Passkey (FIDO2) no Entra ID – O que é por que você deve utilizar
Faaala pessoal, 100%?
“Utilize MFA padrão, e sua conta estará segura”
Hà quem ainda acredite nesse frase!
Na era do phishing e do roubo de token, onde o segundo fator de autenticação convencional não tem mais vez, os metodos de autenticação resistentes a Phishing passam a ser o padrão de segurança e o Passkey chega como solução viável e sem custo financeiro.
O problema
Pra quem não está habituado com o termo, Token Theft é um tipo de ataque em que o atacante utiliza artificios para capturar o Token de sessão da vitima e reutiliza-lo onde bem entender. O processo é relativamente “simples”:
- Um link direcionando para um site fake é enviado ao usuário seja via e-mail ou outro metodo.
- O Usuário, ludibriado pelo que o e-mail ou mensagem diz, clica no link
- O site solicita autenticação por parte do usuário. Aqui fica um adendo, no geral esses ataque entregam paginas identicas as legitimas, não só em aparecencia mas também no fluxo de autenticação.
- O usuário digita suas credenciais, valida o segundo fator de autenticação (Push Notification, SMS, Email ou app code)
- O atacante por sua vez, consegue capturar um token válido e já autenticado e pode utilizar em outro navegador ou dispositivo (Token Theft + Token Replay)
Daqui pra frente, o atacante terá acesso a sessão do usuário até que o token seja valido e poderá fazer o que bem entender, sem a necessidade de digitar senhas ou apresentar o segundo fator de autenticação. Esse tipo de ataque utiliza a técnica de Attacker in the Middle (AiTM) e tem sido cada vez mais comum.

Sempre que começo a falar sobre, todos me perguntam: “Mas e o MFA, não vai segurar a barra e proteger o user?”. A resposta é não, nesse caso. O MFA padrão pode ser fácilmente compartilhado e validado a distancia. Um atacante pode utilizar de engenharia social ou outros meios para conseguir codigo, e-mail o ou quer que seja e se autenticar mesmo que esteja a kms de distancia da vitima.
A solução técnica
Autenticação Resistente a Phishing deveria ser o mantra para usuários privilegiados e IT Admins.
Existem algumas formas para se proteger contra esse tipo de ataque, sendo o Phishing Resistente a Phishing (Phishing Resistant MFA), uma das principais. Como estamos considerando um cenário Microsoft com a utilização do EntraID como IdP podemos também considerar o uso de Politicas de Acesso condicional para analisar alguns sinais específicos e permitir o acesso apenas para user e devices que sigam as diretrizes de suas políticas.
O meio mais conhecido, até um tempo atrás, de se ter um metodo de autenticação resistente a phishing era o uso dos Tokens fisicos. Aqueles dispositivos parecidos com um USB, muito famosos no meio bancario. Mas calma, a nave mãe, Microsoft, disponibilizou no meio do ano passado o Passkey, solução nativa e totalmente sem custo.
Seguindo as diretrizes do FIDO, a opção de autenticação utilizada pelo Passkey garante que mesmo que um roubo de token ocorra, o replay não será possível. Dos males, o menor, ou quase nada dele. Por isso o Passkey, somado ao uso de chaves físicas, Windows Hello for Business e até o não tão utilizado certificado, fazem parte dos metodos de autenticação resistente a phishing.
Diferente de um método de MFA tradicional, onde o sistema te solicita uma senha (algo que você sabe) e logo apos te pede algo que voce tenha (um codigo que chega por SMS, ou um numero que e exibido na tela e deve ser repetido em seu smartphone) o Passkey exige proximidade. SIM, se voce nao estiver proximo do dispositivo onde esta se autenticando, nada feito, seu login não será concluido. Da mesma forma que uma chave física exige um contato físico para validação de presença onde se está autenticando, o Passkey utiliza a rede Bluetooth dos dispositivos envolvidos no processo de autenticação para garantir que o você (ou o usuário) está proximo o suficiente. Esse processo ocorre por debaixo dos panos, com uma rede temporaria sendo criada entre seu smartphone e o dispositivo em que está logando, uma vez conectado, os disposivitos trocam chaves pra validaçao entre si e finalmente liberam o login. Pra galera que gosta de ir mais a fundo no processo, o protocolo CTAP é utilizado aqui. Farei um artigo mais a frente destrinchando com o isso ocorre.
Um ponto importante que deve ser citado é que por padrão os metodos de autenticação resiste a phishing são linkados a um device (Device Bound). Esse é mais um artificio de segurança que garante que um token gerado em um dispositivo não poderá ser reutilizado em outro. Está em preview o uso de Passkey sincronizadas, mas isso é um papo pra outro artigo.
Como habilitar Passkey no EntraID
Agora em Março de 2026 a Microsoft iniciará o rollout dos Passkey em todos os Tenants. Caso ainda não esteja habilitado em seu Tenant, siga os passos abaixo. O processo é bem simples e direto ao ponto;
- No portal https://entra.microsoft.com, navegue até Metodos de Autenticação
- Em política, clique em “Passkey (FIDO2)

