Passkeys + inteligência de dispositivos: defesa em camadas contra roubo de conta
Passkeys fecham o roubo de credenciais, mas deixam expostos a recuperação de conta, o cadastro e o sequestro de sessão. A inteligência de dispositivos cobre as lacunas que os passkeys não alcançam, formando uma defesa em camadas contra ATO.
Passkeys são a melhoria mais significativa na autenticação de consumidores em uma década, e a forma como o setor os enquadra é sutilmente enganosa. O enquadramento é que os passkeys "resolvem" o roubo de conta. Eles não o resolvem — eliminam uma classe dele, a maior e mais automatizável, e ao fazer isso empurram os atacantes para as partes do ciclo de vida da conta que os passkeys estruturalmente não conseguem proteger.
Este texto é para arquitetos de segurança e equipes de segurança de produto que estão implantando passkeys e querem um mapa realista do que os passkeys cobrem, do que deixam exposto e de onde uma camada de inteligência de dispositivos se encaixa. A tese: passkeys e inteligência de dispositivos são complementares. Os passkeys reforçam a autenticação; a inteligência de dispositivos protege tudo ao redor dela.
O que os passkeys realmente resolvem
Os passkeys resolvem o roubo de credenciais ao remover o segredo compartilhado por completo. Não há senha para roubar por phishing, nenhuma senha para reutilizar entre sites, nenhuma senha parada em um vazamento à espera de ser usada em um ataque. Isso fecha, de uma só vez, a maior superfície de ataque de roubo de conta.
Mecanicamente, um passkey é um par de chaves pública-privada criado por site usando os padrões WebAuthn e FIDO2. A chave privada nunca sai do dispositivo do usuário (ou do provedor de credenciais sincronizado dele); o site armazena apenas a chave pública. A autenticação é um desafio-resposta criptográfico: o site envia um desafio, o dispositivo o assina com a chave privada, o site verifica com a chave pública. Nada reutilizável trafega pela rede.
Duas propriedades decorrem disso, e são as que importam para o ATO:
Resistência a phishing. O passkey está criptograficamente vinculado à origem do site. Um usuário que cai em um domínio de phishing parecido não consegue apresentar seu passkey ali — o navegador não o oferecerá, porque a origem não corresponde. Isso derrota toda a categoria de proxies de phishing em tempo real (ataques ao estilo Evilginx) que tornam inúteis os MFA baseados em código de uso único. A credencial simplesmente não pode ser retransmitida para o destino errado.
Nenhum segredo compartilhado para roubar em massa. Não há banco de dados de senhas com hash para exfiltrar, nenhuma lista de credenciais para comprar, nenhum material para credential stuffing (preenchimento de credenciais). A economia dos ataques automatizados a senhas depende de as credenciais roubadas serem baratas e reutilizáveis; os passkeys as tornam inexistentes.
Para os fluxos que um passkey de fato governa — um usuário fazendo login em um dispositivo que já contém seu passkey — isso é praticamente à prova de falhas. Se toda a sua base de usuários se autenticasse exclusivamente com passkeys em dispositivos que já possuem, o roteiro clássico de ATO estaria morto.
Esse não é o mundo em que qualquer serviço real opera.
A superfície de ataque que os passkeys não cobrem
Os passkeys protegem o evento de autenticação. O roubo de conta não se limita ao evento de autenticação — ele mira todo o ciclo de vida da conta, e a maior parte desse ciclo fica fora do que um passkey governa. Quatro lacunas importam.
Recuperação de conta. Essa é a grande. Todo serviço precisa de uma forma de um usuário que perdeu o dispositivo voltar a entrar. Esse caminho de recuperação — link por e-mail, código por SMS, perguntas de segurança, códigos de backup, verificação no suporte — é, por definição, uma forma de autenticar sem o passkey. Um atacante que não consegue derrotar o passkey ataca o fluxo de recuperação, e os fluxos de recuperação costumam ser muito mais fracos do que a autenticação primária que eles contornam. Uma implantação de passkey com um fallback de "redefinir via código SMS" tem uma porta dos fundos vulnerável a phishing e a SIM swap, por mais forte que seja a porta da frente.
Cadastro de dispositivo. Adicionar um novo passkey a uma conta é uma ação de modificação de conta e, se um atacante consegue cadastrar o passkey do próprio dispositivo, ele passa a ter acesso legítimo permanente. O cadastro costuma ser protegido por uma sessão autenticada já existente — o que significa que ele herda as fraquezas de tudo o que estabeleceu essa sessão, incluindo o fluxo de recuperação acima. Cadastrar-um-novo-passkey é o equivalente moderno de "adicionar uma regra de encaminhamento": silencioso, persistente e fácil de passar despercebido.
