Passkeys ainda têm problemas

 (fy.blackhats.net.au)
7 pontos por GN⁺ 2025-12-19 | 4 comentários | Compartilhar no WhatsApp
  • Em 2025, as passkeys ainda apresentam problemas de experiência do usuário e dependência de fornecedor, apesar do debate sobre segurança e conveniência
  • O recém-introduzido FIDO Credential Exchange permite a migração entre provedores, mas os problemas de atrito entre plataformas e fragmentação continuam
  • Persistem os riscos de falta de backup e bloqueio de conta por parte dos administradores de plataforma, como Apple, Google e Microsoft, e também são criticadas as interfaces que limitam a escolha do usuário
  • A complexidade do conceito de passkey e a comunicação confusa por parte dos serviços reduzem a confiança dos usuários comuns
  • Para proteger contas críticas, é importante usar um Credential Manager sob controle do próprio usuário e chaves de hardware como a Yubikey

Resumo TL;DR

  • As passkeys ainda têm falhas, e os usuários precisam entendê-las e usá-las de acordo com sua própria realidade
    • Usar apenas o Credential Manager fornecido pela plataforma (Apple, Google, Microsoft) traz risco de falta de backup e bloqueio
    • Recomenda-se usar Credential Managers com backup, como Bitwarden e Vaultwarden
    • É necessário sincronizar periodicamente com um Credential Manager externo por meio do FIDO Credential Exchange
    • Para contas importantes, como e-mail, use a Yubikey como armazenamento de passkeys e mantenha uma senha forte + TOTP como método auxiliar
    • Caso o acesso ao Credential Manager fique indisponível, é preciso verificar previamente os caminhos de recuperação

O que mudou no último ano

  • A principal mudança foi a adoção da especificação FIDO Credential Exchange
    • Com isso, passou a ser possível a migração de credenciais entre provedores de passkeys
  • Ainda assim, o atrito entre plataformas e a ruptura do ecossistema continuam
    • As passkeys podem ficar fragmentadas entre dispositivos diferentes, e o usuário pode nem perceber isso
    • As passkeys de dispositivos Apple não podem ser sincronizadas com dispositivos não Apple, enquanto Google e Microsoft permitem isso em parte
    • Usuários da Apple podem sentir uma dependência ainda maior

A complexidade do conceito de passkey

  • Uma senha é algo “que eu sei”, e o SMS 2FA é algo “que eu posso receber”, o que torna ambos intuitivos de entender
  • Já a passkey é um fator de autenticação invisível, que o usuário não pode verificar diretamente nem imprimir
  • É preciso passar por um processo de confiança no Credential Manager, mas a passkey faz o usuário pular essa etapa de confiança
  • A barreira de compreensão é tão alta que até especialistas em segurança podem se confundir sobre como as passkeys funcionam

‘Thought leadership’ e o problema da educação do usuário

  • Algumas vozes da indústria afirmam que “aprender a gerenciar senhas é um fracasso da indústria”, mas, na prática, entender o Credential Manager também é essencial no caso das passkeys
  • Usuários que preferem senha e TOTP talvez não sejam arrogantes; isso pode ser apenas uma questão de usabilidade
  • A crença de que passkeys funcionam sem necessidade de educação do usuário é uma visão distante da realidade
  • Se o usuário, mesmo entendendo bem o tema, ainda escolher outro método em vez de passkey, então a passkey falhou para esse usuário

A persistente dependência de fornecedor

  • Mesmo com o FIDO Credential Exchange, o atrito no uso real e o design de interface que conduz escolhas aumentam o custo de migração
  • O modal de criação de passkey da Apple, por padrão, induz o uso do Apple Keychain, enquanto outras opções (chave de segurança, Android etc.) ficam escondidas em ‘Other Options’
  • A escolha do usuário não é lembrada, e tudo volta ao padrão a cada vez
  • O Google Chrome tem uma estrutura semelhante e também induz o usuário a permanecer no ecossistema da plataforma
  • Isso não é apenas uma questão de onde a credencial é armazenada, mas de uma dependência que se estende por toda a experiência do usuário

Perda de dados no chaveiro em nuvem

  • Continuam ocorrendo casos em que passkeys desaparecem do Apple Keychain ou não podem ser criadas/usar em dispositivos Android
  • Em alguns casos, nem mesmo redefinir o dispositivo permite recuperação, bloqueando completamente o acesso à conta do usuário
  • Esses problemas levam à queda de confiança nas passkeys

