O que é FIDO2 e como funciona? O protocolo por trás de YubiKey explicado
FIDO2 é uma norma aberta de autenticação baseada em criptografia de chave pública, concebida para eliminar a utilização de palavras-passe e tornar o phishing praticamente inútil. É o protocolo que faz funcionar a YubiKey, as passkeys e a autenticação biométrica do teu telemóvel. Neste artigo explicamos como funciona tecnicamente, sem necessidade de ser programador para o compreender.
Como funciona FIDO2 tecnicamente?
FIDO2 baseia-se num par de chaves criptográficas: uma pública e uma privada. A chave privada nunca sai do dispositivo — nem é enviada pela internet, nem armazenada em nenhum servidor. É isto que torna FIDO2 fundamentalmente diferente de uma palavra-passe.
🔐 O par de chaves explicado
Chave privada: é gerada e fica dentro da tua YubiKey ou dispositivo. Nunca é transmitida a nenhum local.
Chave pública: é enviada para o serviço (Google, GitHub, o teu banco) quando registas a chave. O serviço guarda-a para verificar futuras autenticações.
Resultado: ainda que o servidor do serviço seja hackeado, a chave pública por si só não permite a ninguém aceder à tua conta.
O processo tem duas fases diferenciadas:
Quando activas FIDO2 num serviço, o teu dispositivo gera um novo par de chaves específico para esse sítio web. A chave pública é enviada e guardada no servidor; a privada fica na tua YubiKey.
Cada vez que fazes login, o serviço envia um desafio criptográfico. O teu dispositivo assina-o com a chave privada e devolve a assinatura. O servidor verifica a assinatura com a chave pública que já tinha guardada. Se coincide, entras.
Em nenhum momento é transmitida uma palavra-passe nem um dado secreto reutilizável — apenas uma assinatura válida para essa tentativa concreta.
FIDO2 vs U2F vs WebAuthn — são a mesma coisa?
Os três termos estão relacionados mas não são sinónimos exactos:
| Protocolo | O que é |
|---|---|
| U2F | O protocolo original da Yubico e Google (2014). Funcionava apenas como segundo factor — necessitavas palavra-passe + chave. |
| WebAuthn | A norma web (W3C) que define como os navegadores comunicam com dispositivos de autenticação. É a "API" que usam os sítios web. |
| FIDO2 | O conjunto completo: inclui WebAuthn mais o protocolo CTAP (como o navegador fala com a tua YubiKey). Permite login sem palavra-passe, não apenas como segundo factor. |
Na prática, quando uma YubiKey moderna diz "FIDO2", significa que é compatível com WebAuthn e pode ser usada tanto como segundo factor (como U2F) como método de login completo sem palavra-passe.
Porque é que FIDO2 é resistente ao phishing
A razão pela qual FIDO2 combate o phishing não é apenas porque usa criptografia — é porque inclui verificação de domínio (origin binding). Quando registas a tua chave num sítio web, essa chave fica associada exactamente a esse domínio.
⚠️ O que acontece com um sítio web falso
Se alguém criar um sítio web idêntico ao teu banco mas com um domínio diferente (por exemplo, "banco-segura.pt" em vez de "banco.pt"), a tua YubiKey simplesmente não responde. A chave verifica o domínio antes de assinar nada — se não coincide, não há autenticação possível. É isto que torna inútil o phishing tradicional contra FIDO2: nem sequer podes "enganar-te" introduzindo as tuas credenciais no sítio falso, porque não há credenciais para introduzir.
Esta é a diferença fundamental em relação ao 2FA por SMS ou às apps de autenticação: esses métodos geram um código que tu copias e colas — e esse código pode ser roubado ou introduzido no sítio errado. FIDO2 elimina esse passo por completo.
Que dispositivos usam FIDO2?
FIDO2 não é exclusivo da YubiKey. Estes são os dispositivos mais comuns que o suportam:
YubiKey, Google Titan e outras chaves USB/NFC certificadas FIDO2. A opção mais segura porque a chave privada vive num chip dedicado, isolado do resto do sistema.
Face ID, impressão digital no Android ou iPhone. O próprio telemóvel actua como autenticador FIDO2, usando o seu chip de segurança integrado.
Reconhecimento facial ou impressão digital em portáteis com Windows. Funciona como autenticador FIDO2 integrado no sistema operativo.
Se queres compreender melhor o que é fisicamente uma chave deste tipo, consulta o nosso guia sobre o que é uma security key e como funciona.
FIDO2 e as passkeys — é a mesma coisa?
Não exactamente, mas estão directamente relacionadas. Uma passkey é uma credencial FIDO2 — usa o mesmo protocolo de chave pública/privada por trás. A diferença é de implementação e experiência de utilizador:
🔄 A relação entre ambas
FIDO2: o protocolo técnico — como se geram e verificam as chaves.
Passkey: o nome comercial que Apple, Google e Microsoft usam para credenciais FIDO2 que além disso se sincronizam entre os teus dispositivos através da nuvem (iCloud Keychain, Google Password Manager).
Uma YubiKey também pode armazenar passkeys — a diferença é que com a chave física a chave privada não se sincroniza para nenhum local, fica fisicamente no dispositivo.
Perguntas frequentes
FIDO2 funciona sem internet?
O processo de assinatura criptográfica ocorre localmente no teu dispositivo, sem necessidade de ligação. Mas para completar o login necessitas de ligação com o serviço ao qual te estás a autenticar — o desafio e a verificação da assinatura requerem comunicação com o servidor.
Posso perder acesso às minhas contas se perder a minha chave FIDO2?
Se tens apenas uma chave registada e não configuraste um método alternativo, sim. Por isso se recomenda registar sempre uma segunda chave de cópia de segurança em cada serviço que uses com FIDO2.
Todos os navegadores suportam FIDO2?
Sim. Chrome, Firefox, Edge e Safari suportam WebAuthn/FIDO2 de forma nativa há vários anos. Não necessitas instalar nenhuma extensão adicional.
FIDO2 substitui completamente a palavra-passe?
Pode fazê-lo. Quando um serviço implementa FIDO2 como método de login completo (não apenas como segundo factor), podes entrar sem escrever nenhuma palavra-passe — apenas com a tua chave ou a tua biometria. Muitos serviços ainda o oferecem apenas como 2FA adicional à palavra-passe.
Veredicto
FIDO2 não é uma moda técnica — é a mudança real em como nos autenticamos
Ao contrário das palavras-passe ou dos códigos SMS, FIDO2 elimina o dado secreto que viaja pela internet. Não há nada que um atacante possa roubar num servidor ou interceptar em trânsito que lhe sirva para entrar na tua conta.
Compreender o protocolo não é obrigatório para o usar — mas ajuda a compreender porque é que uma YubiKey é um investimento em segurança real, não apenas um acessório a mais.
PODE INTERESSAR-TE
Que YubiKey comprar segundo o teu dispositivo? Guia completo 2026
