Apple apresenta passkeys no iOS 16 e no macOS Ventura

A Apple apresentou no iOS 16 uma série de mudanças para iPhone, mas uma das mais relevantes para segurança aparece no Safari: passkeys. A empresa descreve o recurso como chaves digitais únicas, fáceis de usar, mais seguras, não armazenadas em servidores web e sincronizadas pelo iCloud Keychain com criptografia de ponta a ponta.¹

O anúncio se encaixa no esforço mais amplo da indústria para reduzir dependência de senhas. Poucas tecnologias são tão familiares e tão problemáticas ao mesmo tempo. Senhas são reutilizadas, vazadas, capturadas por phishing e protegidas por fluxos de recuperação muitas vezes frágeis. Mesmo quando combinadas com códigos de uso único, ainda criam atrito e pontos de falha.

Com passkeys, a Apple tenta tornar o login sem senha algo cotidiano. O usuário valida a entrada com Touch ID ou Face ID, enquanto a credencial criptográfica fica vinculada ao dispositivo e ao serviço.

A experiência precisa parecer simples

O ponto forte da proposta é esconder a complexidade certa. O usuário não precisa entender chave pública, desafio criptográfico ou proteção contra phishing para perceber que está entrando com biometria local. A plataforma assume a operação de guardar, sincronizar e apresentar a credencial no momento correto.

Segundo a Apple, as passkeys funcionam em apps e na web e permitem login em sites ou aplicativos em dispositivos não Apple usando apenas o iPhone. Esse detalhe é essencial. Uma solução de identidade presa a um único ecossistema reduz o alcance e aumenta resistência de adoção. A promessa de interoperabilidade coloca as passkeys em diálogo com o trabalho da FIDO Alliance e com o suporte de outros grandes fornecedores.

Para desenvolvedores, a mudança exige atualização de fluxos de autenticação. O login deixa de ser apenas campo de senha, botão de recuperação e segundo fator. A aplicação precisa aceitar uma credencial de plataforma, orientar usuários existentes na migração e manter alternativas para casos em que o dispositivo foi perdido, trocado ou ainda não suporta o recurso.

Segurança de conta vira recurso de plataforma

Ao não armazenar uma senha reutilizável no servidor, o serviço reduz o valor de um vazamento de credenciais. Ao não pedir que o usuário digite segredo em páginas, reduz a eficácia de phishing tradicional. Isso não elimina tomada de conta, mas desloca o ataque para vetores mais difíceis: comprometimento de dispositivo, engenharia social contra recuperação ou falhas no próprio provedor de identidade.

Para empresas, passkeys entram em uma conversa maior sobre autenticação forte. Ambientes gerenciados já usam MDM, SSO, MFA e políticas condicionais. A presença nativa no sistema operacional pode simplificar adoção para aplicações internas e externas, desde que haja integração com governança e suporte.

No produto, o benefício pode ser direto: menos abandono em login, menos suporte por senha esquecida e menor exposição a credenciais vazadas. Mas a transição precisa ser gradual. Usuários estão acostumados a senhas, e muitas contas dependem de recuperação por e-mail ou telefone. Um modelo mais seguro que confunde o usuário pode gerar caminho alternativo inseguro.

As passkeys no iOS 16 e no macOS Ventura mostram a Apple tratando identidade como parte da experiência central do dispositivo. Se o login sem senha for tão natural quanto desbloquear o telefone, desenvolvedores terão incentivo real para abandonar a senha como padrão e reposicioná-la como fallback, não como fundamento da conta.