# Passkeys vs. 2FA: entenda o cenário de segurança

Duas tecnologias dominam a segurança moderna de contas: passkeys e autenticação de dois fatores (2FA). Ambas superam as limitações de um único par de nome de usuário e senha, mas fazem isso de maneiras um pouco diferentes. Este artigo explora como cada abordagem funciona, como elas se comparam em termos de segurança e como podem ser implementadas de forma tranquila, para que os usuários decidam qual se adapta melhor às suas necessidades pessoais ou empresariais. 

## A ideia central por trás das passkeys e da 2FA

Como as passkeys funcionam?

| **Recurso** | **Passkey** | **2FA** |
|------|------|------|
| **Objetivo principal** | Substituir a senha por uma troca criptográfica de chave pública | Adicionar um segundo fator a uma senha existente |
| **Como funciona** | Um par de chaves criptográficas (pública e privada) é gerado no dispositivo do usuário. A chave pública é armazenada no servidor, e a chave privada, no dispositivo. Ao fazer login, o servidor envia um desafio ao dispositivo do usuário, que assina o desafio com a chave privada e envia a assinatura de volta. | Após a autenticação correta com senha, o site ou app solicita uma segunda informação: um código de um app autenticador, uma mensagem de texto, um e-mail ou um token de hardware. |
| **O que os usuários veem** | “Faça login com seu dispositivo” ou uma solicitação para tocar no sensor de impressão digital ou escanear o rosto. | Uma solicitação de código numérico aparece depois que o usuário insere a senha. |

Tanto as passkeys quanto a 2FA adicionam uma camada extra de proteção que torna muito mais difícil para invasores obterem acesso, mas fazem isso aproveitando princípios de segurança diferentes.

 

## Fundamentos de segurança das passkeys explicados

As passkeys são baseadas em um primitivo criptográfico maduro e amplamente pesquisado: a infraestrutura de chave pública (PKI) e a criptografia de chave pública, que têm como objetivo substituir senhas. Quando um usuário cria uma passkey vinculada a um dispositivo, o dispositivo executa um enclave seguro ou um ambiente de execução confiável (TEE) que armazena a chave privada. 

Ao contrário das senhas, essa chave privada permanece no dispositivo e é protegida por biometria ou bloqueio por PIN. Qualquer serviço online compatível com passkey conhece apenas a chave pública, que não pode ser usada para reconstruir a chave privada. Isso fortalece a segurança online. O método de par de chaves pública e privada oferece mais segurança do que qualquer outro método de autenticação atual. As passkeys ajudam a prevenir ataques de phishing em sites e apps ao usar um processo diferente das senhas tradicionais.

Depois que uma passkey é criada, o seguinte processo ocorre no login:

1. **Desafio do servidor**: O servidor envia um nonce aleatório (número usado apenas uma vez) ao dispositivo.
2. **Geração da assinatura**: Com autenticação biométrica, o dispositivo do usuário assina o nonce usando o algoritmo ECDSA ou EdDSA (opções comuns são a curva secp256r1 para ECDSA e a curva ed25519 para EdDSA).
3. **Verificação da assinatura**: O site ou app verifica a assinatura com a chave pública armazenada. Se a assinatura corresponder, o usuário é autenticado.

Como a chave privada nunca sai do dispositivo e nunca é transmitida pela rede, um invasor que comprometa o servidor não consegue se passar pelo usuário, pois não consegue autenticar a passkey do usuário. 

Mesmo que invasores consigam roubar a chave pública armazenada de uma conta, eles não conseguem falsificar a assinatura necessária. Essa é uma garantia muito mais forte do que o sigilo de uma senha, que pode ser roubada, adivinhada ou quebrada. Passkeys sincronizadas oferecem proteção mais forte contra violações de dados do que senhas tradicionais e ajudam a proteger informações confidenciais.

## Pontos fortes da 2FA

Enquanto as passkeys substituem completamente a senha de uma conta, a 2FA **adiciona** um segundo fator à senha existente. É por isso que a 2FA costuma ser o primeiro passo que muitas pessoas dão rumo a uma segurança mais forte. Ela já é compatível com quase todas as plataformas e pode ser implantada usando diversos métodos de segundo fator, incluindo:

- **App autenticador**: Bitwarden Authenticator, Google Authenticator, Microsoft Authenticator, Authy etc., que geram senhas de uso único baseadas em tempo (TOTP).
- **Códigos por SMS**: códigos únicos que chegam ao número de telefone do usuário.
- **Códigos por e-mail**: códigos enviados para o endereço de e-mail cadastrado do usuário.
- **Tokens de hardware**: YubiKey ou dongles de hardware da Duo Security, que fornecem um mecanismo físico de desafio-resposta.

