A Microsoft anunciou que, a partir do final de abril e com disponibilidade geral prevista para meados de junho de 2026, irá colocar suporte. Páscoa para autenticação sem senhas e resistente ao phishing em recursos protegidos pela Microsoft Entra desde dispositivos Windows. Essa medida estende a autenticação passwordless não só a dispositivos administrados, mas também a dispositivos pessoais e compartilhados não registrados ou não unidos a Entra, o que supõe uma mudança importante na estratégia de acesso da plataforma empresarial da Microsoft.
A implementação usa credenciais FIDO2 ligadas ao dispositivo e armazenadas no contentor seguro do Windows Hello; os usuários autenticam com métodos locais como reconhecimento facial, impressão ou PIN. Segundo a Microsoft, estas credenciais nunca saem do dispositivo, pelo que não podem ser interceptadas durante ataques de phishing ou por técnicas tradicionais de roubo de credenciais, o que eleva a barreira frente a ondas recentes de campanhas que apontaram para contas SSO de Entra com credenciais roubadas.
Do ponto de vista da administração e da governança, Entra permitirá controlar a implantação através das políticas Authentication Methods e Conditional Access; ou seja, os administradores podem decidir em que cenários e para que grupos se habilita o uso de passkeys, e aplicar exceções ou restrições segundo o estado do dispositivo e o risco do acesso. Isso facilita adotar a tecnologia de forma incremental e direcionada sem expor indiscriminadamente todos os acessos.
O principal ganho técnico é a redução da dependência de senhas e MFA tradicionais que se baseiam em fatores reusíveis ou suscetíveis a phishing. No entanto, implantar passkeys não elimina todos os riscos: a segurança agora depende também da integridade do dispositivo local, das políticas de recuperação das contas e da forma como os fluxos de inscrição e de restauração são geridos. As empresas devem avaliar os vectores complementares de ataque, como o compromisso do dispositivo por malware ou engenharia social dirigido durante a inscrição de um passkey.
Recomendo aos responsáveis pela segurança e TI que incluam esta mudança no seu roteiro de identidade: habilitar e testar Entra passkeys num grupo piloto, atualizar ou criar políticas de Conditional Access que contemplem dispositivos pessoais e compartilhados, exigir inscrição de MFA quando for caso disso, e documentar fluxos de recuperação que não voltem a confiar exclusivamente em palavras-passe. É fundamental instrumentar monitorização de autenticações e alertas para detectar tentativas anormais durante e após a implantação.
Igualmente importante é a formação a usuários: explicar o que é um passkey, como o Windows Hello é usado para autenticar e qual é o procedimento em caso de perda ou roubo do dispositivo. Da perspectiva de continuidade, convém oferecer alternativas autorizadas (por exemplo, chaves hardware administradas ou Microsoft Authenticator) e testes de restauração para evitar bloqueios massivos.
A chegada de Entra passkeys no Windows é coerente com iniciativas mais amplas do setor para abandonar as senhas: organismos e padrões como a FIDO Alliance promovem o uso de chaves públicas e dispositivos seguros, e fornecedores e guias técnicas explicam os benefícios práticos dos passkeys (por exemplo, esta introdução técnica do Cloudflare: Passkeys — Cloudflare). A Microsoft também estabeleceu ações semelhantes dentro de seu Secure Future Initiative, que busca impulsionar medidas como MFA obrigatória em certos cenários e a transição para contas sem senha.
Em conclusão, a extensão de passkeys para dispositivos Windows não administrados fecha uma lacuna operacional importante e reduz a superfície de ataque ligada a senhas, mas não é uma panaceia. A adoção segura exige planejamento, controles de acesso baseados em risco, preparo dos processos de recuperação e vigilância contínua. As organizações que abordem estes pontos poderão melhorar significativamente sua postura de identidade enquanto migram de maneira controlada para um modelo passwordless resistente ao phishing.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...