Apple, Google e Microsoft anunciaram um compromisso conjunto para expandir o suporte a padrões de login sem senha criados pela FIDO Alliance e pelo W3C. A promessa é permitir que sites e aplicativos ofereçam autenticação consistente, mais simples e resistente a phishing em diferentes dispositivos, sistemas operacionais e navegadores.1
O movimento é importante porque senhas continuam sendo uma das fraquezas mais persistentes da web. Usuários reutilizam credenciais, caem em páginas falsas, recebem códigos por SMS sujeitos a interceptação ou engenharia social e enfrentam fluxos de recuperação que muitas vezes viram o elo mais fraco da conta.
FIDO já está presente em chaves de segurança e autenticação de plataforma, mas a adoção ampla esbarra em usabilidade. O novo compromisso tenta resolver justamente a fricção: credenciais FIDO, chamadas por alguns fornecedores de passkeys, poderão acompanhar o usuário em múltiplos dispositivos sem exigir recadastramento manual em cada serviço.
A senha sai do centro do login
O modelo proposto troca segredo compartilhado por criptografia de chave pública. O serviço guarda uma chave pública; o dispositivo do usuário guarda a credencial privada e exige desbloqueio local, como impressão digital, reconhecimento facial ou PIN. A credencial não precisa ser digitada e não fica armazenada no servidor como uma senha tradicional.
Essa diferença muda a economia do ataque. Um vazamento de banco de dados não entrega uma lista reutilizável de senhas. Uma página de phishing tem mais dificuldade para capturar algo que o usuário não digita. O atacante precisa lidar com uma autenticação vinculada ao domínio legítimo e ao dispositivo, não com uma string que pode ser copiada.
O anúncio também prevê que o telefone possa autenticar o usuário em um aplicativo ou site aberto em um dispositivo próximo, independentemente do sistema ou navegador. Essa interoperabilidade é essencial. Sem ela, login sem senha vira recurso confortável dentro de um ecossistema e problemático fora dele.
Adoção depende dos serviços, não só das plataformas
O compromisso das três grandes plataformas remove uma barreira importante, mas não conclui a transição. Bancos, varejistas, SaaS, governos, redes sociais e aplicações corporativas precisam implementar suporte, desenhar recuperação de conta, comunicar o fluxo e lidar com dispositivos perdidos ou trocados.
Para equipes de produto, passkeys exigem repensar UX de login. O botão "entrar com senha" é conhecido, ainda que inseguro. Um fluxo baseado em biometria local e sincronização de credenciais precisa explicar confiança sem despejar jargão criptográfico no usuário. Para equipes de segurança, a oportunidade é reduzir dependência de OTP por SMS e de políticas de complexidade que não impedem reutilização.
Há também impacto em identidade corporativa. Ambientes enterprise já investem em MFA, single sign-on e políticas condicionais. Passkeys podem complementar essa pilha ao tornar a autenticação primária mais forte, mas precisam se integrar a governança, provisionamento, auditoria e suporte.
O anúncio da FIDO Alliance coloca Apple, Google e Microsoft na mesma direção pública. Isso não torna senhas obsoletas de um dia para o outro, mas dá aos desenvolvedores um sinal raro: a plataforma, o navegador e o sistema operacional estão convergindo para um mesmo padrão de autenticação. Quando os provedores de identidade seguirem esse caminho, o login sem senha deixa de ser exceção premium e passa a ser expectativa de produto.