New: Passkey Benchmark 2026 - 8 production KPIs to compare your passkey rolloutcompare your passkey rollout
Voltar à visão geral

As Passkeys Podem Ser Hackeadas?

Descubra se as passkeys podem ser hackeadas, quão seguras são e o que as torna uma alternativa mais segura para autenticação de utilizadores. Compreenda os riscos potenciais e as proteções.

Vincent Delitz
Vincent Delitz

Criado: 20 de agosto de 2024

Atualizado: 12 de maio de 2026

As Passkeys Podem Ser Hackeadas?

Esta página foi traduzida automaticamente. Leia a versão original em inglês aqui.

As Passkeys Podem Ser Hackeadas?#

Por design, as passkeys são significativamente mais seguras do que as palavras-passe tradicionais e são muito mais difíceis de hackear devido à sua natureza criptográfica. No entanto, como qualquer tecnologia, não estão totalmente imunes a certas vulnerabilidades.

  • As passkeys são mais seguras do que as palavras-passe devido à sua base criptográfica.
  • As passkeys eliminam os riscos associados a ataques de phishing, man-in-the-middle, brute-force, replay e credential stuffing.

Compreendendo a Segurança das Passkeys#

As passkeys são construídas sobre o padrão WebAuthn e utilizam criptografia de chave pública para autenticar utilizadores sem depender de palavras-passe tradicionais. Isto torna-as inerentemente mais seguras contra ameaças comuns como phishing, credential stuffing e ataques de força bruta. Eis porque as passkeys são consideradas seguras:

  • Infraestrutura de Chave Pública: As passkeys utilizam um par de chaves pública-privada, onde a chave privada nunca sai do dispositivo do utilizador, tornando quase impossível para os atacantes intercetar.

  • Eliminação de Palavras-Passe: Uma vez que as passkeys não dependem de segredos partilhados (como palavras-passe), eliminam o risco de reutilização de credenciais, uma vulnerabilidade comum em sistemas baseados em palavras-passe.

  • Proteção Contra Phishing: Ataques de phishing são ineficazes contra passkeys porque uma passkey está sempre ligada à origem (ID da relying party) para a qual foi criada.

  • Sem Credential Stuffing: As passkeys são únicas para cada serviço e apenas a chave pública é armazenada no lado do servidor. Isso significa que, no caso de uma relying party ser comprometida, isso não tem impacto noutras relying parties.

  • Sem Ataques de Força Bruta: As passkeys dependem de criptografia assimétrica e não podem ser adivinhadas, tornando-as imunes a ataques de força bruta.

  • Sem Ataques Man-in-the-Middle: Ataques man-in-the-middle não são viáveis com passkeys porque a chave privada utilizada para autenticação nunca sai do dispositivo do utilizador, garantindo que nenhuma informação sensível é transmitida que possa ser intercetada ou alterada.

  • SEM Ataques de Replay: Ataques de replay não são possíveis com passkeys porque cada sessão de autenticação gera um desafio criptográfico único e de uso único que não pode ser reutilizado ou replicado por um atacante.

No entanto, embora as passkeys ofereçam segurança superior, não estão totalmente imunes a hacking:

  • Ataques à Cadeia de Suprimentos: Um dispositivo comprometido ao nível do fabricante poderia potencialmente ser adulterado para vazar chaves criptográficas.

  • Engenharia Social: Embora o phishing seja menos eficaz, os atacantes ainda podem usar técnicas de engenharia social para enganar os utilizadores a criar passkeys para websites maliciosos.

  • Roubo de Sessão: As passkeys tornam a parte de autenticação segura e simples para os utilizadores. No entanto, dependendo da implementação da relying party, a sessão ainda pode ser roubada e utilizada para fins maliciosos.

Corbado

Sobre a Corbado

Corbado é a Passkey Intelligence Platform para times de CIAM que rodam autenticação consumer em escala. Mostramos o que logs de IDP e ferramentas genéricas de analytics não enxergam: quais dispositivos, versões de SO, navegadores e gerenciadores de credenciais suportam passkeys, por que os registros não viram logins, onde o fluxo WebAuthn falha e quando uma atualização de SO ou navegador quebra silenciosamente o login — tudo sem substituir Okta, Auth0, Ping, Cognito ou seu IDP interno. Dois produtos: Corbado Observe adiciona observabilidade para passkeys e qualquer outro método de login. Corbado Connect entrega passkeys gerenciados com analytics integrado (junto ao seu IDP). VicRoads roda passkeys para mais de 5M de usuários com Corbado (+80% de ativação de passkey). Fale com um especialista em Passkeys

Veja o que realmente acontece na sua implementação de passkeys.

Explorar a Console

Compartilhar este artigo

LinkedInTwitterFacebook

Índice

FAQs relacionadas

Termos relacionados

Artigos relacionados

Passkeys Phishing: Why Passkeys are Phishing-Resistant

Passkeys Phishing: Why Passkeys are Phishing-Resistant

Vincent Delitz - 20 de maio de 2024

Will Passkeys Kill Password Managers?

Will Passkeys Kill Password Managers?

Niclas - 1 de junho de 2023

Passkey Strategy: Why your Passkey Implementation will fail

Passkey Strategy: Why your Passkey Implementation will fail

Vincent Delitz - 6 de março de 2025

Passkeys vs. 2FA: Why Passkeys are More Secure than Regular 2FA

Passkeys vs. 2FA: Why Passkeys are More Secure than Regular 2FA

Daniel - 5 de setembro de 2023

Passkeys vs. Passwords: Why Passkeys are the New Standard

Passkeys vs. Passwords: Why Passkeys are the New Standard

Vincent Delitz - 30 de junho de 2022