Passkeys para empresas: sua organização deve ir além das senhas?

Para muitas empresas, as passkeys estão se tornando cada vez mais populares. Elas são uma forma prática de reduzir o risco de phishing, melhorar a segurança do início de sessão e diminuir as vulnerabilidades que acompanham a autenticação apenas por senha.

No entanto, as empresas não conseguem substituir as senhas em todos os lugares da noite para o dia. O suporte a passkeys se expandiu em diversas plataformas, provedores de identidade e ferramentas de negócios, mas a maioria das empresas ainda opera em ambientes mistos. Alguns aplicativos já estão prontos para as passkeys hoje, mas outros ainda dependem de senhas, fluxos de autenticação de dois fatores (A2F) ou perguntas de segurança para fluxos de trabalho do administrador e recuperação de conta.

Portanto, a verdadeira questão não é se as senhas desaparecerão amanhã. É se a sua organização deve começar a adotar passkeys para contas empresariais agora, onde elas fazem mais sentido, e como gerenciar a transição sem criar dificuldades desnecessárias para os funcionários ou para sua equipe de TI.

O que são passkeys e como elas funcionam

Uma passkey substitui uma senha tradicional por um par de chaves criptográficas. Uma chave é pública e fica armazenada no serviço ou aplicativo. A outra é privada e permanece no dispositivo do usuário ou em seu gerenciador de credenciais.

Uma senha é um segredo compartilhado entre o usuário e o serviço. As passkeys removem o modelo de segredo compartilhado e são projetadas para autenticar apenas com o serviço legítimo, não com um site falso configurado para capturar informações de início de sessão.

Quando você inicia sessão em um serviço com uma passkey, o serviço envia um desafio criptográfico. A chave privada responde apenas depois que você desbloqueia seu dispositivo com um método biométrico ou um PIN local. A chave nunca sai do dispositivo, e o serviço não armazena um segredo equivalente a uma senha que possa ser roubado ou quebrado posteriormente.

As passkeys são seguras e fáceis de usar. Em vez de digitar uma senha, você pode escolher a conta em que deseja iniciar sessão e desbloquear seu dispositivo da mesma forma que já faz todos os dias, seja com o Face ID, uma impressão digital, o Windows Hello ou um PIN local.

Para empresas, as passkeys exigem consideração extra. Elas são seguras e úteis, mas exigem um gerenciamento adequado. As passkeys são criadas, armazenadas e gerenciadas por um gerenciador de credenciais escolhido, muitas vezes o padrão integrado ao sistema operacional ou navegador, a menos que outro provedor seja utilizado.

As passkeys são uma tecnologia de autenticação, mas também representam uma decisão de gerenciamento. Se os funcionários forem utilizá-las em dispositivos de trabalho, fluxos compartilhados e várias ferramentas SaaS, sua empresa precisa de uma abordagem clara para armazenamento, sincronização, recuperação e governança.

Passkeys vs. senhas: o que as empresas devem escolher?

A principal vantagem de segurança das passkeys para empresas é que elas removem várias das vulnerabilidades nas quais os invasores mais confiam em sistemas baseados em senhas.

As senhas podem ser fracas e fáceis de adivinhar com ataques de força bruta. Senhas fracas também podem ser reutilizadas em contas de trabalho e pessoais. Elas podem sofrer phishing, ser interceptadas e expostas em violações de terceiros. Mesmo quando as empresas aplicam políticas de senha fortes, o modelo de senha subjacente ainda deixa margem para o roubo de credenciais.

As passkeys aprimoram esse modelo. Como a autenticação está vinculada a um par de chaves criptográficas em vez de um segredo compartilhado, não há senha para um funcionário digitar em uma página de início de sessão falsa e nenhuma credencial reutilizável para um invasor roubar e usar em outro lugar. As passkeys autenticam apenas com o serviço legítimo para o qual foram criadas, o que as torna resistentes a ataques de phishing projetados para imitar páginas reais de início de sessão.

