Facebook
Instagram
Twitter/X
Passkeys em Portugal: o guia prático para dizer adeus às palavras-passe sem perder a cabeça
O fim das palavras-passe está mesmo a chegar (e tu podes começar hoje)
Se ainda usas a mesma palavra-passe em três sítios diferentes, tenho uma má notícia: os ataques de credential stuffing continuam a ser a principal porta de entrada em contas pessoais em Portugal, segundo dados recentes do Centro Nacional de Cibersegurança. A boa notícia? Já não precisas de palavras-passe. A Google, Apple, Microsoft, Amazon, WhatsApp e até o MB WAY suportam agora passkeys — e este é o momento certo para fazeres a transição.
O que são passkeys, em linguagem simples
Uma passkey é uma chave criptográfica guardada no teu telemóvel ou portátil que substitui a palavra-passe. Em vez de escreveres algo que pode ser roubado, autenticas-te com o Face ID, impressão digital ou PIN do dispositivo. A chave nunca sai do teu equipamento, o que torna o phishing praticamente inútil: mesmo que cliques num link falso, não há nada para o atacante intercetar.
Tecnicamente, baseiam-se no padrão FIDO2/WebAuthn. Na prática, é mais rápido do que escrever uma palavra-passe e muito mais seguro.
Guia prático: por onde começar esta semana
1. Conta Google. Vai a g.co/passkeys, inicia sessão e clica em "Usar passkeys". O telemóvel passa a ser a tua chave. Demora menos de um minuto.
2. Apple ID. Em qualquer iPhone com iOS atualizado, as passkeys são criadas automaticamente quando ativas o iCloud Keychain. Em Definições > [O teu nome] > iCloud > Palavras-passe.
3. Microsoft. Em account.microsoft.com, em "Segurança", podes remover completamente a palavra-passe da conta e usar apenas passkey ou Microsoft Authenticator.
4. WhatsApp. Em Definições > Conta > Passkeys. Evita que alguém te roube a conta com SMS interceptados.
5. Gestor de palavras-passe. Se usas 1Password, Bitwarden ou Proton Pass, todos suportam passkeys e sincronizam entre dispositivos Android, iOS, Windows e macOS. Recomendo um gestor independente do sistema operativo se mudas frequentemente de ecossistema.
Os erros que vejo as pessoas cometerem
O maior erro é criar uma passkey num único dispositivo sem ter plano B. Se perdes o telemóvel e não tens cópia de segurança no iCloud, Google Password Manager ou num gestor externo, ficas trancado fora. Regra de ouro: cria sempre passkeys em pelo menos dois sítios — por exemplo, no telemóvel e num gestor sincronizado.
O segundo erro é não desativar a palavra-passe antiga. Enquanto ela existir, continua a ser um ponto de ataque. Após confirmares que a passkey funciona em todos os teus dispositivos, remove a palavra-passe ou substitui-a por uma string aleatória de 40 caracteres guardada no gestor.
Privacidade: o que ninguém te conta
As passkeys não eliminam todos os problemas de privacidade. Continuam a estar associadas à tua conta Google ou Apple, que sabe onde e quando te autenticaste. Se isso te preocupa, gestores como Bitwarden ou Proton Pass (sediado na Suíça, sujeito ao RGPD) oferecem alternativas mais privadas.
Outra nota: passkeys protegem o login, mas não protegem o teu dispositivo. Continua a usar um PIN forte de pelo menos seis dígitos, encriptação ativada (vem por defeito em iPhones e na maioria dos Android recentes) e atualizações em dia.
E quando o site ainda não suporta passkeys?
A maioria dos bancos portugueses, sites do Estado e serviços mais pequenos ainda dependem de palavras-passe e SMS. Nesses casos, aplica três regras simples: palavra-passe única gerada pelo gestor, autenticação de dois fatores via aplicação (não SMS, que é vulnerável a SIM swapping) e revisão trimestral das sessões ativas.
A transição para um mundo sem palavras-passe não vai acontecer de um dia para o outro, mas cada conta que migras é menos uma porta aberta. Começa pela conta Google ou Apple hoje — é, literalmente, a melhor meia hora que vais investir em segurança digital este mês.
Siga o NetThings no Google News
Fique a par de todas as novidades tecnológicas em tempo real.
⭐ SEGUIR NO GOOGLE NEWS
Participar na conversa