Get your free and exclusive 80-page Banking Passkey Report

As Passkeys Podem Ser Hackeadas?

Vincent Delitz

Vincent

Created: June 3, 2025

Updated: June 20, 2025


As Passkeys Podem Ser Hackeadas?

As Passkeys Podem Ser Hackeadas?#

Por design, as passkeys são significativamente mais seguras do que as palavras-passe tradicionais e são muito mais difíceis de hackear devido à sua natureza criptográfica. No entanto, como qualquer tecnologia, não estão totalmente imunes a certas vulnerabilidades.

  • As passkeys são mais seguras do que as palavras-passe devido à sua base criptográfica.
  • As passkeys eliminam os riscos associados a ataques de phishing, man-in-the-middle, brute-force, replay e credential stuffing.

Compreendendo a Segurança das Passkeys#

As passkeys são construídas sobre o padrão WebAuthn e utilizam criptografia de chave pública para autenticar utilizadores sem depender de palavras-passe tradicionais. Isto torna-as inerentemente mais seguras contra ameaças comuns como phishing, credential stuffing e ataques de força bruta. Eis porque as passkeys são consideradas seguras:

  • Infraestrutura de Chave Pública: As passkeys utilizam um par de chaves pública-privada, onde a chave privada nunca sai do dispositivo do utilizador, tornando quase impossível para os atacantes intercetar.

  • Eliminação de Palavras-Passe: Uma vez que as passkeys não dependem de segredos partilhados (como palavras-passe), eliminam o risco de reutilização de credenciais, uma vulnerabilidade comum em sistemas baseados em palavras-passe.

Subreddit Icon

Discuss passkeys news and questions in r/passkey.

Join Subreddit
  • Proteção Contra Phishing: Ataques de phishing são ineficazes contra passkeys porque uma passkey está sempre ligada à origem (ID da relying party) para a qual foi criada.

  • Sem Credential Stuffing: As passkeys são únicas para cada serviço e apenas a chave pública é armazenada no lado do servidor. Isso significa que, no caso de uma relying party ser comprometida, isso não tem impacto noutras relying parties.

  • Sem Ataques de Força Bruta: As passkeys dependem de criptografia assimétrica e não podem ser adivinhadas, tornando-as imunes a ataques de força bruta.

  • Sem Ataques Man-in-the-Middle: Ataques man-in-the-middle não são viáveis com passkeys porque a chave privada utilizada para autenticação nunca sai do dispositivo do utilizador, garantindo que nenhuma informação sensível é transmitida que possa ser intercetada ou alterada.

  • SEM Ataques de Replay: Ataques de replay não são possíveis com passkeys porque cada sessão de autenticação gera um desafio criptográfico único e de uso único que não pode ser reutilizado ou replicado por um atacante.

No entanto, embora as passkeys ofereçam segurança superior, não estão totalmente imunes a hacking:

  • Ataques à Cadeia de Suprimentos: Um dispositivo comprometido ao nível do fabricante poderia potencialmente ser adulterado para vazar chaves criptográficas.

  • Engenharia Social: Embora o phishing seja menos eficaz, os atacantes ainda podem usar técnicas de engenharia social para enganar os utilizadores a criar passkeys para websites maliciosos.

  • Roubo de Sessão: As passkeys tornam a parte de autenticação segura e simples para os utilizadores. No entanto, dependendo da implementação da relying party, a sessão ainda pode ser roubada e utilizada para fins maliciosos.

Slack Icon

Become part of our Passkeys Community for updates & support.

Join

Add passkeys to your app in <1 hour with our UI components, SDKs & guides.

Start for free

Enjoyed this read?

🤝 Join our Passkeys Community

Share passkeys implementation tips and get support to free the world from passwords.

🚀 Subscribe to Substack

Get the latest news, strategies, and insights about passkeys sent straight to your inbox.

Share this article


LinkedInTwitterFacebook

Related FAQs

Related Terms