Elas também reduzem o risco criado por bancos de dados de credenciais roubadas. Em um ambiente baseado em senhas, uma violação de dados pode expor dados relacionados a senhas que podem ser quebrados ou reutilizados posteriormente em ataques de preenchimento de credenciais. Com as passkeys, o serviço armazena apenas a chave pública, que não pode ser usada para recriar a chave privada mantida pelo usuário. Isso torna o roubo de credenciais em larga escala muito menos útil para os invasores.

Para empresas, isso se traduz em ganhos práticos de segurança. As passkeys podem reduzir o comprometimento de conta vinculado ao phishing, diminuir o risco criado pela reutilização de senhas e fortalecer a proteção para identidades de alto risco, como administradores e equipes de finanças, RH e executivos.

No entanto, uma autenticação mais forte não elimina a necessidade de um gerenciamento de acesso sólido. As empresas ainda precisam de dispositivos de confiança, políticas de identidade claras, um plano de resposta a incidentes e controles de acesso baseados em funções. As passkeys tornam a camada de autenticação mais resiliente, mas funcionam melhor como parte de um modelo de segurança mais amplo, em vez de uma correção isolada.

O estado atual da adoção de passkeys em empresas

Para as empresas, o mercado claramente já passou da fase de experimentação. A mudança já é visível nos dados de adoção corporativa. No início de 2025, a FIDO Alliance(nova janela) relatou que 87% das organizações pesquisadas nos EUA e no Reino Unido já haviam implantado passkeys ou estavam em processo de implementação, e 47% já as haviam implantado para pelo menos alguns funcionários. Entre as organizações que usam passkeys, 62% relataram melhoria nas taxas de sucesso de início de sessão, 58% relataram uma melhor experiência do usuário e 50% disseram que as passkeys ajudaram a reduzir os custos de TI vinculados a senhas e recuperação de conta.

As passkeys são uma opção viável para as empresas hoje, especialmente em camadas de identidade, ambientes de e-mail e fluxos de trabalho administrativos de alto valor. Mas ainda não é suficiente presumir que cada aplicativo em um ecossistema SaaS do mundo real esteja pronto para uma implementação completa de passkeys.

Muitas ferramentas de negócios, aplicativos legados, portais de fornecedores e produtos SaaS de nicho ainda dependem de senhas, padrões de MFA ou modelos de recuperação que não oferecem suporte total a passkeys. Mesmo quando uma grande plataforma oferece suporte a passkeys, esse suporte pode não se estender de forma limpa a todos os fluxos de trabalho, caminhos de contingência ou cenários administrativos.

Portanto, o estado da adoção em 2026 é melhor compreendido como uma transição. As passkeys são reais, valiosas e cada vez mais comuns, mas a autenticação híbrida ainda é a realidade operacional para a maioria das empresas.

Como adotar um modelo híbrido para passkeys em empresas

A realidade operacional é que o caminho a seguir não é uma ruptura total com as senhas. É um modelo híbrido que combina passkeys onde elas estão disponíveis com uma forte segurança de senhas onde elas ainda são necessárias.

Um ambiente totalmente sem senhas é possível em configurações mais controladas, especialmente quando uma empresa tem um controle rigoroso sobre seus dispositivos, sistemas de identidade e acesso a aplicativos. Mas essa não é a regra para a maioria das organizações.

Na prática, as equipes ainda dependem de uma combinação de ferramentas e serviços de terceiros: alguns já oferecem suporte a passkeys e outros ainda dependem inteiramente de senhas ou credenciais de reserva para recuperação, administração e fluxos de trabalho legados.

É necessário um modelo de adoção mais prático. As empresas precisam introduzir passkeys onde elas reduzam significativamente os riscos, especialmente em ambientes de alto valor ou propensos a phishing, enquanto continuam a proteger os sistemas que permanecem baseados em senhas. Tão importante quanto isso, elas precisam gerenciar ambos os modelos de uma forma que pareça consistente para os funcionários e não crie lacunas na supervisão ou governança.

Como as passkeys ainda não são universais, o gerenciamento de senhas ainda é essencial. Um gerenciador de senhas empresarial não é mais apenas um lugar para armazenar senhas. Ele se torna a camada que ajuda as empresas a gerenciar a transição de um modelo de autenticação para outro sem perder o controle de nenhum deles.

