Breez SDK Lança Autenticação por Passkey para Carteiras Bitcoin Sem Seed

A Breez, fornecedora de serviços de lightning e laboratório de software Bitcoin, introduziu o Passkey Login no seu SDK Breez. A funcionalidade permite aos desenvolvedores criar carteiras de autocustódia que usam passkeys para autenticação e derivação de chaves, eliminando a necessidade do tradicional frase-semente durante o uso normal.

O suporte à frase-semente permanece disponível para os utilizadores que preferem, mantendo a compatibilidade com os padrões da indústria, mas removendo o “obstáculo” nos wallets Bitcoin, que solicita aos utilizadores que façam backup das 12 palavras.

A Breez explicou a razão por trás desta nova funcionalidade num comunicado de imprensa divulgado à Bitcoin Magazine: “A frase-semente tem sido uma barreira à autocustódia desde o início. É o que assusta os utilizadores comuns de manter o seu próprio bitcoin, e é uma razão legítima pela qual as pessoas aceitam o risco de contraparte de trocas e aplicações de custódia.” Acrescentando que “O Passkey Login não elimina as desvantagens da autocustódia, mas as enquadra em algo que as pessoas já compreendem e usam, nomeadamente a mesma autenticação biométrica que protege a sua aplicação bancária e o gestor de palavras-passe. Para a maioria dos utilizadores, esse é um modelo de segurança muito mais intuitivo do que um papel numa gaveta.”

Passkeys: Par de Chaves por Site em Hardware Moderno

Passkeys — um padrão de segurança relativamente novo que está a ganhar ampla adoção online — são credenciais criptográficas baseadas no padrão FIDO2 WebAuthn, promovido conjuntamente pela Apple, Google, Microsoft e a FIDO Alliance desde 2022. Cada passkey consiste num par de chaves pública-privada único, gerado para um site ou aplicação específica.

A chave privada permanece armazenada no elemento seguro ou hardware semelhante no dispositivo do utilizador, como o Secure Enclave da Apple, o chip Titan do Android, o TPM do Windows, chaves de segurança externas como YubiKey ou o gestor de palavras-passe do utilizador.

Os Passkeys online normais assemelham-se ao arquivo original wallet.dat do Bitcoin, introduzido por Satoshi Nakamoto nas primeiras versões do cliente Bitcoin, onde as chaves privadas são armazenadas localmente no dispositivo do utilizador, enquanto as chaves públicas são partilhadas com terceiros.

No entanto, o padrão FIDO2 implementa esta ideia de chaves privada-pública de uma forma mais padronizada e moderna. Os sites enviam um desafio ao utilizador, referenciando a chave pública conhecida do utilizador para essa conta. A mensagem de desafio é assinada pela chave privada do utilizador, autenticando a sua identidade de forma a preservar a privacidade. Cada serviço obtém uma chave pública diferente para o mesmo utilizador, de modo que os dados comprometidos num site não vazam informações que possam ser usadas para aceder a outros sites, nem contêm dados de identificação do utilizador.

O FIDO2 é agora amplamente adotado, aproveitando elementos seguros do dispositivo, integrando-se com gestores de palavras-passe (por exemplo, iCloud Keychain, Google Password Manager), navegadores e o padrão WebAuthn do W3C. A autenticação ocorre via assinatura de desafio-resposta, com a chave privada ligada ao domínio para resistir a ataques de phishing.

Os Passkeys suportam desbloqueio biométrico (Face ID, impressão digital, PIN) e sincronizam entre dispositivos dentro de um ecossistema (por exemplo, via iCloud ou Google) — mais de um bilhão de ativações reportadas pela FIDO Alliance até meados de 2025, com suporte nas principais plataformas e muitos dos principais sites.

FIDO2 Não Era Suficiente para Wallets Bitcoin

Os passkeys padrão destacam-se na autenticação (provar identidade a um serviço), mas faltava-lhes funcionalidades essenciais para a indústria moderna de Bitcoin.

A autocustódia de Bitcoin normalmente baseia-se numa única fonte de entropia (frase-semente) para gerar todos os endereços e chaves de forma determinística, através de padrões como o BIP-39. Os utilizadores esperam que essas 12 palavras sejam suficientes para recuperar todos os saldos e contas numa wallet Bitcoin. O padrão Passkey precisava de ser estendido para suportar este caso de uso.

A Solução da Breez: Aproveitando a Extensão PRF

A Breez resolve isto usando a extensão Pseudo-Random Function (PRF) no WebAuthn Level 3. A PRF permite que um passkey produza uma saída criptográfica determinística para qualquer entrada durante a autenticação.

Conforme descrito nos materiais de anúncio da Breez, “É isso que a extensão PRF do WebAuthn resolve, e é o ingrediente-chave no Passkey Login. A PRF é uma capacidade mais recente, parte da especificação WebAuthn Level 3, que permite ao seu passkey produzir uma saída criptográfica determinística para qualquer entrada. Mesmo passkey, mesma entrada, mesma saída. Sempre. O passkey nunca sai do enclave seguro do seu dispositivo.”

Perda de Dispositivo e Recuperação

Se um dispositivo for perdido, a recuperação depende da plataforma usada para armazenar o passkey. Passkeys sincronizados — via iCloud Keychain, Google Password Manager, etc — são restaurados num novo dispositivo após recuperar o acesso à conta associada.

A Breez oferece uma via opcional compatível com versões anteriores: os utilizadores podem exportar uma frase-semente normal de 12 palavras, BIP-39, para a sua wallet, permitindo recuperar a conta em outras wallets Bitcoin, seguindo os padrões da indústria. O comunicado acrescenta que “Os passkeys também ainda não são totalmente interoperáveis entre plataformas. Se precisar de mudar para uma plataforma ou wallet que não suporte passkeys, tem uma frase-semente padrão para usar como fallback.”

A especificação técnica completa para o Passkey Login é pública, e uma aplicação de referência chamada Glow demonstra a funcionalidade. A Breez posiciona isto como um passo para tornar a autocustódia de Bitcoin mais acessível, alinhando-se com a autenticação biométrica familiar usada em bancos e gestores de palavras-passe, enquanto mantém o controlo não custodial. Os desenvolvedores que integrem o SDK Breez podem agora oferecer onboarding sem o passo tradicional de “escrever estas palavras” para ambientes suportados.

A especificação técnica completa do Passkey Login é pública, e a nossa aplicação de referência Glow já a implementa, estando agora disponível para todos os desenvolvedores do SDK Breez.