Passkeys (FIDO2) para Windows e navegadores: como deixar as palavras-passe sem perder o acesso
As passkeys já são, em 2026, uma alternativa prática às palavras-passe em PCs Windows. Elas reduzem o risco de phishing porque não existe uma “cadeia secreta” para roubar, e o início de sessão fica ligado a um dispositivo de confiança e ao desbloqueio do ecrã (PIN, impressão digital ou rosto). A parte mais difícil não é criar passkeys — é migrar com segurança: decidir onde ficam guardadas, preparar a recuperação antes de precisar e manter o acesso a serviços antigos que ainda exigem palavra-passe.
Como as passkeys funcionam na prática (e por que bloqueiam phishing)
Uma passkey é uma credencial FIDO2/WebAuthn baseada em criptografia de chave pública. Quando cria uma para um site ou app, o seu dispositivo gera um par de chaves: uma chave privada, que fica protegida do seu lado, e uma chave pública, que o serviço guarda. No início de sessão, o serviço envia um desafio e o seu dispositivo assina esse desafio com a chave privada — assim o serviço valida a identidade sem que você tenha de escrever uma palavra-passe.
É por isso que as passkeys são tão resistentes ao phishing. Um site falso não consegue usar a sua passkey para entrar no site verdadeiro, porque o WebAuthn liga o login ao domínio real. Mesmo que alguém o leve a abrir uma página parecida, o fluxo de passkey não termina contra a origem errada, e não há palavra-passe para entregar.
No Windows, o início de sessão com passkeys é, na maioria dos casos, mediado pelo Windows Hello. Isto significa que o “gesto” de autenticação é o mesmo que já usa para desbloquear o PC: PIN do Windows Hello ou biometria quando configurada. No Windows 11, ter o Windows Hello ativo (pelo menos um PIN) é, na prática, um pré-requisito para a experiência ser realmente fluida.
Windows Hello, FIDO2 e onde a chave privada realmente fica
Num cenário típico de Windows 11, o Windows Hello funciona como verificação do utilizador para passkeys. Se tiver reconhecimento facial ou impressão digital configurados, verá esse pedido; caso contrário, o Windows recorre ao PIN do Hello. Isto é normal e explica por que a qualidade do PIN importa: trate-o como uma medida de segurança, não como um código “rápido”.
Em 2026, há dois “locais” comuns para guardar passkeys. O primeiro é o autenticador integrado do dispositivo (PC ou telemóvel), protegido por hardware de segurança e pelo método de desbloqueio. O segundo é um cofre sincronizado (por exemplo, um armazenamento de credenciais associado a uma conta do fabricante), que pode replicar a passkey para outros dispositivos de confiança após autenticação. A troca é simples: armazenamento apenas no dispositivo é mais contido; sincronização é mais conveniente, mas depende de uma conta bem protegida e de definições de recuperação sólidas.
Por fim, existem chaves físicas de segurança (muitas vezes chamadas “chaves FIDO2”). Elas também podem guardar passkeys e são excelentes como reserva, porque não dependem de um único telemóvel. Para muitas pessoas, o equilíbrio ideal é: passkeys nos dispositivos principais para conveniência e uma chave física guardada em segurança como opção de “ainda consigo entrar”.
Migrar de palavras-passe em 20–30 minutos (sem quebrar contas antigas)
Comece pelas contas mais importantes: email, o seu gestor de palavras-passe (se usa um), contas Apple/Google/Microsoft e banca, quando suportado. Estas são as suas “contas-raiz”, porque controlam recuperação e acesso ao resto. Antes de adicionar passkeys, confirme que as opções de recuperação estão atualizadas: um segundo fator, email de recuperação, telefone de recuperação e (quando existir) códigos de recuperação guardados offline.
Depois, ative passkeys em pelo menos dois lugares: (1) o seu dispositivo de uso diário (telemóvel ou PC principal) e (2) um caminho de reserva. A reserva pode ser outro dispositivo que já tem (tablet, segundo portátil) ou uma chave física de segurança. O objetivo não é complicar — é evitar um único ponto de falha.