Para as empresas, isso significa que a adoção de passkeys não é apenas uma questão de tecnologia de autenticação. É também uma questão de como as credenciais são armazenadas, sincronizadas, recuperadas e governadas em toda a organização.

Uma análise mais detalhada da autenticação sem senha para empresas

A maioria das empresas não está mudando de senhas para passkeys em uma única etapa. Elas estão gerenciando um ambiente misto onde algumas contas podem usar passkeys hoje, enquanto outras ainda dependem de senhas, fluxos de início de sessão legados ou credenciais de reserva. Isso torna o gerenciamento de credenciais mais complexo, não menos.

Nesse contexto, a função de um gerenciador de senhas empresarial começa a mudar. Ele não é mais apenas um lugar para armazenar senhas. Ele se torna a camada que ajuda as equipes a gerenciar o acesso baseado em senhas e em passkeys de forma segura e consistente em dispositivos, navegadores e sistemas operacionais.

O Proton Pass for Business pode ajudar as organizações a oferecer suporte tanto a senhas quanto a passkeys. Ele oferece às empresas uma maneira prática de avançar para a autenticação moderna sem perder o controle sobre os sistemas que não estão prontos para seguir no mesmo ritmo.

Para as equipes de TI, isso é importante não apenas do ponto de vista da usabilidade, mas também da governança. A aplicação de políticas, a exigência de A2F, os registros de auditoria, o provisionamento e os controles de compartilhamento baseados em funções tornam-se parte da transição.

É isso que torna a adoção de passkeys uma decisão operacional mais ampla, e não apenas uma atualização da experiência de início de sessão. Se os funcionários criarem e gerenciarem passkeys de forma fragmentada em dispositivos pessoais e ferramentas de consumo padrão, sua empresa poderá acabar com processos de recuperação inconsistentes, baixa visibilidade e propriedade incerta. Uma plataforma gerenciada ajuda a evitar isso, dando à TI uma maneira de dar suporte à adoção enquanto mantém a supervisão.

Por que as empresas sempre precisarão de gerenciamento de acesso

Mesmo em um futuro onde as passkeys sejam suportadas na maioria dos sistemas empresariais, sua organização ainda precisará de uma camada de gerenciamento de acesso. O desafio de gerenciar o acesso não desaparece só porque as senhas desaparecem.

As empresas ainda precisam de uma maneira consistente de armazenar e sincronizar credenciais entre dispositivos, gerenciar a recuperação se um funcionário perder o acesso a um dispositivo, controlar como as credenciais são compartilhadas ou delegadas e manter a visibilidade do acesso à medida que as pessoas entram, mudam de função ou saem da organização.

Nesse cenário, o valor de um gerenciador de senhas empresarial muda de simplesmente armazenar senhas para ajudar a TI a gerenciar o acesso baseado em passkeys de uma forma mais controlada, segura e governável.

Seus primeiros passos para implementar passkeys

Nem todas as contas precisam se mover no mesmo ritmo. As passkeys devem ser implementadas para contas que representariam o maior risco caso fossem comprometidas.

• As contas de administrador geralmente são a primeira prioridade mais clara. Se uma dessas contas sofrer phishing ou for usada indevidamente, o impacto pode ir muito além da conta de um único membro da equipe.
• As equipes financeiras são outra prioridade inicial forte, já que são alvos frequentes de fraudes, redirecionamento de pagamentos e falsificação de identidade de executivos.
• As contas de RH também merecem atenção porque costumam estar próximas a dados sensíveis de funcionários, fluxos de trabalho de integração e sistemas relacionados à identidade.

Também ajuda olhar além da função do cargo na sua organização e pensar na exposição em termos de fluxo de trabalho. As passkeys tendem a fazer mais sentido em ambientes onde os funcionários fazem login regularmente em sistemas de alto valor a partir de dispositivos gerenciados e onde o risco de phishing é uma preocupação real. Isso geralmente inclui plataformas de identidade, ecossistemas de e-mail, consoles de nuvem e outras ferramentas internas sensíveis à segurança.

