0 0 
O FIDO2 veio para acabar com as senhas, mas trouxe uma armadilha de governança. Para quem utiliza, a passkey é um símbolo de simplicidade. Para a sua empresa, isso pode significar a completa falta de controle sobre quem tem acesso a quais informações. Nem toda chave de acesso se destina ao rigor empresarial. Compreender isso distingue aqueles que realmente se dedicam à segurança daqueles que apenas seguem o fluxo.
A ilusão da nuvem pessoal
As passkeys que estão sincronizadas são como nômades. Elas habitam o iCloud ou no Google Keychain do funcionário. É perfeito para ele, que muda de iPhone e continua acessando sem nenhum trabalho. Para você, isso é um verdadeiro pesadelo. Isso quer dizer que a credencial da sua empresa está “flutuando” em uma conta pessoal, fora do alcance da sua gestão de TI. Se o ID pessoal dele for invadido, sua proteção é desativada. É Shadow IT puro.
A identidade corporativa não deve ser um apêndice da vida pessoal de ninguém.
Hardware é o caminho
Aqui as coisas mudam. Em dispositivos que utilizam passkeys, a chave privada é criada e armazenada exclusivamente no chip de segurança do dispositivo, onde ela permanece e nunca sai. Ela não faz viagens. Não admite duplicados. É a evidência tangível de que o usuário detém o dispositivo autorizado. Para áreas que são reguladas, essa proteção de hardware é essencial para a sobrevivência, e não um item de luxo. É a única maneira de assegurar que o acesso não seja uma chave criptográfica esquecida em algum backup pessoal de terceiros.
O nó cego da revogação
Dispensar um funcionário que utiliza chaves sincronizadas é como atirar no escuro. Como se certificar de que não há uma cópia funcional em um iPad antigo ou no computador de casa? Não existem promessas.
No modelo atrelado ao dispositivo, a custódia é evidente. O controle está com o seu IdP. A revogação ocorre de forma imediata, precisa e passível de auditoria. Em uma investigação forense, você indica com precisão qual hardware realizou a autenticação. Sem áreas intermediárias. Sem pressupostos.
Segurança descomplicada, mas com responsabilidade definida
Segurança que impede a operação acaba sendo contornada. Ser conveniente ao abrir a guarda é arriscado demais em tempos de ataques rápidos impulsionados por IA. Soluções como o MobilePASS+ superam esse obstáculo, convertendo o smartphone em um autenticador gerenciado.
Você oferece a biometria que o usuário já conhece, mas mantém a chave fixada ao hardware. É uma proteção eficaz contra ataques de interceptação (AiTM), sem que o login se torne um fardo para o funcionário.
Conveniência comercializa para o setor varejista. No ambiente empresarial, o que realmente importa é a custódia e o controle soberano. Se a chave da sua empresa está flutuando em uma nuvem que não é sua, você já perdeu o controle, apenas ainda não foi informado. A única opção que uma governança que se preze pode adotar são as passkeys atreladas ao dispositivo.
