--- url: 'https://www.corbado.com/pt/faq/as-passkeys-podem-ser-hackeadas' title: 'As Passkeys Podem Ser Hackeadas?' description: 'Descubra se as passkeys podem ser hackeadas, quão seguras são e o que as torna uma alternativa mais segura para autenticação de utilizadores. Compreenda os riscos potenciais e as proteções.' lang: 'pt' keywords: 'hacking passkey, passkey hackeada' --- # As Passkeys Podem Ser Hackeadas? ## As Passkeys Podem Ser Hackeadas? Por design, as passkeys são significativamente mais seguras do que as palavras-passe tradicionais e são muito mais difíceis de hackear devido à sua natureza criptográfica. No entanto, como qualquer tecnologia, não estão totalmente imunes a certas vulnerabilidades. > - **As passkeys são mais seguras do que as palavras-passe** devido à sua base > criptográfica. > - As passkeys **eliminam** os riscos associados a ataques de **phishing**, > **man-in-the-middle**, **brute-force**, **replay** e **credential stuffing**. --- ### Compreendendo a Segurança das Passkeys As passkeys são construídas sobre o padrão WebAuthn e utilizam criptografia de chave pública para autenticar utilizadores sem depender de palavras-passe tradicionais. Isto torna-as inerentemente mais seguras contra ameaças comuns como [phishing](https://www.corbado.com/glossary/phishing), [credential stuffing](https://www.corbado.com/glossary/credential-stuffing) e ataques de força bruta. Eis porque as passkeys são consideradas seguras: - **Infraestrutura de Chave Pública:** As passkeys utilizam um par de chaves pública-privada, onde a chave privada nunca sai do dispositivo do utilizador, tornando quase impossível para os atacantes intercetar. - **Eliminação de Palavras-Passe:** Uma vez que as passkeys não dependem de segredos partilhados (como palavras-passe), eliminam o risco de reutilização de credenciais, uma vulnerabilidade comum em sistemas baseados em palavras-passe. - **Proteção Contra Phishing:** Ataques de [phishing](https://www.corbado.com/glossary/phishing) são ineficazes contra passkeys porque uma passkey está sempre ligada à origem (ID da [relying party](https://www.corbado.com/glossary/relying-party)) para a qual foi criada. - **Sem Credential Stuffing:** As passkeys são únicas para cada serviço e apenas a chave pública é armazenada no lado do servidor. Isso significa que, no caso de uma relying party ser comprometida, isso não tem impacto noutras relying parties. - **Sem Ataques de Força Bruta:** As passkeys dependem de criptografia assimétrica e não podem ser adivinhadas, tornando-as imunes a ataques de força bruta. - **Sem Ataques Man-in-the-Middle:** Ataques man-in-the-middle não são viáveis com passkeys porque a chave privada utilizada para [autenticação](https://www.corbado.com/pt/blog/passkeys-revolut) nunca sai do dispositivo do utilizador, garantindo que nenhuma informação sensível é transmitida que possa ser intercetada ou alterada. - **SEM Ataques de Replay:** Ataques de replay não são possíveis com passkeys porque cada sessão de [autenticação](https://www.corbado.com/pt/blog/passkeys-revolut) gera um desafio criptográfico único e de uso único que não pode ser reutilizado ou replicado por um atacante. No entanto, embora as passkeys ofereçam segurança superior, não estão totalmente imunes a hacking: - **Ataques à Cadeia de Suprimentos:** Um dispositivo comprometido ao nível do fabricante poderia potencialmente ser adulterado para vazar chaves criptográficas. - **Engenharia Social:** Embora o [phishing](https://www.corbado.com/glossary/phishing) seja menos eficaz, os atacantes ainda podem usar técnicas de engenharia social para enganar os utilizadores a criar passkeys para websites maliciosos. - **Roubo de Sessão**: As passkeys tornam a parte de [autenticação](https://www.corbado.com/pt/blog/passkeys-revolut) segura e simples para os utilizadores. No entanto, dependendo da implementação da [relying party](https://www.corbado.com/glossary/relying-party), a sessão ainda pode ser roubada e utilizada para fins maliciosos. ---