8 min de leitura
Passkeys sincronizadas vs. chaves de hardware para o seu cofre de identidade
Passkeys sincronizadas circulam entre os seus dispositivos; chaves de hardware ficam atreladas ao dispositivo e sob controle físico. A CardanoWall pode usar qualquer uma para abrir o seu cofre de identidade quando o WebAuthn PRF é suportado — e o Identity Seed continua sendo o seu backup de verdade em qualquer um dos casos.
Passkeys sincronizadas e chaves de hardware abrem o seu cofre de identidade da CardanoWall, mas otimizam para coisas diferentes. Uma passkey sincronizada costuma ser a melhor escolha para o dia a dia, porque acompanha você até um novo celular ou laptop por meio do seu provedor de passkeys. Uma chave de hardware costuma ser melhor para identidades de alto valor, porque fica atrelada ao dispositivo e sob controle físico.
Qualquer uma funciona como fator de abertura do cofre quando o seu navegador, sistema operacional e autenticador suportam a extensão WebAuthn PRF. E, nos dois casos, o fator de abertura é conveniência, não custódia: a sua identidade de verdade é o Identity Seed.
O que é uma passkey sincronizada?
Uma passkey sincronizada é uma passkey que o seu provedor disponibiliza em todos os seus dispositivos.
Esse provedor pode estar embutido no seu sistema operacional, no seu navegador, no seu gerenciador de senhas ou em uma conta de plataforma. O benefício é óbvio: você pega um novo dispositivo, entra no mesmo provedor e a passkey já está lá.
Para a CardanoWall, isso facilita o uso diário. Você entra, aprova a solicitação da passkey e o cofre de identidade cifrado abre — sem digitar o Identity Seed.
A contrapartida é que você herda o modelo de segurança e recuperação de qualquer provedor que sincronize a passkey. A proteção da conta dele, a recuperação entre vários dispositivos e os modos de falha passam a ser seus.
O que é uma chave de hardware?
Uma chave de hardware é um autenticador físico — uma chave de segurança USB, NFC ou BLE que você segura na mão.
Uma chave de hardware atrelada ao dispositivo não se sincroniza sozinha com novos computadores. Para abrir o cofre com ela, você precisa da chave física presente. É exatamente esse o ponto: a credencial não pode existir discretamente em algum lugar onde você não a colocou.
Chaves de hardware combinam bem com identidades sensíveis:
- identidades de redação jornalística ou de recepção de denúncias;
- identidades jurídicas e de prova;
- identidades de empresa de alto valor;
- identidades de API de produção ou de operador de gateway;
- qualquer identidade que não deva depender de sincronização em nuvem voltada ao consumidor.
A contrapartida é operacional. Se você perder a chave, recorre a outro fator registrado ou ao Identity Seed.
Uma ressalva prática: o suporte a PRF para chaves USB/NFC itinerantes é menos uniforme do que para passkeys de plataforma. No início de 2026, o Safari no macOS e no iOS não repassa de forma confiável os dados de PRF para autenticadores itinerantes, então, em dispositivos Apple, uma chave de hardware pode não servir como fator do cofre mesmo quando uma passkey de plataforma serve. Espere ter de testar uma chave de hardware antes de depender dela, em vez de presumir que ela vai funcionar em todo lugar.
Qual delas é mais segura?
Depende do seu modelo de ameaças — não há um vencedor único.
Passkeys sincronizadas são excelentes para resistir a phishing e a vazamentos de bancos de dados de senhas, e reduzem a chance de você perder o acesso quando um dispositivo morre. Chaves de hardware dão um controle mais forte sobre onde a credencial pode existir, o que serve a equipes que precisam de custódia física, rastreamento de ativos, cerimônias de chave ou uma política clara sobre quem pode abrir uma identidade compartilhada.
Tanto conveniência quanto controle são propriedades de segurança. Perder o acesso também é uma falha de segurança. A melhor escolha é aquela que você consegue, de fato, operar corretamente sob pressão.
Como a CardanoWall as utiliza?
Como fatores de abertura do cofre — nunca como a identidade em si.
A sua identidade CardanoWall é o Identity Seed: um único segredo de 32 bytes a partir do qual toda chave é derivada. Uma passkey ou chave de hardware não substitui essa semente. Ela abre o cofre cifrado que a guarda na sua conta, para que você possa entrar em um novo dispositivo sem redigitar a semente toda vez.
O cofre é um único texto cifrado com age, endereçado apenas aos seus fatores WebAuthn-PRF — uma stanza por passkey ou chave de hardware registrada. Não há stanza derivada de senha para ser quebrada por força bruta nem stanza de chave pública para um futuro ataque quântico mirar; a exposição relevante é a busca ao estilo Grover contra chaves simétricas de 256 bits, o que deixa uma margem efetiva de cerca de 128 bits. O serviço guarda o texto cifrado, mas não consegue decifrá-lo. Se um fator consegue produzir a saída PRF exigida durante a cerimônia do navegador, ele consegue abrir o cofre; se não consegue, a CardanoWall não deve registrá-lo. Para saber mais sobre o que esse design protege, veja como as passkeys protegem o seu cofre de identidade.