Bloqueio de conta causado pelo fornecedor

  • Em casos de bloqueio de conta da Apple, todas as passkeys podem desaparecer sem possibilidade de recuperação
  • Há casos semelhantes também no Google e na Microsoft
  • Uma única ação sobre uma conta pode gerar o risco de destruição de todas as credenciais

Comunicação enganosa por parte de serviços de autenticação

  • Alguns serviços explicam que “a passkey envia dados do rosto ou da impressão digital”
  • Na realidade, os dados biométricos não saem do dispositivo, mas o usuário comum pode interpretar isso como “meu rosto/minha digital está sendo enviado pela internet”
  • Esse tipo de explicação gera desconfiança e rejeição em relação às passkeys
  • A interface dos provedores de plataforma também não consegue desfazer esse mal-entendido

Serviços de autenticação que limitam a escolha do usuário

  • Alguns sites ainda permitem apenas uma única passkey ou forçam apenas passkeys dependentes da plataforma por meio da opção authenticatorAttachment
  • Isso bloqueia o uso de chaves de segurança ou de Credential Managers não vinculados à plataforma
  • Alguns sites ainda exibem práticas antiéticas, como tentar registrar passkeys automaticamente no login sem consentimento prévio

Conclusão e recomendações

  • A maioria dos problemas surge de uma estrutura de gerenciamento de passkeys centrada nos provedores de plataforma
  • Os usuários devem usar um Credential Manager sob seu próprio controle para
    reduzir os riscos de bloqueio de conta e perda de dados, além de fazer backups regulares
  • A Yubikey (firmware 5.7 ou superior) pode armazenar até 150 passkeys
    • Em algumas contas, ela pode substituir um Credential Manager de software
  • Como a conta de e-mail é o centro dos caminhos de recuperação,
    é necessário combinar chave de hardware + senha forte + TOTP e manter backup offline
  • Plataformas como Apple e Google devem lembrar a escolha do usuário e
    oferecer na interface, em igualdade de condições, chaves de segurança e outros provedores
  • Desenvolvedores devem evitar o pré-filtro da API WebAuthn e
    realizar o registro de passkeys somente após informar o usuário com clareza
  • O princípio central é garantir controle do usuário e consentimento (consent)

Leituras relacionadas

4 comentários

 
roxie 2025-12-19

Eu gosto de passkeys,,
 
yeobi222 2025-12-19

Se o usuário não entende a estrutura do sistema de segurança, isso só aumenta a desconfiança.
Também é difícil dizer que a usabilidade em si seja realmente boa.
 
koxel 2025-12-19

Depois de apagar o Google Password Manager uma vez e perder tudo, recebi tudo de novo e então migrei para o Bitwarden..
 
GN⁺ 2025-12-19
Opiniões no Hacker News

  • O autor ainda entende passkey de forma equivocada. Muita gente acha que, se perder a passkey, não há recuperação possível, mas na prática é como perder uma senha. Na maioria dos serviços, é possível fazer redefinição de senha por e-mail ou SMS. Porém, contas como Apple, Google e Facebook têm procedimentos de recuperação complicados, então é preciso imprimir os códigos de backup e guardá-los em segurança. Além disso, é indispensável ter a última senha para entrar no gerenciador de senhas ou um meio externo como uma YubiKey

    • Fico me perguntando se já havia problemas de bloqueio em contas Apple e Google antes da adoção de passkeys. Hoje, passkeys não podem ser copiadas nem exportadas diretamente pelo usuário, e o resultado de engenheiros de segurança focarem apenas em impedir a clonagem de chaves é que bilhões de pessoas ficam expostas ao risco de bloqueio. Essa abordagem pode gerar risco regulatório
    • A possibilidade de redefinir uma passkey depende da implementação do provedor de serviço. Houve reclamações de lugares onde a recuperação só era possível por telefone
    • Contas Apple e Google armazenam a maioria das outras senhas e passkeys, então perdê-las é um problema muito mais grave
    • Passkeys existem de forma independente em cada dispositivo, e não é necessário configurá-las em todos. Em outros dispositivos, basta fazer login com senha

  • Gostaria que duas coisas fossem melhoradas nas passkeys.

