Passkey é a Nova Hardware Wallet? A Verdade Técnica que o Marketing Não Te Conta

Segurança · Análise técnica
Publicado em maio de 2026 · Atualizado em maio de 2026
Nas últimas semanas, uma narrativa começou a circular forte no ecossistema cripto brasileiro: passkey é “equivalente ou superior” a uma cold wallet. A frase aparece em comunicados de fintechs, threads de fundadores e até em entrevistas justificando o modelo de “autocustódia de verdade”. É uma afirmação tecnicamente sofisticada. E é uma meia-verdade. Como vendemos hardware wallets há anos e acompanhamos a evolução do FIDO2/WebAuthn desde antes de ser cool, achamos importante separar o que é avanço genuíno do que é positioning de marketing.
📌 Neste artigo
  1. O que é uma passkey — sem o filtro do marketing
  2. O que é uma hardware wallet — pra comparação justa
  3. Onde elas parecem similares
  4. Onde elas são fundamentalmente diferentes
  5. A parte ácida: o caso Picnic e como essa narrativa é vendida
  6. Onde cada ferramenta realmente ganha
  7. A arquitetura honesta de segurança em 2026
  8. Tabela comparativa direta
  9. Perguntas frequentes

O que é uma passkey — sem o filtro do marketing

Uma passkey é uma credencial criptográfica baseada no padrão FIDO2/WebAuthn, mantido pela FIDO Alliance e pelo W3C. O conceito é elegante:

  1. Geração localQuando você cria uma passkey, seu dispositivo gera um par de chaves assimétricas (geralmente sobre a curva P-256, também chamada de secp256r1).
  2. Armazenamento em hardware isoladoA chave privada é armazenada num enclave dedicado — Secure Enclave (iOS), StrongBox / Titan M (Android), TPM (desktop).
  3. Servidor só vê a chave públicaA chave privada nunca sai do hardware. O servidor recebe apenas a contraparte pública.
  4. Assinatura via challenge-responsePra autenticar, o servidor manda um challenge, o dispositivo assina localmente (desbloqueando a chave via biometria) e devolve a assinatura. O segredo nunca é exposto.

Tudo isso é verdade e é genuinamente bom. Passkeys eliminam por design várias classes de ataque:

  • Phishing por credencial acaba — a chave é vinculada criptograficamente ao domínio. Site falso não consegue nem iniciar a cerimônia.
  • Vazamento de banco de dados não compromete contas — o servidor só tem a chave pública.
  • Reuso de senha deixa de existir — não existe mais senha.
  • SIM swap pra interceptar SMS 2FA deixa de funcionar — passkey não depende de número de telefone.
Importante: a biometria não é a credencial. Ela é um gatekeeper local — desbloqueia o uso da chave dentro do Secure Enclave. Seu rosto e sua digital não saem do dispositivo, nem são transmitidos pra servidor nenhum. Quem afirma o contrário não entendeu a arquitetura.

Até aqui, tudo certo. Passkey é uma tecnologia bem desenhada e representa o maior salto em autenticação desde o 2FA.

O que é uma hardware wallet — pra deixar a comparação justa

Uma hardware wallet (Trezor, Ledger, SecuX, BitBox, Coldcard) é um dispositivo dedicado, de propósito único, projetado pra uma coisa: gerar e guardar chaves privadas criptográficas offline e assinar transações sob confirmação física.