Cada método equilibra conveniência e segurança de uma forma diferente.

Códigos por mensagem de texto são convenientes, mas podem ser interceptados por meio de troca de SIM ou escuta de rede, por isso geralmente são recomendados apenas para contas de baixo risco. No entanto, alguns serviços, como muitos bancos, oferecem apenas códigos por SMS ou e-mail para verificação do usuário.

A 2FA oferece mais segurança do que uma simples senha, pode ser configurada de acordo com o nível de conforto do usuário e tem ampla adoção. Como recurso adicional, a 2FA não elimina as senhas, mas exige que invasores obtenham tanto a senha correta quanto o segundo fator para acessar a conta.

## Comparando chaves de acesso e 2FA na prática

### **Comparação de segurança**

**Chaves de acesso**: um sistema de desafio-resposta com chave pública e privada, matematicamente projetado para ser impossível de falsificar desde que a chave privada nunca saia do dispositivo. Como a chave privada nunca é exposta, nem mesmo um servidor comprometido consegue se passar pelo usuário, impedindo que um agente mal-intencionado acesse a conta.

Isso torna as chaves de acesso o método de autenticação mais seguro disponível atualmente, combinando prova criptográfica de posse com verificação biométrica ou por PIN em uma experiência fluida. E, graças à camada adicional fornecida pelo sensor de impressão digital ou scanner facial do dispositivo, as chaves de acesso adicionam autenticação biométrica ao processo, ajudando a prevenir ataques de phishing e outras violações de segurança.

**2FA**: adicionar um segundo fator eleva drasticamente o nível de dificuldade para invasores, que precisariam adivinhar ou quebrar a senha por força bruta *e* obter o segundo fator para acessar uma conta.

- Os métodos de 2FA mais fortes, como tokens de hardware ou TOTP, são quase tão seguros quanto chaves de acesso em muitos cenários em que é necessário fazer login na conta.
- Códigos TOTP podem ser gerados por aplicativos independentes, como o Bitwarden Authenticator, e alguns gerenciadores de senhas também oferecem suporte integrado a 2FA.
- A 2FA baseada em SMS é menos segura porque depende da integridade da rede celular. Ainda assim, ela oferece uma camada significativa de defesa contra ataques de preenchimento de credenciais e força bruta.

Ao escolher entre chaves de acesso e 2FA, pense na segurança como um sistema em camadas, no qual as chaves de acesso ficam no nível mais alto, enquanto a 2FA fica logo abaixo, mas ainda acima da proteção básica por senha.

### **Implementação e facilidade de uso**

#### Chaves de acesso

A forma como as chaves de acesso funcionam pode parecer um pouco misteriosa. Isso é compreensível, pois elas são relativamente novas. As chaves de acesso funcionam graças a sensores biométricos e APIs de reconhecimento facial em smartphones, notebooks e tablets modernos. Esses recursos biométricos ativam a chave de acesso durante a autenticação. Ao criar uma chave de acesso, a chave pública é registrada automaticamente no servidor durante a configuração. Depois disso, fazer login é tão simples quanto tocar um sensor com o dedo ou olhar para a tela. Para muitos usuários, a experiência parece quase invisível — sem digitar senhas longas e sem lembrar códigos de 2FA.

#### 2FA

Essa configuração normalmente envolve vincular um aplicativo autenticador ou configurar um token de hardware, como chaves de hardware que seguem os padrões da FIDO Alliance. Depois de configurado, o processo é simples: insira um nome de usuário e uma senha e, em seguida, digite o código exibido no aplicativo autenticador ou o código recebido por SMS. Como a 2FA existe há muito tempo, há uma grande quantidade de tutoriais, artigos de ajuda e recursos de suporte disponíveis, e quase todos os sites e serviços hoje oferecem suporte a essa camada extra de proteção.

#### Comparação

Ambos os métodos exigem uma pequena configuração inicial, mas a segurança adicional e a privacidade do usuário compensam o tempo de configuração. Criar uma chave de acesso reduz o atrito ao eliminar a necessidade de digitar códigos, graças às duas chaves criptográficas, enquanto a 2FA dá aos usuários uma sensação concreta de proteção adicional. Fortalecer as práticas de autenticação por qualquer um dos métodos oferece mais segurança e ajuda a evitar que dados acabem na dark web.