    1. Mesmo quando só há um dispositivo registrado, a UI mostra opções desnecessárias
    2. Teria sido melhor se, desde o começo, elas tivessem portabilidade e flexibilidade como chaves SSH. Hoje o aprisionamento ao fornecedor é forte demais
    • No Mac, é possível apertar primeiro o botão de chave de segurança para pular a etapa de seleção
    • Em vez de esconder as opções, elas deveriam aparecer em cinza com a indicação “sem chave registrada”. Assim o usuário consegue entender a origem do problema
    • O sistema de passkeys foi projetado com o objetivo de ser imune a phishing, então não permite que o usuário exporte diretamente suas credenciais. No fim, isso leva a uma estrutura de vendor lock-in. Por exemplo, para usar passkeys no Safari, o iCloud Keychain é obrigatório, então não dá para usar apenas localmente
    • Para usuários com pouca familiaridade técnica, passkeys podem ser uma boa escolha. Mas é preciso ajudá-los a anotar os códigos de recuperação em papel e guardá-los com segurança

  • Olhando as questões relacionadas ao KeePass, a pressão da indústria para impedir que o usuário exporte suas chaves privadas está aumentando. Isso é preocupante
    Issue relacionada no GitHub

    • Eu sou o autor de um dos comentários naquela issue. Exigir backup criptografado por padrão não bloqueia a exportação; pelo contrário, faz com que o usuário tenha controle direto sobre suas chaves

  • Enquanto o provedor de serviço puder impor a forma de armazenamento da passkey (hardware/software), ou impor MFA como Touch ID, eu ainda prefiro a combinação senha + TOTP

    • (1) isso já é impossível. O serviço não consegue impor a forma de armazenamento da passkey
    • (2) isso é mais próximo de verificação biométrica de presença (liveness check) do que de MFA. É apenas um procedimento para provar que uma pessoa está realmente fazendo login
    • Em emergências, é preciso haver um backup com entrada manual. No fim, acaba voltando para algo parecido com senha

  • Nunca uso passkeys por causa da possibilidade de o fornecedor poder bloquear o usuário. Isso é ainda mais grave quando o usuário morre e os herdeiros não conseguem acessar

    • Há casos relacionados: falha na recuperação de Apple ID, discussão no HN
    • Alguns gerenciadores de senha oferecem uma cadeia de confiança raiz offline. Por exemplo, o Emergency Kit do 1Password permite que herdeiros ou familiares tenham acesso por meio de um código de recuperação impresso
    • Tanto com senha quanto com passkey, se a política do fornecedor for a mesma, a limitação de acesso será igual
    • Seria bom se esse tipo de contrato pudesse ser convertido em uma forma de trust legal, mas as empresas provavelmente não gostariam disso
    • A UI com dark patterns que força o registro de passkey é irritante demais. Eu só uso isso com conta corporativa, mas a solicitação para registrar continua aparecendo. Já uso SSO e 2FA, então não entendo por que ainda exigem passkey

  • A UX das passkeys é péssima. Não dá nem para saber quantas estão ativadas, e às vezes o app autenticador esquece a passkey. É tudo muito confuso

  • A combinação Senha + TOTP ainda é a mais prática. Para mudar entre dispositivos, basta fazer login no Bitwarden. Já com passkeys, o procedimento de recuperação em caso de perda do dispositivo não é claro. Nem sequer está claro por que uma passkey configurada no iPhone funciona também em um desktop Linux. Só beneficia mesmo quem usa uma única plataforma

    • Se você registrou vários dispositivos ou ativou sincronização, dá para recuperar; caso contrário, não há outro caminho além do processo de recuperação de conta. No fim, não é melhor do que senha

  • No fim das contas, passkeys são um projeto complexo demais. Se você aceitar o lock-in, alguns problemas diminuem, mas surgem novas limitações. TOTP é uma alternativa realista

    • TOTP é inconveniente, mas dá controle ao usuário. Por isso, criei eu mesmo a extensão para Chrome LazyOTP, para usar como autenticação única

  • Passkeys são uma excelente solução para a maioria dos usuários comuns. Eliminam o problema de gerenciar senhas complexas ou reutilizadas, e também simplificam o login.
    Mesmo do ponto de vista técnico, a experiência de login rápida e fluida parece muito melhor

    • Mas, se você perder ou quebrar o dispositivo, perde o acesso a todas as contas. Senhas em papel não têm esse problema
    • A maior vantagem das passkeys é a resistência a phishing. Não dá para enviar credenciais a um domínio incorreto
    • Porém, o processo de sincronização da chave secreta entre PC e celular não é claro. No fim, parece uma estrutura totalmente presa ao ecossistema Apple
    • Na prática, ainda não vi nenhuma implementação que funcione de forma perfeitamente fluida entre várias plataformas

  • Eu já tinha montado com antecedência um sistema de gerenciador de senhas e 2FA, e agora essa pressão para migrar para passkeys faz parecer que todo esse esforço foi inútil. Não gosto de um ambiente tecnológico em que quem se preparou antes acaba sendo prejudicado