Sequestro de sessão. Os passkeys autenticam; eles não reautenticam continuamente. Depois que um usuário faz login, o token de sessão resultante é uma credencial ao portador como qualquer outra. Roube-o — via malware, uma extensão maliciosa, um dispositivo comprometido ou um ataque de exfiltração de token — e você tem a sessão autenticada sem nunca tocar no passkey. A força do login nada diz sobre a segurança da hora que se segue.
A cauda longa dos não cadastrados. A adoção de passkeys é real, mas parcial. Uma fração relevante de qualquer base de consumidores não terá um passkey: dispositivos antigos, máquinas compartilhadas ou corporativas, usuários que descartaram o prompt, usuários que não o entendem. Cada uma dessas contas ainda tem um caminho baseado em senha ou código, e os atacantes se concentram exatamente nesse caminho. Um serviço só é tão protegido quanto seu método de autenticação disponível mais fraco e, para a cauda de não cadastrados, esse método é o antigo.
O padrão em todas as quatro lacunas: a autenticação forte não remove o incentivo para roubar contas, ela realoca o ataque. Essa é a lição consistente do cenário de ATO de 2026 — à medida que cada vetor se fortalece, os atacantes fluem para o próximo mais fraco. Os passkeys movem a luta do formulário de login para o fluxo de recuperação, a etapa de cadastro e a sessão pós-login.
Por que a inteligência de dispositivos cobre as lacunas
A inteligência de dispositivos cobre as lacunas dos passkeys porque opera em um eixo diferente: os passkeys perguntam "esse usuário possui a chave certa?", enquanto a inteligência de dispositivos pergunta "este é o dispositivo e o contexto que esperamos para esta conta, em cada ação?". A segunda pergunta pode ser respondida mesmo quando não há passkey em jogo — que é exatamente a situação na recuperação, no cadastro e na cauda dos não cadastrados.
O mecanismo é uma identidade de dispositivo persistente: um identificador estável construído a partir de sinais de navegador, hardware, rede e comportamento, que reconhece um dispositivo recorrente entre sessões sem depender de uma credencial armazenada. (Como esse identificador é construído e por que ele sobrevive à limpeza de cookies está detalhado em como funciona a impressão digital de dispositivo.) Com essa identidade vinculada ao histórico de uma conta, cada uma das quatro lacunas ganha um controle que os passkeys não conseguem oferecer.
Recuperação vinculada a dispositivos conhecidos. Quando uma tentativa de recuperação chega, a inteligência de dispositivos responde a uma pergunta que o fluxo de recuperação, por si só, não consegue: essa recuperação está sendo iniciada a partir de um dispositivo que esta conta já usou? Recuperar a partir de um dispositivo totalmente novo, em um novo país, em um IP de data center é categoricamente mais arriscado do que recuperar a partir do laptop de sempre do usuário. Esse sinal permite escalonar o fluxo de recuperação — verificação leve a partir de um dispositivo conhecido, verificação pesada (ou uma retenção) a partir de um desconhecido — em vez de aplicar a mesma verificação fraca por SMS a todo mundo.
Cadastro protegido por confiança no dispositivo. Um pedido para cadastrar um novo passkey pode ser pontuado em relação ao histórico do dispositivo. Cadastrar um passkey a partir do dispositivo estabelecido do usuário é esperado. Cadastrar um a partir de um dispositivo que apareceu minutos atrás, logo após um evento de recuperação, de uma rede suspeita, é a assinatura de uma conta sendo tomada. A inteligência de dispositivos torna esse pedido de cadastro legível em vez de invisível.
Pontuação de sessão contínua, após o login. Como a identidade do dispositivo é avaliada em cada requisição, e não apenas no login, uma sessão que começa em um dispositivo e continua em outro — a assinatura de um token roubado sendo reproduzido em outro lugar — é detectável. O contexto de dispositivo ou rede mudando no meio da sessão para longe do dispositivo autenticado é um sinal de sequestro que nenhuma força de autenticação na porta da frente consegue capturar. Esse é o princípio da verificação de dispositivo zero trust: a confiança é avaliada continuamente, não concedida uma única vez na porta.