### **Custo e infraestrutura**

#### Chaves de acesso

Nenhum hardware adicional é necessário se um dispositivo com capacidade biométrica, como um telefone, já estiver em uso. O único custo incorrido fica do lado da empresa, com o esforço de desenvolvimento necessário para expor a chave pública ao servidor. Para provedores de serviços, esse é um custo único de integração por plataforma.

#### 2FA

Ao escolher um aplicativo autenticador em um dispositivo, o custo é essencialmente zero. Tokens de hardware geram um pequeno custo de compra único; uma YubiKey, por exemplo, custa cerca de US$ 50 em um modelo básico. Para empresas, podem ser aplicadas taxas de licenciamento ou assinatura para soluções de 2FA de nível empresarial, como Duo ou Okta.

 

## Resistente a phishing vs. à prova de phishing

Qual é a diferença entre resistente a phishing e à prova de phishing? O termo “resistência a phishing” é usado por muitas organizações, incluindo NIST, CISA, Microsoft e FIDO Alliance. Além disso, [<u>NIST SP 800-63-4 (2025)</u>](https://pages.nist.gov/800-63-4/sp800-63b.html) define a resistência a phishing e a exige para o AAL3.

Sistemas resistentes a phishing geralmente incluem as seguintes medidas de segurança:

- **Autenticação multifator (MFA)**: Exige que os usuários forneçam uma verificação adicional, como um código enviado para o celular ou uma leitura biométrica.
- **Protocolos de autenticação resistentes a phishing**: Exigem o uso de protocolos como WebAuthn ou FIDO2 para oferecer uma forma mais segura de autenticar usuários.
- **Treinamento de conscientização em segurança**: Os usuários devem ser instruídos sobre como identificar e evitar tentativas de phishing.
- **Detecção avançada de ameaças**: A detecção de ameaças com tecnologia de IA pode ser usada para identificar e bloquear emails ou mensagens suspeitas.

A CISA também recomenda repetidamente que as organizações implementem autenticação multifator resistente a phishing, como chaves de segurança FIDO ou smart cards. Em 2025, a Microsoft alinhou suas orientações ao Zero Trust, defendendo a MFA resistente a phishing e a adoção de soluções sem senha. Por fim, a FIDO Alliance posiciona chaves de acesso/FIDO2/WebAuthn como resistentes a phishing e como substitutas da MFA legada (senha + SMS). 

Embora as chaves de acesso sejam reconhecidas como resistentes a phishing no AAL2, a NIST SP 800-63-4 especifica que apenas chaves de acesso vinculadas ao dispositivo, com chaves privadas não exportáveis, atendem aos requisitos do AAL3. Chaves de acesso sincronizáveis (multidispositivo), que permitem a sincronização entre dispositivos por meio de serviços em nuvem, não são permitidas no AAL3 porque a chave privada precisa ser exportável para sincronização. Organizações que exigem garantia AAL3 devem implantar chaves de segurança de hardware, smart cards ou chaves de acesso vinculadas ao dispositivo, em vez de chaves de acesso sincronizáveis.

Um sistema à prova de phishing, em teoria, é completamente resistente a ataques de phishing, o que implica que ele é tão seguro que é impossível usar técnicas de phishing para enganar usuários e fazê-los divulgar informações confidenciais. Na prática, porém, é quase impossível criar um sistema assim porque, mesmo com as medidas de segurança mais avançadas, sempre existe o risco de erro humano. Esses sistemas exigiriam:

- **Protocolos de autenticação invioláveis**: Um sistema à prova de phishing exigiria o uso de protocolos teoricamente invioláveis, como criptografia resistente à computação quântica.
- **Conscientização perfeita em segurança**: Todos os usuários teriam que ser completamente imunes a táticas de engenharia social.
- **Design à prova de intrusões**: O sistema precisaria ser projetado com a segurança em mente, usando técnicas como práticas de codificação segura e modelagem de ameaças.

Sistemas resistentes a phishing são projetados para serem altamente seguros e podem ser implementados com facilidade e sucesso. Investigue cuidadosamente qualquer serviço que afirme oferecer sistemas totalmente à prova de phishing antes de prosseguir.

## Como escolher o método certo

A escolha do método certo depende de vários fatores. O primeiro é a simplicidade da configuração. A 2FA é mais fácil de configurar inicialmente, mas as chaves de acesso oferecem um nível de segurança mais alto. Ao fazer uma escolha, considere estas dicas:

- **Contas de alto valor** (bancárias, administração corporativa): Use um token de hardware para 2FA ou mude para chaves de acesso, se houver suporte.
- **Contas gerais de consumidores** (redes sociais, email): A 2FA com um aplicativo autenticador TOTP oferece proteção forte e tem amplo suporte.
- **Contas de baixo risco**: 2FA por SMS ou email pode ser aceitável, mas considere migrar para um método mais forte se a conta armazenar qualquer dado sensível.

