A Microsoft implementará o suporte a passkey para autenticação sem senha e resistente a phishing em recursos protegidos pelo **Microsoft Entra** a partir de dispositivos Windows, com início no final de abril. Espera-se que o recurso atinja a disponibilidade geral até meados de junho de 2026 e também estenderá o login sem senha para dispositivos Windows não gerenciados. A Microsoft afirma que as passkeys do Entra no Windows suportarão dispositivos corporativos, pessoais e compartilhados, com controles administrativos via políticas de Acesso Condicional e Métodos de Autenticação. "Os usuários podem criar passkeys vinculadas ao dispositivo, armazenadas no contêiner do **Windows Hello**, e autenticar usando métodos do Windows Hello (rosto, impressão digital ou PIN)", disse a Microsoft [em uma atualização do centro de mensagens](https://admin.microsoft.com/#/MessageCenter/:/messages/MC1282568). "Isso expande o suporte à autenticação sem senha para dispositivos Windows que não são ingressados ou registrados no Microsoft Entra, ajudando as organizações a fortalecer a segurança e reduzir a dependência de senhas em cenários de dispositivos corporativos gerenciados, pessoais e compartilhados." O novo recurso de segurança estará disponível em organizações que habilitaram 'Microsoft Entra ID com passkeys' na 'Política de Métodos de Autenticação' para usuários que fazem login em dispositivos Windows que não são ingressados ou registrados no Microsoft Entra, desde que as políticas de Acesso Condicional permitam (por exemplo, de dispositivos corporativos gerenciados, pessoais ou compartilhados). Ele também permite a criação de passkeys **FIDO2** armazenadas em um contêiner de credenciais local seguro que só pode ser usado para autenticação no Microsoft Entra ID via Windows Hello usando reconhecimento facial, impressão digital ou PIN (diferente do Windows Hello for Business, que também permite logins de dispositivo). | Recurso | Passkey Microsoft Entra no Windows | Windows Hello for Business | |---|---|---| | Base padrão | FIDO2 | FIDO2 para autenticação, protocolo first-party (1P) para login de dispositivo | | Registro | Iniciado pelo usuário, não requer ingresso ou registro do dispositivo | Provisionado automaticamente em alguns dispositivos ingressados ou registrados no Microsoft Entra durante o registro do dispositivo | | Login de dispositivo e single sign-on (SSO) | N/A | Permite login de dispositivo e SSO para recursos integrados ao Microsoft Entra após o login de dispositivo | | Vinculação de credenciais | Vinculada ao dispositivo e armazenada no contêiner local do Windows Hello. Os usuários podem registrar várias passkeys para várias contas de trabalho ou escolares no mesmo dispositivo. | Principalmente um método de login vinculado ao dispositivo e à confiança do dispositivo. A credencial está vinculada apenas à conta de trabalho ou escolar usada para registrar o dispositivo. | | Gerenciamento | Política de métodos de autenticação do Microsoft Entra ID | Microsoft Intune<br> Group Policy | Além disso, as passkeys são criptograficamente vinculadas a cada dispositivo e nunca são transmitidas pela rede, portanto, os atacantes não podem roubá-las durante ataques de phishing ou malware para contornar a autenticação multifator. Embora a Microsoft não tenha compartilhado o motivo da adição deste recurso, as passkeys do Microsoft Entra no Windows fecham uma lacuna de segurança que anteriormente deixava dispositivos pessoais e compartilhados dependentes da autenticação baseada em senha do Microsoft Entra ID. Nos últimos meses, atores de ameaças [visaram pesadamente](https://www.bleepingcomputer.com/news/security/hackers-target-microsoft-entra-accounts-in-device-code-vishing-attacks/) contas de single sign-on (SSO) do Microsoft Entra [usando credenciais roubadas](https://www.bleepingcomputer.com/news/security/shinyhunters-claim-to-be-behind-sso-account-data-theft-attacks/) em uma onda de recentes ataques de [roubo de dados em SaaS](https://www.bleepingcomputer.com/news/security/mandiant-details-how-shinyhunters-abuse-sso-to-steal-cloud-data/). O BleepingComputer contatou a Microsoft para mais detalhes, mas uma resposta não estava imediatamente disponível. Em outubro de 2024, a Microsoft anunciou que também melhoraria a segurança em locatários do Entra [tornando o registro de autenticação multifator (MFA) obrigatório](https://www.bleepingcomputer.com/news/microsoft/microsoft-entra-security-defaults-to-make-mfa-setup-mandatory/) quando os padrões de segurança estiverem habilitados, como parte da [Iniciativa Futuro Seguro](https://www.microsoft.com/en-us/trust-center/security/secure-future-initiative) da empresa, lançada em novembro de 2023, para aumentar a proteção de cibersegurança em seus produtos. Além disso, a Microsoft anunciou em maio de 2025 que todas as novas contas Microsoft [serão "sem senha por padrão"](https://www.bleepingcomputer.com/news/microsoft/microsoft-makes-all-new-accounts-passwordless-by-default/) para protegê-las contra ataques de força bruta, credential stuffing e phishing.