Os sinais estão por todo o lado: a autenticação digital está a mudar, e depressa. Para muitos utilizadores, as palavras-passe já são o elo mais fraco, fáceis de esquecer e fáceis de roubar. Um especialista português em cibersegurança descreve o momento atual como um ponto de viragem, em que conveniência e resiliência finalmente convergem. “Estamos a trocar o hábito pela robustez”, diz, sublinhando que a janela para preparar a migração está a fechar.
Porque esta mudança está a acelerar
Os grandes ecossistemas — Apple, Google e Microsoft — alinharam-se em torno de normas comuns, o que reduz fricção e acelera a adoção. As chamadas passkeys, baseadas em chaves criptográficas, já estão embutidas nos sistemas operativos e nos principais navegadores. Quando a infraestrutura muda por baixo, a experiência do utilizador muda por cima.
“Os ataques por phishing continuam a vencer porque exploram o fator humano”, lembra o especialista. Com passkeys, não há segredo para pescar: o que valida o acesso é uma prova criptográfica que não sai do dispositivo. Esta mudança corta o circuito de muitos ataques que hoje parecem banalizados.
O que são passkeys e porque são diferentes
As passkeys usam um par de chaves: uma pública, armazenada no serviço, e outra privada, guardada no seu aparelho. Para entrar, o utilizador confirma com biometria ou PIN local, e o sistema assina um desafio que o servidor verifica. Nada sensível é digitado, e nada reutilizável é transmitido.
Além de mais seguras, são mais rápidas: o login acontece com Face ID, Touch ID ou Windows Hello, sem fricção e sem copiar/colar. Outra diferença crucial é a resistência a phishing: uma passkey válida para um domínio não funciona noutro domínio. O atacante pode clonar o site, mas não clona a verificação de origem do protocolo.
Riscos, mitos e boas práticas na transição
Há dúvidas legítimas sobre perda de dispositivos e sobre cópias de segurança. A resposta técnica existe, mas exige disciplina: sincronização cifrada pelo ecossistema, chaves de recuperação e dispositivos de reserva. “Não é magia, é processo”, reforça o especialista, lembrando que uma boa política de backup vale tanto quanto a melhor criptografia.
Outro mito é o da privacidade: a biometria não sai do hardware, que apenas desbloqueia a chave privada. Os reguladores olham para a minimização de dados com bons olhos, desde que o controlo do utilizador seja respeitado. A governança continua crítica: quem tem acesso de admin, quem pode aprovar exceções, quem audita o que é feito.
Impacto para empresas e setor público em Portugal
Em Portugal, a estratégia cruza-se com normas europeias como NIS2 e com as exigências do RGPD. A robustez da autenticação é pilar de conformidade, reduzindo superfície de ataque e tempo de resposta a incidentes graves. O Centro Nacional de Cibersegurança tem sublinhado boas práticas de autenticação multifator, rumo a modelos mais fortes.
No setor financeiro, a SCA da PSD2 já elevou a fasquia, e as passkeys encaixam bem nesse requisito de forte autenticação. Nos serviços públicos, a Chave Móvel Digital e carteiras digitais europeias apontam para identidades mais portáteis e com provas verificáveis. O caminho natural é reduzir o peso de segredos que o cidadão tem de lembrar e reforçar a prova que as máquinas validam.
O que muda para si, na prática
Para o utilizador comum, a experiência fica mais rápida e mais limpa. Para as equipas de TI, o trabalho muda de gerir resets de senha para orquestrar chaves, dispositivos e políticas. O investimento compensa no curto prazo pela redução de suporte e pela queda de incidentes com credenciais.
- Ative passkeys nas contas principais (Google, Apple, Microsoft) e teste em 2–3 serviços diários.
- Garanta pelo menos dois dispositivos de confiança e configure um método de recuperação seguro.
- Atualize o gestor de palavras-passe para suportar passkeys e defina critérios de migração faseada.
- No trabalho, privilegie SSO com WebAuthn e autenticação condicionada por risco.
- Forme equipas sobre novos fluxos, políticas de backup e cenários de exceção documentados.
Olhando seis meses à frente
Nos próximos meses, veremos mais plataformas a tornar a opção “sem senha” o predefinido, empurrando a inércia para trás. Serviços locais e internacionais vão anunciar campanhas de migração, com incentivos de segurança e usabilidade. “Quem começar agora evita o caos de última hora e ganha vantagem operacional”, conclui o especialista, com uma nota de pragmatismo necessário.
O relógio corre, mas o roteiro é claro: menos segredos memorizados, mais provas criptográficas e decisões de risco ancoradas em contexto. Ao trocar hábitos frágeis por mecanismos modernos, ganha o utilizador, ganha a empresa e ganha a resiliência do nosso ecossistema digital.