8 min de leitura
O que acontece se você remover uma passkey no CardanoWall?
Remover uma passkey cifra novamente seu cofre de identidade atual do CardanoWall para os fatores restantes e exclui em definitivo o texto cifrado antigo — revogação real daqui para frente, mas que não desfaz um acesso que já aconteceu.
Remova uma passkey e o CardanoWall cifra novamente seu cofre de identidade atual para os fatores que você ainda tem, e então exclui em definitivo o texto cifrado antigo. A passkey que você removeu não consegue mais abrir o cofre que passa a existir depois disso. Isso é revogação genuína para os desbloqueios futuros.
O que ela não é, no entanto, é retroativa. Se essa passkey já tiver sido usada para abrir o cofre enquanto era válida, a remoção não consegue voltar no tempo e desfazer isso. Nesse caso, você trata a identidade como comprometida, não apenas como “um fator a menos”.
Este artigo explica exatamente o que muda, o que permanece igual e quando uma remoção basta versus quando você precisa de uma nova identidade.
O que a passkey realmente protege?
Ela protege o acesso ao seu cofre de identidade hospedado — nada mais, nada menos.
O cofre é um pacote cifrado que guarda as Identity Seeds que sua conta possui e os rótulos privados que você deu a cada uma. Cada passkey que você registra é um fator de desbloqueio para esse pacote. O servidor armazena apenas texto cifrado que não consegue ler; suas passkeys são a única coisa capaz de abri-lo. (Para o panorama completo de como esse cofre é construído, veja como o CardanoWall armazena sua identidade e como as passkeys protegem seu cofre de identidade.)
A distinção que importa aqui: sua identidade é a semente, não a passkey. Uma passkey é apenas uma forma conveniente de abrir a cópia cifrada da semente. Removê-la muda quem pode abrir essa cópia — não muda a identidade em si.
O que acontece durante a remoção?
O cofre é cifrado novamente para os fatores que permanecem. A sequência é:
- Você desbloqueia o cofre com um fator válido.
- O CardanoWall remove a passkey selecionada do conjunto de destinatários.
- Seu navegador reconstrói o texto cifrado do cofre para os fatores restantes.
- A linha atual do cofre é substituída pelo novo texto cifrado e um número de versão maior.
- O texto cifrado antigo é excluído em definitivo.
- O registro da credencial removida é excluído.
A ordem é imposta no servidor: uma credencial que ainda apareça no conjunto de destinatários do cofre não pode ser excluída. A revogação tem que ser real — nenhum texto cifrado que a passkey removida possa abrir tem permissão de sobreviver — nunca apenas cosmética. Assim que a chamada retorna, a passkey removida não abre nada que ainda exista.
Por que excluir o texto cifrado antigo importa tanto?
Porque texto cifrado antigo ainda pode ser aberto por fatores antigos.
Se cada cópia histórica do cofre fosse mantida para sempre, remover uma passkey seria pura encenação. O fator removido ainda conseguiria decifrar uma versão mais antiga do cofre, e essa versão mais antiga contém exatamente as mesmas sementes. Você teria “removido” uma chave que continua funcionando em uma cópia parada ali mesmo no armazenamento.
É por isso que o cofre hospedado é uma única linha atual que é substituída, e não um histórico somente de acréscimo. A exclusão em definitivo é o que dá força à remoção de fatores. Janelas comuns de rotação de backup podem existir em uma infraestrutura real, mas o produto foi projetado para nunca manter texto cifrado histórico do cofre como recurso.
E se for minha última passkey?
Então o próprio cofre é excluído.
Se nenhum fator permanece, o CardanoWall não mantém texto cifrado que nada registrado consiga abrir. A conta recorre ao caminho de entrada da semente: você recupera o acesso colando sua Identity Seed.
Isso está tudo bem se você salvou sua semente. É perigoso se você não salvou. Remover seu último fator sem uma semente salva pode bloquear seu uso futuro daquela identidade — não porque algo tenha quebrado, mas porque você removeu todos os caminhos de volta. A semente é o backup de verdade; o cofre é apenas uma camada de conveniência por cima dela. (Por que a semente ainda importa trata disso em profundidade.)
Remover uma passkey afeta minhas provas publicadas?
Não. Os registros Label 309 publicados permanecem na cadeia e continuam verificáveis.
A validade de uma prova não depende das suas passkeys atuais, da sua conta atual nem do estado atual do seu cofre. Qualquer pessoa com a referência da transação pode verificá-la usando apenas os metadados na cadeia, os bytes do conteúdo se necessário, e um explorador público de Cardano — sem login no CardanoWall. Se uma prova era verificada antes de você remover uma passkey, ela é verificada do mesmo jeito depois.
A remoção de passkey rege o acesso futuro ao seu cofre de identidade. Ela não reescreve nada que já esteja na cadeia.
