Segurança digital entra em uma nova fase sem senhas

Durante décadas, as senhas foram o principal mecanismo de proteção no ambiente digital. Elas estiveram presentes em praticamente todas as etapas da nossa vida on-line, seja no acesso ao e-mail às compras, dos aplicativos bancários às plataformas de serviços. No entanto, o avanço das fraudes, dos vazamentos de dados e das técnicas de engenharia social colocou em xeque a real proteção que esse modelo oferece.

Em 2025, pesquisadores do site de cibersegurança Cybernews identificaram mais de 19 bilhões de combinações de logins e senhas expostas em cerca de 30 grandes bases de dados acessíveis na internet, reunindo informações vazadas ao longo de diferentes incidentes ao redor do mundo. A análise do portal indica, ainda, que aproximadamente 94% dessas senhas eram reutilizadas ou duplicadas em múltiplos serviços, enquanto apenas 6% eram combinações únicas, um cenário que amplia de forma significativa o impacto de cada vazamento.Esses números evidenciam como o 

modelo tradicional baseado em senhas se tornou um dos principais vetores de risco no ambiente digital. Mesmo com investimentos em mecanismos de defesa, as credenciais continuam sendo o alvo preferencial em ataques de phishing e engenharia social. E, no setor de pagamentos, essa fragilidade ganha uma dimensão ainda maior.

No sistema financeiro, a vulnerabilidade das senhas soma o problema tecnológico ao risco que afeta diretamente a segurança patrimonial e a confiança dos usuários.

O Brasil registrou 10,8 milhões de tentativas de fraudes até setembro de 2025, segundo o Indicador de Tentativas de Fraude da Serasa Experian, com projeção de mais de 14 milhões de ocorrências até o fim de 2025. Bancos e instituições financeiras são alvo de 6 a cada 10 tentativas de golpes cartões. Trata-se de uma ocorrência a cada 2,2 segundos, dados que revelam escala e sofisticação crescente das ações criminosas.

Diante desse cenário, o setor buscou mitigar riscos com múltiplas camadas de proteção, como autenticação multifator, biometria e monitoramento comportamental. A tokenização, por exemplo, representou um importante avanço ao substituir informações sensíveis, como o BIN do cartão, por códigos temporários sem valor fora daquele contexto, reduzindo o impacto de vazamentos em transações.

No entanto, embora essas soluções fortaleçam a proteção de dados e pagamentos, muitas ainda dependem da senha como ponto inicial de autenticação. E é justamente nessa etapa que reside a fragilidade estrutural. A crescente complexidade das credenciais, com exigência de combinações longas, caracteres especiais e trocas frequentes, aumentou a fricção para o usuário, mas não eliminou o risco.

À medida que os pagamentos se tornam mais integrados, instantâneos e invisíveis na jornada do consumidor, impulsionados por Open Finance, carteiras digitais e embedded finance, a dependência de senhas passa a ser um entrave tanto para a segurança quanto para a experiência. É nesse contexto que surgem as passkeys.

Como funcionam as passkeys

As passkeys - ou chaves de acesso - se baseiam em um modelo criptográfico que substitui o uso de senhas por um sistema de chaves digitais. Quando um usuário se cadastra em um serviço, são geradas duas chaves: uma pública, armazenada nos servidores da empresa, e uma privada, protegida no próprio dispositivo do usuário.

Essa chave privada nunca é compartilhada. Ela só pode ser utilizada após uma autenticação local, como reconhecimento facial, impressão digital ou outro mecanismo de segurança do aparelho. Isso significa que, mesmo em caso de invasão de sistemas, não há senhas para serem roubadas. Sem acesso ao dispositivo, o criminoso não consegue se passar pelo usuário.

O consumidor precisa apenas confirmar sua identidade no próprio celular ou computador para acessar serviços ou autorizar pagamentos, de forma rápida e segura. Para o setor de pagamentos, a adoção de passkeys representa a uma redefinição do modelo de confiança.

Com autenticação mais robusta, reduzem-se significativamente os riscos de sequestro de contas, transações não autorizadas e golpes baseados em engenharia social. Ao mesmo tempo, a eliminação da senha reduz barreiras, aperfeiçoa a experiência e contribui para melhores taxas de conversão.

Além disso, modelos de autenticação mais potentes reforçam estratégias de prevenção à fraude e ajudam as instituições a atenderem exigências regulatórias cada vez mais rigorosas. Em um ambiente de pagamentos instantâneos, Open Finance e serviços financeiros embarcados, a identidade digital se torna um dos principais ativos do sistema. E não é possível construir a próxima geração do setor sobre um modelo de autenticação concebido décadas atrás.

 Por Fabio Noronha, Diretor de Segurança da Informação da Evertec Brasil