A arquitetura tem características que passkey em smartphone não tem — e a maioria desses pontos não aparece nos materiais de marketing das fintechs:

  • Chip Secure Element com certificação Common Criteria EAL5+ ou EAL6+ — o mesmo padrão usado em passaportes biométricos e cartões bancários. Trezor Safe 3, Ledger Nano S Plus, Ledger Flex e SecuX usam chips com essa classe de proteção.
  • Firmware mínimo e auditável. Trezor é 100% open source. Ledger publica boa parte do stack. A superfície de ataque é uma fração ínfima do que existe num iOS ou Android cheio de apps.
  • Sem conexão de rede direta. O dispositivo não tem Wi-Fi, não tem 4G, não tem stack TCP/IP. Conecta por USB ou NFC ou, em modelos como Coldcard, apenas via QR code / cartão SD.
  • Tela própria, controlada pelo firmware do secure element. Esse é o ponto crítico que vamos voltar a tocar adiante.
  • Recuperação por seed phrase offline. 12, 24 ou 20 palavras escritas em papel ou gravadas em metal. Sem nuvem. Sem e-mail. Sem janela de “7 dias pra cancelar”.

Não é “mais um device cripto”. É uma categoria diferente de hardware.

Onde elas parecem similares — o ponto de partida do discurso vendedor

O argumento das fintechs costuma seguir esse roteiro:

“Sua chave privada fica trancada dentro do dispositivo, inacessível por qualquer app. Ela só é liberada via biometria e assina transações diretamente. É similar a uma cold wallet.

Lendo rápido, parece convincente. Vamos listar o que de fato é parecido:

  • Ambas usam criptografia assimétrica.
  • Ambas mantêm a chave privada num enclave de hardware isolado.
  • Ambas usam um modelo de challenge-response.
  • Ambas têm alguma forma de resistência a phishing.

Se a análise parar aí, dá pra defender “equivalente”. Mas a análise não pode parar aí, e quem para aí está vendendo, não explicando.

Onde elas são fundamentalmente diferentes

1. Sincronização na nuvem é o calcanhar de Aquiles

Passkeys, na implementação prática de iCloud Keychain e Google Password Manager, sincronizam entre dispositivos. É vendido como conveniência (“trocou de celular? tá tudo lá”). Olha o que isso significa:

A chave privada — que, segundo o marketing, “nunca sai do hardware” — é exportada (criptografada end-to-end, sim) pra nuvem da Apple ou do Google, e de lá distribuída pros seus outros dispositivos. Sua segurança passa a depender também da segurança da sua conta Apple ou Google.

Atenção: os próprios artigos técnicos das fintechs admitem isso — geralmente na metade pra baixo do texto, depois que o leitor já comprou a tese. Uma fintech recente escreveu literalmente: “a segurança da passkey passa a depender também da segurança da sua conta Apple ou Google”. Mas o título do artigo era sobre “auto-custódia de verdade, sem ninguém no meio”.

Cold wallet não tem essa dependência. Sua Trezor não tem conta iCloud. Não tem 2FA pra ser burlado. Não tem detecção de anomalia pra falhar. Não tem reset de senha por e-mail. A chave existe num único pedaço de silício que você controla fisicamente. Isso é uma diferença categórica, não gradual.

2. Tela confiável (trusted display) — o ponto que ninguém comenta

Esse é o argumento mais importante e o menos discutido. Preste atenção.

Numa hardware wallet, quando você vai assinar uma transação:

  1. O computador/celular manda os dados da transação pro device.
  2. O firmware do device renderiza na tela do próprio device (controlada pelo secure element) o endereço de destino, o valor, a taxa.
  3. Você verifica os dados ali, na tela dedicada.
  4. Aperta o botão físico pra confirmar.

Resultado: mesmo que seu computador esteja completamente comprometido por malware, ele não consegue te enganar sobre o que está sendo assinado. Se o malware trocar o endereço de destino no clipboard, o endereço na tela do Trezor vai mostrar a alteração e você cancela.

Numa passkey em smartphone, quando você vai assinar uma transação:

  1. O dApp ou app renderiza a tela de confirmação.
  2. Essa tela é renderizada pelo mesmo OS que roda todos os outros apps do seu celular.
  3. Você aprova com biometria.
  4. O Secure Enclave assina.
O Secure Enclave protege a chave. Ele não protege o que você está vendo. Um malware com privilégios suficientes — ou um app malicioso que você instalou sem perceber — pode em tese mostrar uma transação enquanto pede a assinatura de outra. A chave nunca foi vazada. Mas o que você assinou não foi o que você pensou que estava assinando.