Por outro lado, aplicativos de baixo risco, ferramentas raramente usadas ou sistemas controlados por fornecedores podem não precisar fazer parte do primeiro lançamento, especialmente quando o suporte ainda é limitado ou os fluxos de recuperação não são maduros. Uma abordagem em fases geralmente gera resultados melhores do que tentar fazer com que cada sistema siga o mesmo cronograma.

Como iniciar seu programa de adoção de passkeys em fases

A introdução de passkeys no seu ambiente de negócios requer um lançamento estruturado. O objetivo é introduzir uma autenticação mais forte onde ela cause o maior impacto, mantendo o restante do ambiente seguro e gerenciável durante a transição.

Um plano de adoção prático geralmente inclui algumas etapas fundamentais:

• Mapeie o seu ambiente de autenticação atual. Comece identificando quais ferramentas já oferecem suporte a chaves de acesso, quais aceitam FIDO2 ou WebAuthn de forma mais ampla, quais estão vinculadas a provedores de identidade que podem impor uma autenticação resistente a phishing e quais ainda dependem apenas de senhas. Isso lhe dará uma visão realista de onde as chaves de acesso podem agregar valor imediato e onde os fluxos de início de sessão atuais ainda precisam ser mantidos.
• Defina como as chaves de acesso serão gerenciadas. Esta é uma das decisões mais importantes da implementação. Você precisará determinar se as chaves de acesso serão administradas por gerenciadores de credenciais nativos da plataforma, ferramentas de terceiros ou uma abordagem híbrida. Um gerenciador de senhas empresarial que também ofereça suporte a chaves de acesso pode ser especialmente valioso aqui, pois ajuda a reduzir a fragmentação entre aplicativos compatíveis e não compatíveis.
• Prepare os funcionários para a nova experiência de login. As equipes não precisam de uma explicação técnica sobre a criptografia por trás das chaves de acesso, mas precisam entender o que muda na prática. Isso inclui como o início de sessão funcionará, quais opções de recuperação existem e como as chaves de acesso se encaixam ao lado das senhas que eles ainda podem precisar em outros sistemas. Uma boa implementação faz com que o comportamento seguro pareça simples e familiar.
• Mantenha o seu programa de senhas forte durante a transição. As chaves de acesso podem reduzir a dependência de senhas com o tempo, mas não eliminam a necessidade de uma segurança de senha robusta nesse ínterim. As empresas ainda precisam de senhas exclusivas, A2F onde apropriado, controles de compartilhamento seguro e uma governança clara de ciclo de vida para os sistemas que ainda não estão prontos para a mudança.

Uma implementação em fases funciona melhor quando trata as chaves de acesso como parte de uma estratégia de autenticação mais ampla, e não como um recurso isolado. As empresas que obtêm o máximo valor das chaves de acesso geralmente são aquelas que as introduzem gradualmente, gerenciam-nas de forma centralizada e mantêm o restante do seu ambiente de credenciais sob controle ao mesmo tempo.

Preocupações comerciais comuns sobre chaves de acesso

O que acontece se um funcionário perder o dispositivo?

Se o dispositivo perdido for o único local onde a chave de acesso está armazenada, o funcionário poderá não conseguir iniciar sessão até que o acesso seja recuperado por meio de outro dispositivo registrado, um autenticador de backup ou um processo de recuperação aprovado. A implementação de chaves de acesso não deve depender de um único dispositivo sem um plano de contingência.

As empresas precisam decidir com antecedência como os funcionários recuperarão o acesso, quem pode aprovar a recuperação e quais contas exigem proteções mais fortes. Um gerenciador de senhas empresarial pode ajudar ao armazenar e sincronizar chaves de acesso em dispositivos autorizados, o que reduz a dependência de um único telefone ou notebook e oferece à empresa uma maneira mais controlada de gerenciar a continuidade do acesso.

As chaves de acesso podem funcionar em vários dispositivos e sistemas operacionais?

