Pressione ESC para fechar

Passkeys vs. Seed Phrases: Cripto mais segura que bancos

Passkeys vs. Seed Phrases: Cripto mais segura que bancos

Por muito tempo, o mundo das criptomoedas funcionou como o “Velho Oeste”: ou você armazenava suas 24 palavras em uma placa de metal dentro de um cofre bancário, ou corria o risco de perder tudo por causa de um único link de phishing. Mas, entre 2025 e 2026, ocorreu uma mudança tectônica. A tecnologia Passkeys (padrão FIDO2/WebAuthn), combinada com a Account Abstraction, tornou a gestão de ativos não apenas mais fácil do que no banco móvel, mas também criptograficamente mais segura.

Vamos entender por que sua retina agora é mais confiável do que uma seed phrase e como isso funciona “por baixo do capô”.

Por que a seed phrase é a “Idade da Pedra”

Carteiras tradicionais (EOA — Externally Owned Accounts) como MetaMask funcionam com um único par de chaves. A seed phrase é a sua chave.

  • Ponto único de falha: Se a frase for roubada, o dinheiro se vai. Se você esquecer, os fundos se perdem.
  • Problema do “blind signing”: Você assina transações sem entender o conteúdo, abrindo portas para phishing.
  • Falta de flexibilidade: Você não pode trocar a chave sem transferir todos os tokens para um novo endereço.

Como as Passkeys mudam as regras do jogo

A Passkey é um par de chaves criptográficas gerado no módulo seguro do seu dispositivo (Secure Enclave no iPhone ou TPM no Windows/Android).

  • A chave privada nunca sai do chip.
  • O acesso é ativado apenas por biometria (FaceID/TouchID) ou código de desbloqueio do dispositivo.
  • Sincronização: As chaves são copiadas com segurança para seus outros dispositivos via iCloud ou Google Password Manager, eliminando o risco de perder acesso caso um dispositivo quebre.

Por que é mais seguro que aplicativos bancários

Em aplicativos bancários, sua segurança geralmente depende de um PIN de 4 dígitos ou confirmação por SMS (fácil de interceptar via SIM-swap). A Passkey usa o algoritmo P-256 (secp256r1) — padrão industrial de criptografia. Tentar quebrar essa chave por força bruta em um computador moderno levaria bilhões de anos.

Magia técnica: Como integrar Passkey com Blockchain

O principal problema: a maioria das blockchains (Bitcoin, Ethereum) usa a curva secp256k1, enquanto smartphones modernos para Passkeys usam secp256r1 (P-256). Elas não “entendem” uma à outra diretamente.

A solução veio com o ERC-4337 (Account Abstraction). Agora, sua carteira não é apenas um par de chaves — é um smart contract.

Exemplo de implementação (Código conceitual)

Um módulo de verificação de assinatura Passkey é adicionado ao smart contract da carteira. Quando você coloca o dedo no scanner, o telefone cria uma assinatura que o smart contract verifica na blockchain.


// Solidity
// Exemplo simplificado da lógica de verificação de Passkey em um smart contract
function validateUserOp(UserOperation calldata userOp, bytes32 userOpHash) internal override returns (uint256) {
    // Extrair componentes da assinatura (r, s) e coordenadas da chave pública
    (bytes32 r, bytes32 s, uint256 x, uint256 y) = abi.decode(userOp.signature, (bytes32, bytes32, uint256, uint256));
    // Usar precompile P-256 (RIP-7212) para verificar a assinatura
    // Isso permite que a carteira “entenda” a biometria do seu iPhone
    bool isValid = P256Verifier.verify(userOpHash, r, s, x, y);
    if (!isValid) return SIG_VALIDATION_FAILED;
    return 0;
}

Fato pouco conhecido: Até 2024, verificar essa assinatura no Ethereum custaria uma fortuna (US$ 50–100 por transação). Com o EIP-7212 (precompile para secp256r1) em redes L2 (Base, Optimism, Arbitrum), o custo de verificação se tornou praticamente zero.