Isso tem nome na literatura de segurança: WYSIWYS — What You See Is What You Sign. Hardware wallet resolve por design. Passkey em smartphone, não. Quando uma fintech compara passkey a cold wallet sem mencionar esse ponto, ela está omitindo a diferença técnica mais relevante. Não é detalhe. É o detalhe.

3. Superfície de ataque do dispositivo

Seu smartphone roda centenas de apps com permissões variadas. O kernel do iOS tem milhões de linhas de código. Apple e Google publicam CVEs todo mês corrigindo vulnerabilidades. WebKit, sandbox de apps, drivers de hardware, frameworks de Bluetooth — cada um é potencial vetor.

Uma Trezor Safe 3 roda firmware com algumas dezenas de milhares de linhas de código, totalmente auditadas pela comunidade open source, sem stack de rede, sem driver de Wi-Fi, sem WebKit. Comparar a robustez de segurança das duas plataformas pela métrica do “tem chip seguro” é como comparar a segurança de um cofre num quartel com a de uma gaveta com chave numa casa — só porque as duas “têm fechadura”.

4. Modelo de recuperação — o vetor que volta pela porta dos fundos

Esse aqui é o mais desonesto na narrativa atual.

Hardware wallet recupera via seed phrase: 12 ou 24 palavras anotadas em papel ou metal, guardadas offline. Não tem janela de tempo, não tem e-mail, não tem suporte pra contatar. Você tem o seed ou não tem.

Passkey em fintech recupera… como? Depende da implementação, mas o padrão emergente é: recuperação via e-mail com janela de proteção de alguns dias.

Ou seja: a fintech vende “eliminamos o e-mail como vetor raiz” — e enfia o e-mail de volta no fluxo de recuperação, geralmente em letra miúda mais pro fim do artigo técnico. Sim, há uma janela de 7 dias pra você cancelar. Adivinha o que o atacante faz nesse meio tempo? Te bombardeia de e-mails fraudulentos pra te confundir, ou simplesmente espera você viajar, dormir, perder o celular ou ir pro hospital.

A diferença prática: hardware wallet realmente elimina o e-mail do threat model. Passkey de fintech transforma o e-mail num vetor secundário com timer. Não é a mesma coisa. Marketing trata como se fosse.

5. Coerção física e modelos de proteção avançados

Hardware wallet permite:

  • PIN obrigatório, com wipe automático após N tentativas erradas.
  • Passphrase (25ª palavra) que cria carteiras escondidas — você pode revelar uma carteira “engodo” sob coerção e proteger o saldo real.
  • Multi-sig: distribuir a chave entre múltiplos devices em locais distintos.

Passkey biométrica em smartphone, por design, é trivialmente acionável sob coerção: apontam o telefone pra sua cara. O lockdown mode existe nos OSes modernos, mas exige que você lembre de ativar antes do incidente. Pra ataque oportunista, irrelevante. Pra threat model envolvendo coerção (sequestro express, situação cada vez menos rara no Brasil), o modelo da hardware wallet com passphrase é em outra categoria.

A parte ácida: por que essa narrativa está sendo vendida assim

O caso recente: o anúncio da Picnic

Pra concretizar o argumento, vale citar o exemplo mais claro do momento. Em março de 2026, a fintech brasileira Picnic anunciou que passaria a usar passkeys como mecanismo padrão de autorização de transações, com a tese de que se trata de “auto-custódia de verdade” e que o modelo é “similar a uma cold wallet”, com proteção “equivalente ou superior”.

O artigo técnico deles é, em boa parte, correto: descreve bem o FIDO2/WebAuthn, explica o Secure Enclave, esclarece que biometria não é a credencial transmitida. Pra usuário que estava em senha + e-mail, é um upgrade real e bem-vindo — vamos dar o crédito que é devido.