## Em resumo

Ao comparar chaves de acesso e 2FA, a resposta depende das prioridades:

- Se a segurança máxima for fundamental e houver um celular com reconhecimento facial e/ou por impressão digital disponível, as chaves de acesso são a melhor escolha.  
- Se o objetivo for uma melhoria rápida e incremental em relação à autenticação padrão com nome de usuário e senha, que funcione em muitas plataformas, a 2FA, especialmente com tokens de hardware ou aplicativos TOTP, é o próximo melhor passo.

De qualquer forma, isso afasta você das vulnerabilidades da autenticação apenas por senha e representa passos significativos rumo a uma proteção mais forte.

## Gerencie chaves de acesso e autenticação de dois fatores com o Bitwarden

As chaves de acesso representam um avanço significativo em logins seguros e fáceis de usar, enquanto a 2FA continua sendo uma proteção poderosa e amplamente adotada, que pode ser adaptada às necessidades do usuário. Ao avaliar a escolha entre chaves de acesso e 2FA, considere os prós e contras em segurança, conveniência e recursos necessários para a implementação. Seja qual for o caminho escolhido, você estará dando um passo significativo rumo a uma segurança digital mais forte.

Para quem já usa o [<u>gerenciador de senhas Bitwarden</u>](https://bitwarden.com/pt-br/pricing/business/), ou está considerando adotá-lo, as chaves de acesso e a 2FA podem ser gerenciadas em dispositivos Apple e Android, bem como em todos os principais sistemas operacionais, consolidando a segurança em uma única ferramenta.

## Tenha agora uma segurança de senhas poderosa e confiável. Escolha seu plano.

## Pessoal

### Acabou de começar?

*Obtenha o gerenciamento básico de senhas hoje mesmo. Sempre gratuito.*

[Criar conta gratuita](https://bitwarden.com/go/start-free/)

---

### Premium

**$1.65** *por mês*

*Cobrado anualmente por US$ 19,80*

Aproveite recursos premium

- Autenticador integrado
- Anexos de arquivos
- Acesso de emergência
- Bloqueador de phishing
- Relatórios de segurança e muito mais

Compartilhe itens do cofre com mais um usuário

[Criar conta Premium](https://bitwarden.com/go/start-premium/)

---

### Famílias

**$3.99** *por mês*

*Até 6 usuários, cobrado anualmente por US$ 47,88*

Proteja os logins da sua família

- 6 contas premium
- Compartilhamento ilimitado
- Coleções ilimitadas
- Armazenamento da organização

Compartilhe itens do cofre entre seis pessoas

[Iniciar teste gratuito do Families](https://bitwarden.com/go/start-families-trial/)

---

Preços exibidos em USD e baseados em uma assinatura anual. Impostos não incluídos.

## Empresas

### Teams

*Para equipes e empresas em crescimento que precisam avançar rapidamente.*

**$4** *por mês / por usuário, cobrado anualmente*

**Sem concessões**

Todos os recursos Premium, além de recursos avançados como:

- Compartilhe credenciais com segurança
- Audite atividades com logs de eventos
- Sincronize seu diretório existente
- Automatize o provisionamento com SCIM

[Iniciar teste gratuito](https://bitwarden.com/go/start-teams-trial/)

---

### Enterprise

*Para empresas que precisam de proteção e controle avançados.*

**$6** *por mês / por usuário, cobrado anualmente*

**Proteção máxima**

Todos os recursos Premium e Teams, além de recursos de nível empresarial como:

- Controle de acesso granular
- Integração com SSO sem senha
- Recuperação de conta fácil
- Flexibilidade para auto-hospedagem
- Remediação de riscos com o Access Intelligence [novo]
- Plano Families gratuito para todos os usuários

[Iniciar teste gratuito](https://bitwarden.com/go/start-enterprise-trial/)

---

### Fale com vendas

*Para grandes organizações, fale com um especialista sobre um plano sob medida e saiba como a Bitwarden pode:*

*por mês*

- Reduzir riscos de cibersegurança
- Aumentar a produtividade
- Integrar-se perfeitamente

A Bitwarden se adapta a empresas de qualquer porte para levar segurança de senhas à sua organização

[Fale com Vendas](https://bitwarden.com/talk-to-sales)

---

Preços exibidos em USD e com base em uma assinatura anual. Impostos não incluídos.