Dicas práticas para usuários

Se você quer mudar para o modo “sem frase” hoje, considere as seguintes opções:

  • Escolha da carteira: Use smart wallets de nova geração: Braavos ou Argent (Starknet), Safe com módulo Passkeys ou Coinbase Smart Wallet.
  • Propriedade multifator (2FA reforçado): Você pode configurar o smart contract para que pequenas transações precisem apenas da Passkey do telefone, enquanto grandes transações exijam confirmação de um segundo dispositivo (por exemplo, seu MacBook).
  • Recuperação social: Vincule Passkeys de membros da família ou dispositivos de backup como “Guardians”. Se você perder acesso a todos os seus dispositivos, eles podem restaurar sua carteira sem a seed phrase.

Risco principal: O que os marqueteiros não contam

A única vulnerabilidade das Passkeys é o acesso à sua conta na nuvem (Apple ID ou Google Account). Se um invasor obtiver controle total do seu iCloud e redefinir a senha, ele teoricamente poderia sincronizar suas chaves em seu dispositivo.

Solução: Sempre proteja sua conta Apple ID/Google com uma chave física (ex.: YubiKey) e ative a “Proteção de Dispositivo Roubado” nas configurações do iOS.

Arquitetura WebAuthn: Como o navegador se comunica com a blockchain

Para que um Passkey se torne uma transação na blockchain, os dados passam por uma cadeia que impede a interceptação. Isso é chamado de API WebAuthn.

O processo funciona assim:

  • Challenge: O smart contract ou o backend da carteira envia uma string aleatória (challenge) para o frontend.
  • Autenticação biométrica: O navegador abre a janela do sistema (FaceID/TouchID). Após a biometria ser validada, o dispositivo assina o challenge com a chave privada armazenada no Secure Enclave.
  • Resposta: A assinatura é enviada de volta. Ela inclui não apenas a assinatura criptográfica, mas também o clientDataJSON (que confirma que você está no domínio correto, protegendo 100% contra phishing).

Exemplo de código para desenvolvedores frontend (registro de Passkey):


// JavaScript
// Gerar opções para criar a chave
const publicKeyCredentialCreationOptions = {
    challenge: Uint8Array.from(randomString, c => c.charCodeAt(0)),
    rp: { name: "MyCryptoWallet", id: "wallet.example.com" },
    user: {
        id: Uint8Array.from("user123", c => c.charCodeAt(0)),
        name: "[email protected]",
        displayName: "User One"
    },
    pubKeyCredParams: [{ alg: -7, type: "public-key" }], // -7 significa ES256 (P-256)
    authenticatorSelection: { authenticatorAttachment: "platform" },
    timeout: 60000
};
const credential = await navigator.credentials.create({
    publicKey: publicKeyCredentialCreationOptions
});

Detalhe pouco conhecido: "Client Data JSON" e proteção contra falsificação

Diferente de aplicativos bancários, onde a transação poderia ser interceptada por malware no celular (keyloggers ou alteração de campos), os Passkeys assinam um hash fortemente vinculado ao Origin (domínio).

  • Se você acessar my-wallet-scam.com, seu telefone simplesmente não oferecerá o Passkey criado para my-wallet.com.
  • Na blockchain, o smart contract verifica o campo origin dentro dos dados assinados. Se um hacker tentar usar a assinatura de outro site, o smart contract rejeitará a transação. Este é um nível de proteção que cartões bancários tradicionais não oferecem.

Problema de fragmentação: Soluções de infraestrutura (Turnkey e Privy)

Os desenvolvedores enfrentaram o desafio: como dar ao usuário acesso à mesma carteira no iPhone, Android e Windows, se suas “clouds” (iCloud e Google Drive) não se cruzam?

É aí que entram soluções como Turnkey ou Dynamic. Elas utilizam módulos de hardware altamente seguros (HSM) na nuvem.

  • Seu Passkey desbloqueia o acesso à chave armazenada em um HSM distribuído.
  • Isso permite “uma carteira — vários dispositivos” sem perder segurança.
  • Mesmo que o servidor Turnkey seja hackeado, o invasor não terá acesso aos ativos, porque a assinatura ainda exige sua biometria local.