O problema é a conclusão. A própria Picnic admite, na metade pra baixo do mesmo artigo, três limitações que demolem a equivalência com cold wallet:

  • Passkeys sincronizam via iCloud Keychain e Google Password Manager — ou seja, “a segurança da passkey passa a depender também da segurança da sua conta Apple ou Google” (palavras deles).
  • A recuperação acontece via e-mail com janela de 7 dias — “isso reintroduz o email como fator” (palavras deles).
  • Não funciona em browsers in-app (Instagram, X, TikTok).

São admissões honestas, escritas com clareza. Mas estão no fim do artigo, depois do título “auto-custódia de verdade, sem ninguém no meio” e do CEO afirmando que passkeys são “equivalentes ou superiores” a cold wallet. Quem só lê o título e o lead sai com uma impressão que o próprio texto técnico desmente.

Não estamos pegando no pé da Picnic especificamente — o padrão se repete em várias outras fintechs cripto. Citamos eles porque foi o anúncio mais comentado do mês e porque o material deles, no mérito técnico, é dos melhores do setor. Justamente por isso o ponto fica mais claro: mesmo quando a engenharia é boa, o marketing constrói uma conclusão que a engenharia não sustenta.

A estrutura típica desse argumento

Vamos falar honesto. As fintechs que pintam passkey como “equivalente a cold wallet” não estão mentindo no sentido jurídico — boa parte dos artigos técnicos delas é correta nos detalhes individuais. O que elas estão fazendo é construir uma conclusão que os detalhes não sustentam, contando com o fato de que o leitor médio vai ler o título, o lead e talvez os primeiros três parágrafos.

A estrutura é mais ou menos sempre essa:

  • Título: “É auto-custódia de verdade, sua chave nunca sai do dispositivo.”
  • Lead: “Comparável ou superior a cold wallet.”
  • Meio do texto: descrição técnica correta do FIDO2.
  • Penúltima seção (a que o leitor não chega): “Bom, na verdade sincroniza via iCloud, a recuperação volta a depender de e-mail, e não funciona em browser in-app.”
  • Conclusão: “Mas pra fraude em massa, é ordens de magnitude melhor.”
O que está faltando nesse argumento é a admissão de que “fraude em massa” não é o threat model relevante pra quem está guardando economia significativa em cripto. Pra esse usuário, o threat model inclui malware direcionado, comprometimento de conta Google, engenharia social específica e — sim — coerção física. Pra todos esses, hardware wallet continua sendo o padrão correto.

E há um conflito de interesse óbvio: fintech ganha dinheiro mantendo o usuário dentro do app dela, transacionando. Hardware wallet é um produto que o usuário compra uma vez e leva embora. Adivinha qual dos dois modelos de negócio incentiva a narrativa “você não precisa de hardware wallet, nosso app já é cold wallet”? Não é coincidência. É business model.

Onde cada ferramenta realmente ganha

A boa notícia: não é uma escolha excludente. As duas tecnologias servem pra coisas diferentes.

Passkey é a escolha certa pra:

  • Login em exchanges, brokers e fintechs.
  • Substituir SMS 2FA (que é furado).
  • Autenticação de e-mail, conta Google, redes sociais.
  • Apps de pagamento e cartão.
  • Carteiras de uso cotidiano com saldo baixo.

Pra esses casos, passkey é genuinamente excelente. Resistência a phishing por design, UX que o usuário leigo consegue usar, sem seed phrase pra perder.

