WebAuthn, Passkeys e o fim das senhas

· Features

WebAuthn é a camada de autenticação do padrão FIDO2. Em vez de depender de segredos memorizados pelo usuário, utiliza criptografia assimétrica. Durante o registro, o autenticador do usuário (chave de hardware, enclave seguro, TPM etc.) gera um par de chaves privada/pública vinculado ao domínio da parte confiante. O navegador envia a chave pública e os dados de atestação ao servidor, que os armazena como um registro de credencial. A chave privada nunca sai do dispositivo do usuário.

Fluxo de autenticação

Ao fazer login, o servidor emite um desafio aleatório. O navegador encaminha esse desafio ao autenticador, que verifica a presença do usuário (por exemplo, pressão de botão), opcionalmente exige verificação do usuário (PIN, biometria) e assina o desafio com a chave privada armazenada. O servidor valida a assinatura usando a chave pública previamente registrada e garante que o contador de assinaturas do autenticador aumentou, protegendo contra chaves clonadas.

Passkeys

Passkeys estendem as credenciais WebAuthn ao permitir disponibilidade entre dispositivos. Os sistemas operacionais sincronizam credenciais por meio de armazenamento em nuvem com criptografia de ponta a ponta. Uma passkey pode ser desbloqueada usando o método de autenticação local do dispositivo (Touch ID, Face ID, Windows Hello, biometria Android) e usada em navegadores e dispositivos diferentes. Isso elimina o atrito de lembrar ou digitar qualquer coisa, mantendo a segurança respaldada por hardware.

Vantagens sobre senhas

  1. Resistência a phishing – O autenticador vincula cada credencial a uma origem específica; um site de phishing não consegue induzi-lo a assinar um desafio para um domínio diferente.
  2. Sem segredos compartilhados – Sem um banco de dados de senhas, o risco de vazamento de credenciais é drasticamente reduzido. Mesmo que o armazenamento de credenciais de um servidor seja comprometido, o atacante obtém apenas chaves públicas.
  3. Melhor UX – Os usuários simplesmente confirmam um prompt biométrico ou tocam uma chave de segurança. Passkeys entre dispositivos eliminam redefinições de senha e erros de digitação.
  4. Múltiplo fator robusto – WebAuthn pode satisfazer "algo que você tem" (o autenticador) e "algo que você é/sabe" (biometria ou PIN) em um único gesto, alcançando MFA forte com esforço mínimo.
  5. Resistência a replay e credential stuffing – Os desafios são de uso único e as chaves privadas não podem ser reutilizadas entre serviços, frustrando ataques de replay e credential stuffing.