Chaves de sessão: A mágica da “carteira invisível”

Passkeys combinadas com Account Abstraction permitem Chaves de Sessão. Isso é o que finalmente “mata” a experiência bancária do usuário — de forma positiva.

  • Como no banco: Para cada transferência — SMS, push, código do app. Irritante.
  • Como em cripto com Passkeys: Você usa o FaceID uma vez para criar uma “chave de sessão” temporária (por exemplo, 1 hora ou até $100). Essa chave é armazenada na memória do navegador. Você joga ou negocia em um DEX, e as transações acontecem instantaneamente, sem confirmações constantes. Quando o limite ou o tempo expira, a chave se autodestrói.

Caso prático: Recuperação sem seed phrase

O maior medo: “E se eu perder o celular e o acesso ao iCloud?”

A arquitetura das carteiras Passkey usa Social Recovery ou Email Recovery via ZK-Proofs (provas de conhecimento zero).

Exemplo: Você fornece seu e-mail ao se registrar. Se o acesso se perder, você inicia a recuperação. O smart contract verifica a assinatura digital do seu servidor de e-mail (DKIM). Graças à tecnologia ZK, a blockchain vê que o e-mail realmente chegou até você, mas seu e-mail não é publicado no registro público. Você vincula um novo Passkey ao endereço antigo — e seus fundos retornam. Nenhum papel ou seed phrase necessário.

Chegamos à parte mais empolgante — a configuração prática de segurança e como o conceito de Passkeys transforma sua carteira em um "cofre digital" pessoal, com regras que você mesmo define.

Segurança Programável: Limites e Papéis

Em um aplicativo bancário comum, os limites são definidos pelo banco. Em uma carteira Passkey (ERC-4337), você define os limites no código do smart contract. Isso é chamado de Policy Management.

Como funciona na prática:

Você pode configurar a carteira para exigir diferentes níveis de autorização dependendo do valor:

  • Até $100: Assinatura com chave de sessão (instantâneo, sem biometria).
  • De $100 a $5.000: Um Passkey é necessário (FaceID no telefone).
  • Acima de $5.000: Multi-Passkey necessário (confirmação no telefone e no MacBook).

Exemplo de lógica (Pseudo-code smart contract):


// Solidity
function executeTransaction(uint256 amount, bytes calldata signature) external {
    if (amount <= smallLimit) {
        require(verifySessionKey(signature), "Chave de Sessão Inválida");
    } else if (amount <= mediumLimit) {
        require(verifyPasskey(signature, deviceA), "FaceID necessário");
    } else {
        require(verifyDoublePasskey(signature, deviceA, deviceB), "Autenticação em dois dispositivos necessária");
    }
    _transferFunds();
}

Tecnologia Pouco Conhecida: Paymasters (Gás Pago pelo App)

Um dos maiores problemas das criptos é precisar manter tokens nativos (ETH, MATIC) para pagar o "gás" (taxas). Passkeys combinadas com Account Abstraction resolvem isso através dos Paymasters.

Como sua carteira é um smart contract, ela pode interagir com um intermediário que pagará o gás em ETH por você e cobrará o equivalente em USDC. Ou até tornar a transação gratuita em uma promoção.

Resultado: A experiência do usuário se torna idêntica à de um banco: você apenas clica em "Enviar", coloca o dedo e a mágica acontece. Sem se preocupar com gás.

Comparação: Carteira Passkey vs Aplicativo Bancário

FunçãoAplicativo BancárioCarteira Passkey (WebAuthn)
PropriedadeO banco pode congelar a contaSomente você (chave no Secure Enclave)
LoginPIN/Biometria + SMSBiometria (nível de hardware)
Vulnerabilidade a phishingAlta (sites falsos)Nula (vinculado ao domínio)
RecuperaçãoVia passaporte/filialRecuperação social / ZK-Email
TaxasOcultas / InterbancáriasTransparente (redes L2) / Paymasters

Futuro: Integração com IDs Governamentais

Em 2026, começamos a ver a integração de Passkeys com identidades digitais governamentais (eID). Isso permitirá criar carteiras que confiam apenas nas assinaturas geradas pelo chip do seu cartão de identidade ou passaporte via NFC.