Hardware wallet é a escolha certa pra:

  • Reservas de longo prazo — qualquer saldo que você não pretende mexer essa semana.
  • Valores significativos (a régua varia, mas pense em qualquer coisa acima de alguns mil reais).
  • Auto-custódia genuinamente sem terceiros — nenhuma dependência de Apple, Google, fintech, recuperação por e-mail.
  • Herança e planejamento sucessório (seed phrase é transferível, conta Apple não é).
  • Multi-sig.
  • Qualquer caso em que perder o saldo seria inaceitável.
Detalhe que poucas pessoas sabem: vários modelos de hardware wallet também funcionam como passkey/FIDO2. A Trezor Safe 3 suporta FIDO2 nativamente. As chaves Key-ID e PUFido que vendemos são justamente isso — autenticadores FIDO2 dedicados, em hardware, sem sincronia em nuvem. Você consegue a mesma resistência a phishing das passkeys do iCloud, sem colocar suas chaves na nuvem da Apple.

A arquitetura honesta de segurança em 2026

Se a gente fosse desenhar uma arquitetura de segurança séria pra um usuário cripto brasileiro em 2026, ficaria assim:

  1. Hardware wallet pra guarda das chaves principaisTrezor Safe 3, Ledger Nano Gen5, SecuX V20/W20. Seed phrase em metal (KriptoSteel, Keep Metal), guardada em local seguro, idealmente em mais de uma localização.
  2. Passphrase (25ª palavra) ativada na hardware walletPra proteção contra coerção. Carteira “engodo” sem passphrase, carteira real com passphrase.
  3. Chave FIDO2 física como 2FA dos logins críticosYubikey, Key-ID, PUFido ou a própria Trezor Safe 3 em modo FIDO2 — pra exchange, Gmail, Apple ID, conta Google.
  4. Passkey de smartphone como conveniênciaPra autenticação do dia a dia em apps não críticos.
  5. Saldo de uso cotidiano em wallet de smartphoneLimitado ao que você toparia perder. Aqui passkey é ótima escolha.

Esse setup elimina simultaneamente os vetores de phishing, SIM swap, comprometimento de e-mail, sincronia em nuvem e tela não confiável. Nenhuma solução isolada faz isso.

Tabela comparativa direta

Critério Passkey (smartphone) Hardware Wallet
Chave em enclave isolado Sim Sim (chip EAL5+/EAL6+)
Resistência a phishing por domínio Sim (nativo) Parcial (depende do firmware)
Chave fica em um único device Não (sincroniza via iCloud/Google) Sim
Dependência de conta Apple/Google Sim Nenhuma
Trusted display (WYSIWYS) Não Sim
Air-gap real Não Sim
Recuperação sem nuvem nem e-mail Não (depende de e-mail) Sim (seed phrase offline)
Proteção contra coerção (passphrase) Não Sim
Multi-sig Limitado Sim
UX pra usuário leigo Excelente Curva de aprendizado
Custo Grátis R$ 400–2.500

Conclusão

Passkey é uma tecnologia ótima. Está substituindo senha. Vai eliminar SMS 2FA. Tem futuro garantido. Quem entende de autenticação celebra a chegada do FIDO2 ao mainstream.

Mas passkey não é cold wallet. As duas tecnologias compartilham primitivas criptográficas e nada mais. O modelo de ameaça, o modelo de confiança, a superfície de ataque, o modelo de recuperação, o modelo de display — tudo isso é diferente.

Quando uma empresa te vende a equivalência das duas, ela está vendendo uma simplificação que beneficia o modelo de negócio dela. Quem leva a engenharia a sério precisa enxergar a diferença.

A carteira sempre foi sua, é verdade. Mas se a chave está sincronizada via iCloud, com recuperação por e-mail e tela controlada pelo iOS, a chave está num lugar diferente de onde estaria numa hardware wallet. E essa diferença importa exatamente nas horas em que segurança importa.

Construa a arquitetura de segurança certa

Hardware wallets Trezor, Ledger e SecuX + chaves FIDO2 Yubico, Key-ID e PUFido. Envio de São Paulo para todo o Brasil, com suporte em português e cursos completos de segurança.

