uma vulnerabilidade comum em sistemas baseados em palavras-passe.
-
Proteção Contra Phishing: Ataques de phishing são ineficazes contra passkeys porque uma passkey está sempre ligada à origem (ID da relying party) para a qual foi criada.
-
Sem Credential Stuffing: As passkeys são únicas para cada serviço e apenas a chave pública é armazenada no lado do servidor. Isso significa que, no caso de uma relying party ser comprometida, isso não tem impacto noutras relying parties.
-
Sem Ataques de Força Bruta: As passkeys dependem de criptografia assimétrica e não podem ser adivinhadas, tornando-as imunes a ataques de força bruta.
-
Sem Ataques Man-in-the-Middle: Ataques man-in-the-middle não são viáveis com passkeys porque a chave privada utilizada para autenticação nunca sai do dispositivo do utilizador, garantindo que nenhuma informação sensível é transmitida que possa ser intercetada ou alterada.
-
SEM Ataques de Replay: Ataques de replay não são possíveis com passkeys porque cada sessão de autenticação gera um desafio criptográfico único e de uso único que não pode ser reutilizado ou replicado por um atacante.
No entanto, embora as passkeys ofereçam segurança superior, não estão totalmente imunes a hacking:
-
Ataques à Cadeia de Suprimentos: Um dispositivo comprometido ao nível do fabricante poderia potencialmente ser adulterado para vazar chaves criptográficas.
-
Engenharia Social: Embora o phishing seja menos eficaz, os atacantes ainda podem usar técnicas de engenharia social para enganar os utilizadores a criar passkeys para websites maliciosos.
-
Roubo de Sessão: As passkeys tornam a parte de autenticação segura e simples para os utilizadores. No entanto, dependendo da implementação da relying party, a sessão ainda pode ser roubada e utilizada para fins maliciosos.
Enjoyed this read?
🤝 Join our Passkeys Community
Share passkeys implementation tips and get support to free the world from passwords.
🚀 Subscribe to Substack
Get the latest news, strategies, and insights about passkeys sent straight to your inbox.
Share this article