Isso cria um equilíbrio ideal:

  • Privacidade: A blockchain não sabe seu nome, apenas vê a assinatura válida.
  • Confiabilidade: Você nunca perderá acesso aos seus ativos enquanto tiver um documento oficial.

Checklist Prático para Migrar para Passkeys:

  • Crie uma carteira de próxima geração: Experimente Clave, Braavos ou Coinbase Wallet (versão Smart Wallet).
  • Configure backups: Certifique-se de que seu iCloud ou conta Google está protegido com 2FA (chave de hardware como YubiKey é recomendada).
  • Adicione um “Guardian”: Se a carteira suporta Social Recovery, adicione seu segundo endereço ou o de uma pessoa confiável para recuperação.
  • Teste os limites: Defina limites diários automáticos de gasto — isso protegerá seus fundos mesmo que alguém force a desbloquear seu telefone.

Conclusão

Passkeys não são apenas uma substituição prática para seed phrases. Elas representam uma mudança fundamental na segurança. Passamos de “segurança pela memorização” para “segurança pela matemática e chips físicos”. Hoje, possuir milhões em cripto usando um smartphone comum é mais seguro do que mantê-los em um banco que depende de protocolos obsoletos e do fator humano.

FAQ

O WebAuthn ERC 4337 protege as carteiras substituindo as chaves privadas tradicionais por passkeys biométricas. Elas são geradas direto no hardware do dispositivo — seja no Security Enclave ou no chip TPM — usando a curva elíptica secp256r1. Em vez de depender de uma conta comum (EOA), a carteira é estruturada como um smart contract (Account Abstraction). Graças ao padrão de pré-compilação RIP-7212, o contrato consegue verificar de forma nativa na blockchain as assinaturas criptográficas geradas pelo FaceID ou TouchID.

Sim, com certeza. As carteiras de smart contract permitem uma recuperação total sem precisar de nenhuma seed phrase. Isso pode ser feito via sincronização em nuvem multi-sig dentro de ecossistemas confiáveis ou por mecanismos programáveis de social recovery. Usando Relayers descentralizados, verificação de e-mail por ZK-proof (validação DKIM) ou Guardians (Guardiões) definidos on-chain, o usuário consegue alterar suas chaves públicas de autenticação e recuperar o acesso total aos seus fundos sem estresse.

Não, elas são totalmente imunes ao phishing tradicional e ao SIM-swapping. O padrão WebAuthn vincula criptograficamente cada assinatura a um domínio único e específico (clientDataJSON). Mesmo que um hacker intercepte seus dados ou consiga clonar o seu número de telefone, o smart contract rejeita automaticamente qualquer transação maliciosa que não venha da URL verificada. É uma proteção a nível de hardware que os aplicativos de banco tradicional nem sequer têm.
Oleg Filatov
Oleg Filatov

As the Chief Technology Officer at EXMON Exchange, I focus on building secure, scalable crypto infrastructure and developing systems that protect user assets and privacy.

With over 15 years in cybersecurity, blockchain, and DevOps, I specialize in smart contract analysis, threat modeling, and secure system architecture.

At EXMON Academy, I share practical insights from real-world...

...

Deixe seu parecer

O seu endereço de e-mail não será publicado. Campos obrigatórios estão marcados *

Recomendado para você

Backdoors em Smart Contracts: Riscos de Upgradeability

Backdoors em Smart Contracts: Riscos de Upgradeability
Ataques de Supply Chain: Suas criptos estão safe?

Ataques de Supply Chain: Suas criptos estão safe?
As 5 melhores formas de proteger suas frases de recuperação (Seeds)

As 5 melhores formas de proteger suas frases de recuperação (Seeds)
EXMON Academy | Blockchain, trading & segurança EXMON Academy | Blockchain, trading & segurança

A verdadeira liberdade começa com segurança pessoal e anonimato. Criptomoeda: sua arma contra o controle financeiro.

Tag Clouds

#trading #security #anonimato #bitcoin #privacy
Your experience on this site will be improved by allowing cookies.