Ver Hardware Wallets →

Perguntas Frequentes

Passkey substitui hardware wallet?
Não. As duas usam primitivas criptográficas parecidas, mas têm modelos de ameaça, superfície de ataque e modelos de recuperação completamente diferentes. Passkey é excelente pra logins do dia a dia. Hardware wallet continua sendo o padrão pra guarda de valor significativo em cripto.
A chave da passkey realmente fica no Secure Enclave?
Sim, mas com uma ressalva importante: na implementação prática de iCloud Keychain e Google Password Manager, a chave é sincronizada (criptografada end-to-end) entre dispositivos. Isso significa que a segurança da passkey passa a depender também da segurança da sua conta Apple ou Google. Hardware wallet não tem essa dependência.
O que é trusted display e por que isso importa?
Trusted display é a tela do próprio device de hardware wallet, controlada pelo firmware do secure element. Ela mostra o endereço de destino e o valor da transação antes de você confirmar. Mesmo com o computador comprometido por malware, ele não consegue mentir sobre o que está sendo assinado. Passkey em smartphone não tem isso — a tela é renderizada pelo mesmo OS que pode estar comprometido.
Passkey resiste a phishing?
Sim, e essa é uma das principais vantagens. Passkeys são criptograficamente vinculadas ao domínio onde foram criadas. Site falso não consegue iniciar a cerimônia de autenticação. Esse é um ganho genuíno em relação a senha + 2FA por SMS.
Por que dependência de e-mail na recuperação é problema?
Várias fintechs vendem “eliminamos o e-mail como vetor raiz”, mas implementam recuperação via e-mail com janela de proteção de alguns dias. Isso reintroduz o e-mail como vetor secundário com timer. Hardware wallet recupera via seed phrase offline (12 ou 24 palavras), sem nuvem, sem e-mail, sem janela de tempo.
Hardware wallet também pode ser usada como passkey?
Sim. A Trezor Safe 3 suporta FIDO2 nativamente. As chaves Key-ID, Yubico e a PUFido (vendidas na KriptoBR) são autenticadores FIDO2 dedicados em hardware, sem sincronia em nuvem. Você consegue a mesma resistência a phishing das passkeys de iCloud sem colocar suas chaves na nuvem da Apple.
Qual é o setup ideal de segurança em 2026?
Hardware wallet (Trezor, Ledger, SecuX) pra guarda das chaves cripto principais, com seed em metal e passphrase ativada. Chave FIDO2 física (Yubikey, Key-ID, PUFido, Trezor Safe 3) como 2FA dos logins críticos. Passkey de smartphone pra conveniência em apps não críticos. Saldo de uso cotidiano em wallet de smartphone, limitado ao que toparia perder.
Passkey protege contra coerção física?
Não. Biometria é trivialmente acionável sob coerção — basta apontar o telefone pra sua cara. Hardware wallet com passphrase (25ª palavra) permite criar carteiras escondidas: você pode revelar uma carteira engodo sob coerção e proteger o saldo real. Pra threat model envolvendo sequestro, é em outra categoria de proteção.
Referências: FIDO Alliance — Passkeys Overview · W3C — Web Authentication Level 3 · Trezor — Secure Element · Ledger Academy — Secure Element

Compartilhe este artigo nas redes sociais

Veja outras categorias

Artigos relacionados

A KriptoBR é a Revendedora Oficial da Trezor, Ledger, SecuX, Yubico e Key-ID na América Latina. Seus produtos são sempre enviados com rastreio.

KriptoBR - Desde 2017 atuando no mercado de criptomoedas

Política de troca
Devolução e reembolso

2025 ©KriptoBR CNPJ 37.992.766/0001-00.

Produzido por: Agência Carti

CUPOM

EXCLUSIVO

TA ON!

Adicione uma camiseta no carrinho para liberar o desconto.
Depois aplique o cupom CAMISETAGRÁTIS no checkout.
Ganhe até R$ 79,90 OFF em compras acima de R$ 799.