É por isso que a detecção de capacidade importa antes de você se comprometer com um fator.
Por que o suporte a PRF importa?
Porque nem toda passkey consegue abrir um cofre cifrado.
O WebAuthn simples consegue provar quem você é a um site. Abrir o cofre exige mais: o autenticador precisa entregar ao navegador o material de chave para decifrar o texto cifrado local. Essa capacidade extra é a extensão WebAuthn PRF, e o suporte a ela varia entre navegador, sistema operacional e autenticador.
A CardanoWall detecta a capacidade de PRF antes de registrar um fator, em vez de adivinhar pelo nome do navegador, e direciona você para o caminho somente com semente se a sua configuração não suportar PRF. Esse caminho não é um modo degradado — é a base portátil. O Identity Seed funciona em qualquer dispositivo, em qualquer ferramenta em conformidade, sem nenhum provedor e sem nenhum serviço no meio.
O que os usuários comuns devem escolher?
Normalmente, uma passkey de plataforma sincronizada.
Para uma identidade pessoal do dia a dia, uma passkey sincronizada é a melhor contrapartida: fácil de usar, fácil de recuperar entre dispositivos e evita que você fique colando a semente o tempo todo. Uma configuração sensata é mais ou menos assim:
- salve o Identity Seed em um gerenciador de senhas ou em um lugar seguro e offline;
- adicione uma passkey de plataforma sincronizada;
- adicione um segundo fator se você usa vários dispositivos;
- evite abrir identidades de alto valor em máquinas em que você não confia — e, se precisar, use um modo de computador público que não guarda nada.
A passkey é conveniência. A semente é recuperação e portabilidade. Salve a semente independentemente do fator de abertura que você escolher.
O que as equipes devem escolher?
Chaves de hardware mais custódia documentada da semente.
Equipes costumam se importar menos com a conveniência casual e mais com o controle. Uma identidade de equipe pode ser compartilhada de propósito, mas compartilhar de propósito não é o mesmo que ser fácil de copiar em silêncio. Uma configuração razoável para equipe:
- duas chaves de hardware mantidas por pessoas responsáveis diferentes;
- um Identity Seed impresso em um cofre;
- uma política de acesso por escrito;
- um procedimento de rotação para quando a custódia muda;
- uma identidade separada por fluxo de trabalho principal;
- a desativação de identidades que não devam mais assinar.
Um limite honesto para identidades compartilhadas: qualquer pessoa que detém a semente pode assinar e decifrar como aquela identidade. Chaves de hardware protegem o acesso ao cofre em um determinado dispositivo; elas não tornam uma semente compartilhada parcial ou revogável. Se a própria semente já foi passada adiante, o controle sobre ela se foi — isso é uma propriedade da semente, não do fator de abertura.
O que acontece se você perder uma?
Use outro fator ou recorra à semente.
Se você perde um dispositivo sincronizado, mas ainda tem o provedor de passkeys em outro dispositivo, normalmente consegue continuar. Se você perde uma chave de hardware, remova esse fator: o cofre é cifrado novamente para os seus fatores restantes e o texto cifrado antigo é apagado de forma definitiva. Se todos os fatores se foram, o Identity Seed é o caminho de recuperação. E, se todos eles se foram, o uso futuro daquela identidade também se foi — mas tudo o que ela já publicou continua verificável para sempre, apenas a partir de dados públicos.
A remoção é uma revogação real para o cofre atual, mas não é retroativa — é controle na camada de serviço, não uma máquina do tempo. Se um fator pode ter sido roubado e usado antes de você removê-lo, trate a situação como um possível comprometimento da semente: remover o fator impede que ele abra o cofre cifrado novamente, mas não desfaz nenhum uso anterior. A resposta certa para uma suspeita de comprometimento da semente é criar uma nova identidade e desativar a antiga, não uma redefinição. O ciclo de vida disso — ativa, desativada, excluída — é um tema à parte.
A versão curta
Passkeys sincronizadas são convenientes e circulam entre dispositivos. Chaves de hardware são mais controladas e ficam onde você as coloca. A CardanoWall pode usar qualquer uma como fator de abertura do cofre quando o WebAuthn PRF está disponível.
Para o uso pessoal cotidiano, uma passkey sincronizada normalmente é a opção certa. Para identidades de alto valor ou de equipe, chaves de hardware podem valer a cerimônia extra — onde o PRF funciona com elas. Em todos os casos, salve o Identity Seed: a passkey abre o cofre, mas a semente é a identidade.
Leitura adicional
- FIDO Alliance — Visão geral de passkeys: https://fidoalliance.org/passkeys/
- W3C — Web Authentication (WebAuthn) Level 3: https://www.w3.org/TR/webauthn-3/
- Yubico — A Developer's Guide to Deriving Keys with WebAuthn PRF: https://developers.yubico.com/WebAuthn/Concepts/PRF_Extension/Developers_Guide_to_PRF.html