- Para habilitar, clique para alterar a chave para “On”. Note que você tem a opção de habilitar essa opção para todos os usuários ou grupos específicos. Embora habilitar a opção para todos os usuários não trará impacto ao use ambiente, você pode selecionar grupos como piloto, antes de fazer o rollout para a empresa.

- Feito, com a opção habilitada, o usuário terá a opção de registrar uma Passkey em seu dispositivo.
Após habilitar, teremos algumas opções para serem configuradas, ali na segunda aba “Configure”. Você encontrará algumas opções interessantes que podem deixar o uso de Passkey ainda mais seguro. Se liga

Vamos as opções;
- A primeira opção permite que o usuario por si só, inicie o processo para habilitar/adiciona um Passkey em seu perfil, visitando myaccess.microsoft.com
- A opção de “Enforce Attestation” obriga o dispositivo que está criando a passkey a provar criptograficamente sua origem e autenticidade no momento do registro. Aquie é utilizado o mecanismo de attestation do padrão definido pela FIDO Alliance, onde o autenticador (dispositivo) envia um certificado digital assinado pelo fabricante, permitindo ao servidor validar se aquele dispositivo é legítimo, certificado e confiável. Se a política estiver ativada, o Entra ID só permite registrar passkeys de dispositivos que apresentem essa prova válida. É como se fosse uma checagem duplca pra garantir que não tem um dispositivo “fake” sendo utilizado.
- Enforce Key restrictions te entrega a opção de blindar ainda mais o seu setup. Marcando como “Yes” você habilita a possibilidade de restringir o uso de Keys específicas
- A proxima opção, é onde você informa ser bloqueará ou permitirá a lista de Keys. A lógica nessa opção é simples, se marcar “Allow”, apenas as chave com o AAGUID listados serão permitidos — essa é uma opção mais restrita. Caso opte por marcar “Block”, apenas os AAGUID listados serão bloqueados, qualquer outro será permitido.
- Note que existe uma flag “Microsoft Authenticator”. Quando você marca essa opção, o Entra adiciona automaticamente os AAGUIDs do Android e iOS, garantindo que o uso de Passkey via App Microsoft Authenticator estará liberado.
Proximos passos e Conclusão
Feito! Agora basta começar a utilizar. Eu recomendo iniciar pelo time de TI, validar a experiencia como usuário, tanto no Windows/MacOS quanto no mobile. Uma vez validado com o time de TI, o ideal é trazer usuários de outros departamentos e mostra-los a como tudo funciona. O melhor dos mundos é quando temos usuários divulgando a novidade para outros usuários.
Como diz a frase que eu desconheço o Autor: “Não existe segurança 100% na TI”. Embora eu concorde com a frase, é fato que o uso de Passkey (FIDO2) vão te ajudar a se aproximar cada vez mais do 99%.
Uma configuração relativamente simples, a custo zero, não vejo justificativa do por que não testar. Nos proximos artigos trarei a habiltação e validação com a visão do usuário.
Espero que tenha curtido! Um grande abraço \,,/
