A Microsoft começou a ativar no Windows a compatibilidade com passkeys para a Microsoft Entra, um movimento que aproxima ainda mais o mundo corporativo à autenticação sem senhas e resistente ao phishing. Em grandes traços, a novidade permite aos usuários criar credenciais ligadas ao dispositivo dentro do recipiente do Windows Hello e usar os mecanismos biométricos ou o PIN do Windows Hello para iniciar sessão em recursos protegidos por Entra.
Trata-se de uma característica optativa que a Microsoft colocará em antevisão pública entre meados de março e finais de abril de 2026 para inquilinos de todo o mundo, com as nuvens governamentais (GCC, GCC High e DoD) recebendo a mesma capacidade em uma janela ligeiramente posterior, de meados de abril em meados de maio. A empresa detalha o anúncio no centro de mensagens da Microsoft 365, onde explica como irá funcionar a implantação e quais passos devem seguir os administradores para a activar: mensagem na Microsoft 365.
O que torna esta implementação em algo relevante para muitas organizações é a extensão da autenticação sem senha a dispositivos Windows que não estão unidos ou registrados em Entra. Até agora, os cenários com equipamentos pessoais ou compartilhados costumavam voltar a depender de senhas; com as passkeys no Windows, esses dispositivos poderão ser autenticados sem transmitir uma senha, usando em seu lugar uma chave criptográfica gerada localmente pelo Windows Hello.
Do ponto de vista técnico, a chave privada nunca abandona o dispositivo. O processo segue os princípios do padrão FIDO2: durante o registro é gerado um par de chaves, a pública fica registrada no serviço e a privada é armazenada de forma segura no recipiente do Windows Hello. Para autenticar, o serviço desafia o dispositivo e a resposta assinada prova a posse da chave privada, sem que esta seja transmitida pela rede. Essa arquitetura dificulta ataques de phishing e roubo de credenciais porque não há uma senha tradicional que copiar ou interceptar. Para quem quiser aprofundar estes princípios, o consórcio FIDO explica bem a base técnica: FIDO Alliance.
A Microsoft também enfatiza como o modelo multi-conta e multi-dispositivo será gerido. Cada conta de Entra deve registrar sua própria passkey em cada equipe: várias contas podem coexistir na mesma máquina, mas as passkeys não são sincronizados entre dispositivos, pelo que se um usuário quiser entrar sem senha de outro PC terá que registrar a passkey nesse computador também. Essa limitação tem vantagens e desvantagens: por um lado, melhora o isolamento e reduz o impacto de uma brecha em outro dispositivo; por outro, implica mais passos de inscrição se uma pessoa usa muitos equipamentos.
Para que uma organização participe na pré-visualização pública, os administradores devem habilitar o método de autenticação Passkeys (FIDO2) nas políticas de Métodos de autenticação de Entra, criar um perfil de passkeys que inclua os AAGUIDs (identificadores que permitem a Entra reconhecer implementações concretas do Windows Hello) e atribuir esse perfil aos grupos de usuários relevantes. Na documentação oficial da Microsoft para desenvolvedores e administradores há guias para configurar passkeys no Azure/Entra que ajudam a entender os requisitos e as melhores práticas: Documentação de passkeys na Microsoft Entra. Se o que interessa é como o Windows gerencia as credenciais e o Windows Hello, a Microsoft mantém material de referência sobre essa pilha em sua documentação do Windows Hello e Hello for Business: Windows Hello (Microsoft).
Este anúncio se encaixa em uma tendência mais ampla: a Microsoft leva tempo impulsionando movimentos para um ecossistema sem senhas. No último par de anos introduziu suporte para passkeys em contas pessoais e acrescentou um gestor de passkeys integrado no Windows Hello com atualizações do Windows 11. Além disso, a empresa confirmou sua intenção de tornar as contas novas da Microsoft “sem senha por defeito”, uma estratégia concebida para reduzir a exposição a ataques por phishing, força bruta ou credential stuffing.
Para as empresas, a chegada de passkeys a Entra no Windows abre oportunidades para reforçar a segurança com uma experiência de usuário mais fluida, mas também coloca decisões de gestão. Activar a pré-visualização exige coordenação entre equipamentos de identidade, suporte e segurança para definir quais usuários e grupos irão testar a função, como monitorar a adoção e como abordar os cenários de recuperação ou perda de acesso quando a credencial está amarrada a um dispositivo. Também convém avaliar a interoperabilidade com outros fornecedores de identidade e dispositivos não-Windows se o modelo for heterogêneo.
Em termos de usabilidade, usar a face, a marca ou o PIN para substituir uma senha pode reduzir fricção e, ao mesmo tempo, aumentar a segurança, porque a verificação local se apoia em hardware seguro e em elementos biométricos ou secretos que não são transmitidos. Mas não é uma bala de prata: as organizações deveriam complementar a implantação de passkeys com políticas claras sobre administração de dispositivos, proteção contra malware e processos de recuperação de contas para usuários que mudem de equipamento ou percam acesso ao seu dispositivo habitual.
A chegada das passkeys à Microsoft Entra no Windows representa um passo importante para ambientes corporativos menos dependentes das senhas e mais resistentes ao phishing. Para equipes de TI é um convite para projetar testes-piloto durante a pré-visualização e preparar a governança necessária; para usuários finais pode supor uma experiência de início de sessão mais rápida e, em muitos casos, mais segura. Aqueles que querem investigar mais sobre os fundamentos técnicos e os padrões por trás desta aposta podem consultar os recursos da Microsoft e do ecossistema FIDO acima mencionados.
Se você quer que você guie com um plano de testes para implementar a pré-visualização em sua organização (que grupos começar, indicadores a medir e como documentar problemas de suporte), diga e preparo um esquema prático e adaptado ao seu ambiente.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...