Por fim, não “apague todas as palavras-passe” no primeiro dia. Muitos serviços ainda mantêm palavras-passe como alternativa para apps antigas, dispositivos mais velhos ou fluxos de recuperação. Uma migração sensata é: adicionar a passkey, testá-la num segundo dispositivo/navegador, confirmar que a recuperação está pronta e, só então, decidir se mantém a palavra-passe como emergência ou se a remove quando o serviço suportar um modo totalmente sem palavra-passe.
O que fazer com serviços que ainda não suportam passkeys
Para serviços mais antigos, o padrão mais seguro é manter uma palavra-passe forte e única gerada por um gestor de palavras-passe e adicionar um segundo fator (app TOTP, aprovação por push ou chave física), se disponível. As passkeys são excelentes, mas não vale a pena enfraquecer a segurança noutros logins só porque alguns ainda dependem de palavra-passe.
Se um serviço oferece “Iniciar sessão com Microsoft/Google/Apple”, pode usar isso como ponte. Ao proteger a conta de identidade com passkeys, reduz o número de palavras-passe separadas que precisa de gerir. Este caminho também simplifica a recuperação, porque centraliza o acesso em menos contas — desde que essas contas estejam bem protegidas.
Quando um serviço obriga a recuperação por SMS, trate isso como risco e compense: bloqueie a linha junto da operadora quando possível, ative alertas de conta e mantenha códigos de recuperação offline. A ideia é tornar o elo mais fraco menos explorável enquanto espera por suporte adequado a passkeys.
Plano de recuperação: telemóvel perdido, PC trocado e dispositivos partilhados ou de trabalho
A história mais comum de falha é previsível: alguém configura passkeys no telemóvel, perde o telemóvel e depois percebe que nunca finalizou a recuperação. Evite isto planeando, desde já, o cenário “perdi um dispositivo”. Deve ter pelo menos duas formas independentes de voltar a entrar: outro dispositivo de confiança já com sessão iniciada ou uma chave física de segurança, além de opções de recuperação da conta verificadas recentemente.
Se as suas passkeys são sincronizadas através de uma conta do fornecedor, a recuperação depende da segurança dessa conta. Isso implica proteção forte no início de sessão (passkey + verificação adicional quando existir) e atenção aos canais de recuperação. Se o email de recuperação for fraco ou o número de telemóvel for fácil de sequestrar, as passkeys sincronizadas tornam-se mais vulneráveis por vias indiretas.
Em PCs partilhados e máquinas de trabalho geridas, as passkeys exigem cuidado extra. Em geral, não é boa ideia guardar passkeys pessoais num perfil Windows partilhado. No trabalho, siga a política da organização: muitas equipas exigem Windows Hello for Business, conformidade do dispositivo ou fornecedores de credenciais específicos. Quando houver dúvida, mantenha separação entre acessos pessoais e profissionais e prefira chaves físicas para um acesso portátil e compatível com políticas.
Checklist para PC de casa vs PC de trabalho (para não ficar bloqueado)
Num PC de casa: configure o Windows Hello (PIN e, se possível, biometria), garanta que o dispositivo usa encriptação (BitLocker nas edições suportadas) e mantenha atualizadas as opções de recuperação da sua conta Microsoft/Google/Apple. Adicione pelo menos uma passkey para uma conta importante, teste em dois navegadores e confirme que consegue entrar a partir de um segundo dispositivo.
Num PC de trabalho: use apenas navegadores e tipos de conta aprovados e confirme se fornecedores de credenciais de terceiros são permitidos. Se a organização usa acesso condicional ou exige chaves de segurança, registe uma chave física o quanto antes e mantenha-a acessível. Documente o caminho de recuperação no processo seguro da equipa (não num documento público e não num chat aberto).
Em ambos os casos: mantenha um método de reserva offline. O mais simples é uma chave física de segurança guardada em local seguro, mais códigos de recuperação impressos ou guardados offline para as suas contas-raiz. Pode parecer antiquado, mas é exatamente o que salva quando o telemóvel se perde, o portátil é roubado ou você está a viajar e de repente não consegue concluir uma verificação do dispositivo.