Cobertura para os não cadastrados. Para os usuários que nunca adotaram um passkey, a inteligência de dispositivos é a camada que faz o trabalho — reconhecendo o dispositivo conhecido deles e deixando passar logins legítimos com baixo atrito, enquanto sinaliza as tentativas de credential stuffing e de dispositivos desconhecidos que miram exatamente essa população. Os usuários mais expostos pela adoção parcial de passkeys são justamente os que a inteligência de dispositivos protege de forma mais direta.
O fio condutor: os passkeys provam a posse da chave em um único momento; a inteligência de dispositivos estabelece o contexto de dispositivo e comportamento em cada momento. As lacunas do primeiro são precisamente o domínio da segunda.
Como as duas camadas se combinam na prática
Em uma implantação em camadas, passkeys e inteligência de dispositivos rodam em paralelo, cada um autoritativo para as decisões às quais é adequado, alimentando um único panorama de risco.
No login, um passkey, quando presente, é o fator primário forte — resistente a phishing, sem segredo compartilhado. A inteligência de dispositivos roda ao lado dele, confirmando silenciosamente que o dispositivo é conhecido e o contexto é normal. Para um login por passkey a partir de um dispositivo reconhecido, isso é invisível: o usuário faz login, nada aparece. O sinal de dispositivo só é consultado quando discorda da expectativa.
Na recuperação e no cadastro, onde nenhum passkey está sendo apresentado (esse é justamente o objetivo desses fluxos), a inteligência de dispositivos se torna a principal entrada de risco. O veredito do smart signals — dispositivo conhecido, reputação de rede, consistência comportamental — determina se o fluxo prossegue de forma leve, escala para uma verificação mais forte ou fica retido para revisão. É aqui que a verdadeira porta dos fundos da implantação de passkey ganha uma tranca.
Após o login, a inteligência de dispositivos oferece avaliação contínua. O trabalho do passkey terminou na autenticação; a camada de dispositivo vigia a sessão em busca das mudanças de contexto que indicam roubo de token e pode forçar a reautenticação quando o sinal de dispositivo se quebra no meio da sessão.
Para os não cadastrados, a inteligência de dispositivos assume também a carga principal no login, distinguindo o dispositivo conhecido recorrente da tentativa de credential stuffing, até que (e se) o usuário adote um passkey.
A divisão de trabalho é clara porque os dois mecanismos respondem a perguntas genuinamente diferentes e falham de formas genuinamente diferentes. Um passkey não consegue dizer se o dispositivo que solicita uma redefinição de senha é confiável; a inteligência de dispositivos não consegue fornecer prova criptográfica resistente a phishing da posse da chave. Implantar um sem o outro deixa um buraco previsível — passkeys sozinhos deixam os fluxos de recuperação e de sessão frágeis; a inteligência de dispositivos sozinha carece da força de autenticação criptográfica na porta da frente.
O enquadramento honesto para uma implantação de passkey
Se você está implantando passkeys, a mensagem interna correta não é "resolvemos o roubo de conta". É "eliminamos o roubo de credenciais como vetor de ataque, e agora precisamos reforçar os fluxos para os quais os atacantes vão migrar". Esses fluxos — recuperação, cadastro, sessão e a cauda dos não cadastrados — são onde a próxima onda de tentativas de ATO vai se concentrar, justamente porque a porta da frente ficou forte. Uma implantação de passkey que não reforça simultaneamente a recuperação está movendo a tranca da porta para a janela e deixando a janela aberta.
Esse reforço é o que uma camada de inteligência de dispositivos oferece, e é por isso que as posturas mais fortes contra ATO combinam as duas. Os passkeys tornam o evento de autenticação quase imbatível. A inteligência de dispositivos torna o restante do ciclo de vida da conta — as partes para as quais um atacante recorre porque o evento de autenticação ficou imbatível — observável e pontuável.
A Tracio fornece a metade de inteligência de dispositivos dessa dupla: uma identidade de dispositivo persistente que sobrevive à limpeza de cookies e a sessões novas, sinais de risco de rede e comportamento e um veredito retornado em menos de 50ms que se conecta às verificações de recuperação, cadastro e sessão contínua. Ela roda silenciosamente por trás dos logins por passkey de dispositivos conhecidos e se destaca exatamente onde os passkeys não conseguem alcançar.
Quer ver como a inteligência de dispositivos cobre os fluxos que a sua implantação de passkey deixa abertos?
Comece seu teste grátis — 2.500 verificações grátis, sem necessidade de cartão de crédito. Agende uma demonstração para mapear a inteligência de dispositivos em relação à sua arquitetura de autenticação, recuperação e sessão.