Senhas estão a desaparecer. Passkeys, biometria, autenticação multifactor passam a ser o padrão. A transição já começou.
O ano 2026 marca o ponto em que a indústria de cibersegurança aceitou, publicamente, que a senha morreu. Apple, Google, Microsoft já suportam passkeys nativamente. Bancos africanos avançam com biometria como factor único. A autenticação multifactor passa a ser exigência regulatória, não recomendação.
O conceito unificador: a identidade do utilizador é a credencial. Não há mais “username + password”. Há rosto, impressão digital, dispositivo confiável.
Identidade em cibersegurança: o Problema das Senhas
As senhas tradicionais são falhanço completo de segurança, e ninguém o esconde mais. Utilizadores reutilizam a mesma senha em múltiplos serviços. Senhas robustas são difíceis de memorizar; senhas memorizáveis são fáceis de descobrir. Phishing explora a senha como ponto de falha. Vazamentos de bases de dados expõem milhões de senhas regularmente.
De acordo com a Verizon Data Breach Investigations Report, mais de 80% das violações de segurança envolvem credenciais comprometidas. A senha é, decididamente, o elo mais fraco.
Os Passkeys
A solução emergente: passkeys. Em vez de senha, o utilizador tem chave criptográfica armazenada no seu dispositivo (telemóvel, computador). Para autenticar, prova posse do dispositivo (por biometria ou PIN local).
As vantagens. Impossíveis de phishar: o passkey só funciona no site correcto. Únicos por serviço: o passkey do banco não funciona no email. Vazamento num site não compromete outros. Mais convenientes: autenticação por rosto ou impressão digital é mais rápida que digitar senha. Resistentes a vazamentos: o servidor nunca tem o segredo; só tem a chave pública.
A Adopção
A adopção dos passkeys cresceu rapidamente em 2025-2026. Apple: integração nativa no iOS, iPadOS, macOS. Sincronização via iCloud Keychain. Google: passkeys obrigatórios para contas Google Workspace empresariais a partir de Setembro 2026. Microsoft: suporte completo no Windows e em todos os serviços (Outlook, Teams, OneDrive). Bancos: HSBC, ING, Santander, BPI, e, em África, Standard Bank, FirstRand, e Bank Windhoek começaram a suportar passkeys como alternativa às senhas.
A Biometria
Paralela aos passkeys, a biometria como factor único ganha espaço. Bancos angolanos (BAI, BFA): autenticação por reconhecimento facial em transferências de valor médio. Sem senha, sem PIN. M-Pesa Quénia: testes com autenticação biométrica via impressão digital, eliminando PIN. Aplicações governamentais em Marrocos e África do Sul: cada vez mais usam biometria.
Os Novos Riscos
Mas a transição não resolve tudo. Surgem novos vectores de ataque.
Deepfakes: clonagem de rosto e voz pode comprometer autenticação biométrica. Já há casos documentados de fraude bancária usando deepfake em videochamada.
SIM swapping: roubo de número de telefone continua a funcionar quando MFA depende de SMS.
Comprometimento do dispositivo: se o telemóvel for comprometido (malware), todos os passkeys nele armazenados são acessíveis.
Engenharia social: como o LAPSUS$ demonstrou, o utilizador continua a ser ponto fraco.
A Pergunta Africana
Para utilizadores africanos, a transição traz desafios específicos. Dispositivos partilhados: em muitas famílias, um único smartphone é partilhado por vários membros. Como funciona biometria nesse contexto? Smartphones de gama baixa: sensores biométricos podem ser menos fiáveis em telemóveis baratos. Cobertura intermitente: passkeys sincronizam via nuvem; sem internet estável, podem não funcionar. Literacia digital: utilizadores menos familiares com tecnologia podem rejeitar passkeys, voltando a senhas inseguras.
O que Fazer Agora
Para utilizadores comuns: activar passkeys em todos os serviços que os suportem. Usar gestor de senhas (1Password, Bitwarden) para serviços que ainda usem senhas tradicionais. Activar autenticação multifactor em tudo o que tenha valor (banco, email, redes sociais). Não usar SMS como MFA quando houver alternativa. Apps autenticadoras são mais seguras.
Para empresas: implementar passkeys para acesso de funcionários. Treinar funcionários em reconhecer engenharia social. Auditar regularmente quem tem acesso a quê. Plano de resposta para casos de credenciais comprometidas.
