O GitHub abriu o beta público de passkeys para usuários do GitHub.com, colocando autenticação sem senha no fluxo cotidiano de uma das maiores plataformas de desenvolvimento do mundo.1 O recurso fica disponível por meio de feature preview e pode ser usado por qualquer conta com senha, independentemente de ela já usar autenticação de dois fatores.

A proposta é reduzir a dependência do par usuário e senha, que continua sendo um ponto fraco recorrente em ataques de phishing, vazamentos de credenciais e engenharia social. Com passkeys, o usuário pode entrar sem digitar senha e, em muitos casos, sem informar nem o nome de usuário. A credencial valida posse do dispositivo e identidade local, por biometria, PIN ou outro mecanismo suportado pela plataforma.

Para o GitHub, esse detalhe tem importância especial. A conta de um desenvolvedor costuma concentrar acesso a repositórios, pacotes, secrets, fluxos de CI/CD, issues, ambientes de produção e permissões de organização. Proteger o login não é apenas proteger um perfil pessoal, mas diminuir a chance de comprometimento na cadeia de software.

Menos senha no caminho crítico

O beta permite registrar uma nova passkey e também atualizar muitas chaves de segurança já cadastradas. Quando uma chave elegível é usada por alguém inscrito no preview, o GitHub pode oferecer o upgrade para passkey. Isso reduz atrito, porque aproveita hábitos de segurança já existentes em contas que adotaram FIDO ou hardware keys.

A diferença operacional é relevante. Uma senha pode ser digitada no site errado. Um código de autenticação pode ser capturado por proxy de phishing. Uma passkey, por design, é vinculada ao domínio e depende do autenticador do usuário. Esse modelo não elimina todos os riscos de conta, mas muda a economia do ataque: roubar uma senha deixa de ser suficiente para entrar.

O GitHub também informa que, ao usar passkey, o usuário não precisa executar o segundo fator separadamente caso tenha 2FA habilitado. A passkey conta como dois fatores em um, pois combina algo que o usuário possui com uma verificação local. Para usuários menos técnicos, isso pode tornar uma prática mais forte também mais simples.

Adoção depende de ecossistema e recuperação

O desafio não é só disponibilizar o botão de cadastro. Passkeys dependem de suporte consistente entre sistema operacional, navegador, gerenciador de credenciais, hardware e políticas corporativas. Em empresas, ainda entram perguntas sobre dispositivos compartilhados, troca de máquinas, perda de aparelho, offboarding, auditoria e compatibilidade com SSO.

Por isso o beta público é um passo importante. Ele permite que usuários reais testem combinações variadas antes que passkeys se tornem um padrão operacional mais amplo. Equipes de plataforma podem observar onde a experiência funciona bem, onde falha e quais instruções precisam ser escritas para desenvolvedores internos.

A mensagem para organizações que dependem do GitHub é clara: autenticação de conta de desenvolvedor deve entrar no mesmo nível de atenção dado a pipelines, dependências e secrets. Não basta exigir 2FA uma vez e considerar o problema resolvido. É preciso pensar em métodos resistentes a phishing, múltiplas credenciais de recuperação e educação de usuários.

Passkeys não encerram a conversa sobre identidade, mas deslocam o baseline. Se a experiência for simples o bastante, a opção mais segura deixa de parecer uma punição de usabilidade. Para uma plataforma onde cada conta pode ser porta de entrada para código de produção, essa é uma mudança prática, não apenas cosmética.

  1. GitHub Changelog, "Passkeys Public Beta", 12 jul. 2023.