Acabei de perder uma passkey. O que devo fazer?
Remova-a sem demora.
Se você perdeu um celular, um notebook ou uma chave de segurança em hardware, remover a passkey é a primeira atitude certa. Depois que o cofre é cifrado novamente sem aquele fator, o dispositivo perdido não consegue mais abrir o cofre atual.
Se você tem certeza de que o fator perdido nunca foi usado por outra pessoa — uma chave que caiu atrás de uma mesa, um celular formatado antes da revenda — removê-la pode ser tudo de que você precisa. Não é preciso rotacionar a identidade.
Se você não consegue descartar que alguém o tenha usado, continue lendo.
E se a passkey pode ter sido roubada e usada?
Leve o risco a sério e seja preciso sobre o que uma passkey roubada, sozinha, pode e não pode fazer.
Uma passkey roubada por si só não é o mesmo que uma semente roubada. Para abrir seu cofre, um invasor também precisa do texto cifrado do cofre (que só trafega dentro de uma sessão autenticada) e de qualquer verificação de usuário que o autenticador exija — uma biometria ou PIN do dispositivo. Uma passkey por conta própria guarda uma chave, não o texto cifrado que ela desbloqueia.
Mas se o invasor pode ter usado a passkey antes de você removê-la — dentro de uma sessão sequestrada, contra o cofre ativo — então ele pode ter aberto o cofre e lido sua Identity Seed. Uma vez que a semente é exposta, a identidade está totalmente comprometida: quem detém a semente pode derivar toda chave privada, decifrar registros selados endereçados àquela identidade e assinar novos registros sob ela.
Nesse cenário, remover a passkey não basta. A revogação protege o cofre daqui para frente; ela não consegue “desexpor” uma semente que já saiu.
O que devo fazer após uma possível exposição da semente?
Migre para uma nova identidade. A resposta a um comprometimento é uma identidade nova, não uma redefinição no lugar da antiga — porque a semente e a identidade estão ligadas de forma permanente, não existe uma operação de “trocar a semente”.
Se você não consegue descartar a exposição da semente:
- crie uma identidade nova e salve a nova Identity Seed dela;
- registre novos fatores de passkey nela;
- desative a identidade comprometida no CardanoWall (isso bloqueia novas assinaturas e publicações, mas ainda permite que você decifre qualquer coisa selada para ela);
- pare de compartilhar os endereços de recebimento antigos;
- republique suas novas chaves públicas em todos os lugares onde você publicou as antigas — perfis públicos, seu próprio site, registros DNS,
.well-knowne seus contatos; - publique um registro de substituição onde isso ajudar os leitores subsequentes.
Uma semente é uma identidade. (Ativa, desativada, excluída percorre cada estado do ciclo de vida.) Observe o limite honesto: qualquer coisa já selada para as chaves comprometidas permanece decifrável por quem as detém — Cardano e Arweave não mantêm nenhuma primitiva de revogação para conteúdo já publicado. A desativação e um ponteiro de substituição são sinais para as partes que confiam em você, não um recolhimento de dados passados.
O que é a fixação de versão e por que ela existe?
É uma defesa contra um servidor que reapresenta um cofre desatualizado.
A linha do cofre carrega um número de versão que só aumenta. Seu navegador lembra a versão mais alta que já viu. Se um servidor comprometido tentasse devolver um texto cifrado de cofre mais antigo — um que uma passkey já removida ainda conseguisse abrir — o cliente consegue notar que a versão retornada é menor do que o esperado e recusá-la.
Isso é defesa em profundidade, não um substituto para a custódia da semente. Fecha uma brecha específica: a reapresentação de um cofre desatualizado contra um fator removido. Não ajuda em nada se você perder a semente e todos os fatores de desbloqueio de uma só vez.
A versão curta
Remover uma passkey cifra novamente seu cofre de identidade atual para os fatores restantes e exclui em definitivo o texto cifrado antigo. A passkey removida não consegue mais abrir o cofre que existe depois da remoção.
A única ressalva: se aquele fator pode já ter sido usado enquanto era válido, presuma que a semente pode ter sido exposta e migre para uma nova identidade. A revogação protege o futuro. Ela não consegue mudar o passado.
Leitura complementar
- Sua identidade é uma semente e por que a semente ainda importa — o artefato durável por trás de toda passkey.
- Como o CardanoWall armazena sua identidade e como as passkeys protegem seu cofre de identidade — a construção do cofre em detalhes.
- Passkeys sincronizadas vs chaves em hardware — escolhendo fatores e entendendo seus modelos de recuperação.
- Ativa, desativada, excluída — o ciclo de vida da identidade que você usa durante uma resposta a comprometimento.
- O padrão Label 309 e suas implementações de código aberto ficam em github.com/cardanowall; o padrão foi submetido ao processo CIP da Cardano e está sob revisão dos editores de CIP.