Se você acompanhou a lista de vazamentos de dados dos últimos cinco anos, conhece o roteiro: empresa é hackeada, milhões de senhas aparecem na dark web, todo mundo precisa trocar as suas, e em seis meses acontece de novo. A senha — esse pedacinho de texto que você digita mil vezes por dia — é a tecnologia mais antiga e mais frágil da sua vida digital. E em 2026, ela finalmente começou a morrer. O substituto tem nome: passkey.

Google, Apple, Microsoft, Amazon, WhatsApp, Instagram, TikTok, GitHub, Nubank, Itaú, Mercado Pago e até a Receita Federal já aceitam passkeys. Se você nunca ativou uma, está deixando sua vida digital desnecessariamente vulnerável. Este guia explica o que é passkey sem jargão técnico e mostra como ativar em tudo que importa.

O que é uma passkey (explicado sem firulas)

Passkey é uma forma de fazer login que não usa senha. Em vez de digitar uma palavra secreta, você desbloqueia a conta com biometria do seu celular — Face ID, Touch ID ou senha do aparelho. Por trás, o telefone guarda uma chave criptográfica única que ele só libera quando confirma que é você de verdade.

A diferença prática é que a senha não existe. Não há string de texto para ser roubada em um vazamento, porque não há string. O que o site guarda é só a "chave pública" — um código que funciona apenas em conjunto com a chave privada que mora no seu celular e que nunca sai dele.

Traduzindo: mesmo que a empresa seja hackeada, o hacker não consegue entrar na sua conta. Mesmo que você caia em um phishing, não tem como digitar a passkey em um site falso porque passkey não se digita.

Por que passkey é mais segura que senha + 2FA

A resposta curta: porque não dá para ser enganada. A resposta longa tem três camadas.

1. Não pode ser phishada. A passkey só funciona no domínio correto. Se o criminoso criou um "itau.com.br.login-seguro.xyz", a passkey não aparece. Com senha tradicional (mesmo com 2FA por SMS), você pode ser induzido a digitar em qualquer lugar.

2. Não pode ser reutilizada. Cada passkey serve para um único site. Mesmo que sua passkey do Google vazasse — não vaza, porque está no seu celular —, ela não abriria sua conta do Itaú.

3. Exige presença física. Para autorizar o login, você tem que olhar para o celular e desbloquear. Mesmo alguém que furte seu celular precisa da sua cara, sua digital ou a senha do aparelho.

O que acontece se eu perder o celular?

A dúvida que trava todo mundo. A boa notícia: em 2026, as passkeys são sincronizadas em nuvem pelo iCloud Keychain (iPhone), pelo Google Password Manager (Android e Chrome) ou pelo Windows Hello. Trocou de celular, fez login na sua conta Apple/Google, e as passkeys voltam.

Se você perde o celular e o backup — cenário catastrófico —, ainda há a recuperação tradicional via email + documento ou token hardware (YubiKey). Vale a pena ter ao menos um método de recuperação configurado antes de depender 100% de passkeys.

Como ativar passkey no Google

  1. Acesse myaccount.google.com
  2. Clique em "Segurança" no menu lateral
  3. Role até "Como você faz login no Google" e toque em "Passkeys"
  4. Clique em "Usar passkeys" e aprove com biometria no seu celular

Feito isso, da próxima vez que logar no Google em qualquer dispositivo, ele vai pedir passkey em vez de senha. Você ainda pode escolher entrar com senha como alternativa.

Como ativar no iPhone / Apple

No iPhone a Apple fez o caminho mais automático: se você tem iCloud Keychain ligado (Ajustes → seu nome → iCloud → Senhas), as passkeys são criadas e sincronizadas automaticamente em sites compatíveis. Quando um site oferece passkey no login, o iOS mostra o prompt com Face ID/Touch ID.

Para ver suas passkeys ativas: Ajustes → Senhas → toque em cada site e veja a aba "Passkey".

Como ativar no WhatsApp

  1. Abra o WhatsApp
  2. Vá em Configurações → Conta → Passkeys
  3. Toque em "Criar passkey" e autentique com biometria

A partir de agora, ao restaurar o WhatsApp em outro celular, você pode usar a passkey em vez do código SMS — que é famosamente vulnerável a golpe de SIM swap.

Como ativar no Instagram

Instagram → Configurações → Central de Contas → Senha e segurança → Passkeys. O Meta rolou passkeys para o Instagram no primeiro trimestre de 2026 após dois anos só no Facebook.

Como ativar no Nubank (e outros bancos)

Nubank, Itaú, C6, Inter e Bradesco já aceitam passkey para login no app e no site. No Nubank: Menu → Perfil → Segurança → Login com passkey. No Itaú: Mais → Segurança → Passkey. A adoção em bancos brasileiros em 2026 foi puxada pelo Banco Central, que passou a considerar login sem passkey uma fragilidade auditável.

Checklist: em quais serviços ativar passkey agora

  • Conta Google (e-mail principal)
  • Conta Apple / iCloud
  • Microsoft (se usa Outlook, OneDrive, Office)
  • WhatsApp
  • Instagram e Facebook
  • TikTok
  • Banco principal (Nubank, Itaú, etc.)
  • Mercado Livre / Mercado Pago
  • GitHub (se você é dev)
  • Amazon

Dicas práticas

Mantenha sua senha forte mesmo assim. Passkey não elimina a senha — ela vira o método "primário", a senha fica como fallback. Se sua senha antiga era fraca, troque agora.

Use um gerenciador de senhas com suporte a passkey. 1Password, Bitwarden, Dashlane e Keeper já suportam. Útil para quem tem celular Android e notebook Windows.

Ative o backup em nuvem. No iPhone, ligue iCloud Keychain. No Android, Google Password Manager. Passkey sem backup é bomba-relógio.

Conclusão: o fim das senhas começou

Em 2026, adotar passkey não é mais uma escolha nerd — é higiene digital básica. A curva de aprendizado é de 15 minutos e o ganho em segurança é gigante. Daqui a três anos, olharemos para o hábito de digitar senhas como olhamos hoje para quem mandava fax: obsoleto, inseguro e inexplicável. Comece pelas cinco contas mais importantes da sua vida. O resto vem por osmose.