Senhas e MFA: Migrando para Passkeys sem Quebrar sua Recuperacao

A primeira vez que um cliente me ligou as 23h porque o CFO tinha jogado o iPhone na piscina e perdido acesso a tudo, ficou claro que passkey sem plano de recuperacao e so um modo elegante de se trancar pra fora. Passkeys resolvem o problema certo: matam reuso de senha, phishing reverso e a maior parte do MFA fatigue que dispara incidentes hoje. Mas a migracao mal planejada cria uma classe nova de incidente: usuario legitimo bloqueado, sem canal de reset confiavel, com helpdesk virando vetor de engenharia social. O ponto deste post e tratar passkey como projeto de identidade, nao como botao novo no login.

Tecnicamente, uma passkey e um par de chaves WebAuthn (normalmente ES256 ou EdDSA) vinculado a uma origem. A chave privada vive num authenticator: Secure Enclave no iPhone, TPM 2.0 no Windows Hello, StrongBox no Android, ou um token externo tipo YubiKey 5C NFC. O servidor guarda so a chave publica e o credentialId. Isso significa que phishing classico nao funciona: a assinatura e amarrada ao RP ID (dominio). Em testes que rodamos contra clones com evilginx2, a passkey simplesmente nao assina pro dominio errado, enquanto TOTP cai em 100% dos casos com proxy reverso. Detalhes praticos em Pentest Web do Zero: Montando um Lab Seguro com DVWA, Juice Shop e Burp Suite e em Phishing em Red Team Autorizado: Templates, GoPhish e Ressalvas Eticas.

O risco real nao e o protocolo, e a recuperacao. Pesquise como seu provedor (Apple iCloud Keychain, Google Password Manager, 1Password, Bitwarden) sincroniza credenciais e qual e a cerimonia de restore. Apple exige device passcode mais um contato de recuperacao ou chave de recuperacao de 28 caracteres. Google usa screen lock do dispositivo previo. Se voce desabilitar SMS e e-mail como fallback sem configurar isso, perdeu. Documente o fluxo em modelo de ameaca pessoal antes de migrar; OPSEC para Pesquisadores de Seguranca: Modelo de Ameaca Pessoal tem o esqueleto que uso com clientes de alto risco e jornalistas.

Para times corporativos, a regra que aplico e dois authenticators fisicos por usuario critico (ex: YubiKey 5C + YubiKey 5 Nano), enrollados no mesmo dia, um guardado em cofre fisico. Em IdPs como Entra ID, Okta ou Google Workspace, configure attestation policy exigindo authenticators certificados FIDO2 L1+ para contas privilegiadas. Desabilite enrollment self-service sem revisao para grupos admin. Para contas pessoais de pesquisadores, combine passkey sincronizada (conveniencia) com security key fisica (resiliencia). O playbook de hardening de estacao em Hardening de Windows 11 para Estacoes de Trabalho de Alto Risco cobre o lado do endpoint, e Hardening de macOS: Lockdown Mode, MDM e Reducao de Superficie o equivalente Apple.

Helpdesk e onde 80% dos bypasses acontecem. MGM, Caesars e Cloudflare ja documentaram o padrao: atacante liga, finge perda de dispositivo, helpdesk reseta MFA. Com passkey o vetor muda mas nao some, vira reset de passkey. Implemente verificacao out-of-band obrigatoria: video call com documento, ou aprovacao de gestor via canal separado. Logue toda operacao de reset com retencao de 1 ano e alerta SIEM. Se voce roda Sigma rules, escreva uma regra pra 'credential reset fora de horario comercial seguido de login de novo geo' - exemplo concreto em Threat Hunting com Sigma e Elastic: Do Indicador a Regra de Deteccao e padroes de hunting em Hunting de Living-off-the-Land Binaries no Windows com KQL.

Senha some? Nao tao rapido. Na pratica, mantenha senha forte (>=20 chars, gerada por gerenciador) como backup em contas que ainda nao suportam passkey-only, e desabilite SMS sempre que possivel. Para contas que ja suportam (Google, Microsoft, GitHub, Apple, Cloudflare), ative passkey-only depois de 30 dias de teste paralelo. Guarde codigos de backup impressos em cofre, separados dos authenticators. Para cripto e cofres de senha, Cripto de Disco e Backups: Veracrypt, LUKS e Estrategia 3-2-1 Resiliente mostra como aplicar 3-2-1 sem cair em copia unica que vira ponto unico de falha.

Erros comuns que vi em auditoria: 1) admin global com so uma passkey num celular pessoal; 2) recovery email apontando pra conta sem MFA; 3) BitLocker recovery key salva 'na nuvem' da mesma conta que voce esta tentando recuperar - loop perfeito; 4) helpdesk autorizado a desabilitar MFA por chamado, sem ticket de gestor; 5) passkey 'sincronizada' marcada como hardware-bound no inventario. Audite isso com um exercicio purple team trimestral, igual ao ciclo em Purple Team na Pratica: Construindo Ciclo de Feedback Red x Blue. Em red team autorizado, esses sao os primeiros caminhos que testamos depois de initial access.

Takeaway pratico: na proxima sexta, abra suas 5 contas mais criticas (email primario, banco, gerenciador de senhas, IdP corporativo, registrar de dominio). Para cada uma: registre 2 passkeys em authenticators diferentes, imprima codigos de backup, valide que voce consegue logar sem o dispositivo principal, e remova SMS como fallback. Documente o procedimento de recuperacao num envelope selado. Se nao consegue fazer isso em 90 minutos por conta, voce ainda nao esta pronto pra desligar a senha - e tudo bem, faz parte do plano.