Sim, mas a experiência depende de como as chaves de acesso são armazenadas e gerenciadas. Algumas organizações podem se sentir confortáveis com chaves de acesso sincronizadas entre os dispositivos dos funcionários, enquanto outras podem preferir abordagens mais rigidamente controladas ou vinculadas ao dispositivo para funções de maior risco. O ponto importante é que o uso entre dispositivos deve ser planejado deliberadamente, e não presumir que funcionará da mesma maneira em todas as equipes ou ambientes.

E se alguns aplicativos aceitarem chaves de acesso e outros ainda exigirem senhas?

Essa é a realidade para a maioria das empresas hoje. A adoção de chaves de acesso não exige que todos os aplicativos mudem de uma só vez. Na prática, a maioria das empresas operará um modelo de autenticação híbrido por algum tempo, usando chaves de acesso onde houver suporte e mantendo um gerenciamento de senhas forte para os sistemas que ainda não estiverem prontos.

As chaves de acesso tornarão os gerenciadores de senhas desnecessários?

Não exatamente. Mesmo em um ambiente com uso intenso de chaves de acesso, as empresas ainda precisam de uma maneira de gerenciar credenciais de forma consistente entre usuários, dispositivos e sistemas. Isso inclui armazenamento, sincronização, controle de acesso, recuperação, visibilidade e governança. Em outras palavras, a necessidade de gerenciamento de credenciais permanece, mesmo que o tipo de credencial mude.

As chaves de acesso estão prontas para todos os sistemas de negócios hoje?

Não. O suporte expandiu significativamente, especialmente em grandes plataformas e provedores de identidade, mas muitas ferramentas de negócios ainda dependem de senhas, fluxos de MFA mais antigos ou modelos de recuperação de contingência. É por isso que a adoção em fases tende a funcionar melhor do que tentar forçar uma implementação universal cedo demais.

As chaves de acesso eliminam a necessidade de controles de acesso mais amplos?

Não. As chaves de acesso reforçam a autenticação, mas as empresas ainda precisam de confiança no dispositivo, controles de acesso baseados em funções, planejamento de recuperação e uma governança clara. Elas reduzem o risco de phishing e eliminam segredos reutilizáveis, mas funcionam melhor como parte de um modelo de segurança mais amplo.

Então, sua empresa deve ir além das senhas?

Para a maioria das empresas, a resposta é sim, mas por meio de uma transição em fases, em vez de uma substituição imediata. Se a sua empresa já depende de grandes plataformas corporativas com suporte a chaves de acesso, enfrenta um risco significativo de phishing e deseja reduzir sua dependência de segredos compartilhados, então vale a pena começar a adoção de chaves de acesso agora.

Para as empresas, isso geralmente leva a uma conclusão clara: comece a adotar chaves de acesso onde elas oferecem valor de segurança imediato, mantenha um gerenciamento de credenciais forte para tudo o mais e garanta que ambos recebam suporte dentro de uma estratégia de acesso segura e bem governada.

Construindo a ponte das senhas para as chaves de acesso

É assim que se parece uma boa adoção de chaves de acesso nos negócios: sem exageros, sem migração de tudo ou nada, mas uma mudança controlada para a autenticação resistente a phishing onde ela é mais importante.

O suporte corporativo para chaves de acesso agora é uma realidade nas principais plataformas. Mas a cobertura ainda é incompleta o suficiente para que a maioria das empresas precise de uma estratégia de transição gradual em vez de uma mudança imediata.

É aí que o Proton Pass for Business se encaixa naturalmente. Ele ajuda as equipes a gerenciar credenciais com segurança, aplicar políticas de forma consistente e oferecer suporte tanto a fluxos de trabalho de autenticação modernos quanto a sistemas baseados em senha. O gerenciamento de acesso, o gerenciamento de identidade e o monitoramento tornam-se mais fáceis para as equipes de TI: o Proton Pass oferece administração centralizada, provisionamento SCIM, suporte a SSO, registros de auditoria, permissões em nível de cofre e controles de políticas para toda a empresa.

Se a sua empresa está pronta para adotar passkeys e melhorar a segurança de senhas, experimente o nosso gerenciador de senhas empresarial gratuitamente ou entre em contato com a nossa equipe de vendas.