Roubaram-te a YubiKey: o que fazer nos próximos 10 minutos
Roubaram-te a YubiKey. Ou perdeste-a. Ou simplesmente não a encontras e não sabes se está no bolso do casaco ou nas mãos de outra pessoa.
Tens uma janela de tempo. Não é muita. Isto é o que tens de fazer agora mesmo.
Plano de ação imediato
A ordem importa. Começa pelo que pode causar mais dano se alguém aceder antes de ti.
Antes de qualquer outra coisa. Se te roubarem o telemóvel com sessões abertas, revogar a YubiKey não serve de nada — a sessão continua ativa. No Google vai a "Gerir dispositivos" e encerra todas as sessões. No resto dos serviços procura "Sair de todos os dispositivos". Isto primeiro, sempre.
É a chave mestra. Quem controla o teu e-mail pode repor quase qualquer conta. Vai às definições de segurança, remove a YubiKey como método de autenticação e ativa temporariamente outro — app de autenticação ou código de verificação.
Revolut, PayPal, Wise, Moey. Entra a partir de outro dispositivo, revoga a YubiKey nas definições de segurança. Se não conseguires aceder, liga diretamente para o banco e bloqueia o acesso digital.
Binance, Coinbase, Kraken. Se tens fundos, esta é prioridade máxima. Entra, revoga a YubiKey e ativa um 2FA alternativo. Se não conseguires aceder, usa o processo de recuperação de conta da exchange.
Bitwarden, 1Password, KeePass. Se o teu gestor usa a YubiKey como segundo fator, revoga-a a partir de outro dispositivo ou usa os códigos de emergência que geraste ao configurá-lo.
Google, GitHub, redes sociais, qualquer outro serviço onde tenhas a YubiKey registada. Revoga conta por conta a partir das definições de segurança de cada serviço.
Se não tens um registo, a forma mais rápida é procurar no e-mail as notificações de quando a configuraste. Pesquisa por "security key", "chave de segurança" ou "YubiKey" na tua caixa de entrada.
Se tens uma YubiKey de backup
Esta é a situação ideal. Tens uma segunda chave configurada — ativas a segunda e continuas operacional.
O processo é o mesmo para cada serviço: entra com o teu segundo fator alternativo (a chave de backup ou os códigos de emergência), vai às definições de segurança e elimina a chave roubada da lista de dispositivos de confiança.
Uma vez revogada em todos os serviços, a chave roubada é inútil — mesmo que alguém a tenha, não consegue autenticar-se com ela em nenhuma das tuas contas.
Revogar a chave específica remove esse dispositivo da tua conta. Desativar o 2FA remove toda a proteção. Certifica-te de que fazes o primeiro, não o segundo.
Se não tens backup
É mais incómodo, mas tem solução.
A maioria dos serviços tem métodos de recuperação alternativos que configuraste quando ativaste a YubiKey. O problema é que muita gente os configura e depois esquece-se deles.
Google, GitHub e muitos outros serviços geram códigos de utilização única ao ativar o 2FA. Se os guardaste — num gestor de palavras-passe, em papel, num ficheiro — usa-os agora.
Se configuraste uma app de autenticação (Google Authenticator, Aegis, Authy) além da YubiKey, usa-a para entrar e revogar a chave roubada.
Se não tens nenhum método alternativo, cada serviço tem um processo de recuperação de conta. Geralmente requer verificação de identidade e pode demorar entre horas e dias. É o caminho mais lento — mais uma razão para ter um backup configurado antecipadamente.
Apenas as que têm a YubiKey como único segundo fator e não têm um método alternativo configurado. Se tens uma app de autenticação ou códigos de emergência como backup, o risco é mínimo — a chave roubada não serve de nada sem as tuas outras credenciais.
Recomendação: configura o teu PIN antes que seja tarde
Se a tua YubiKey não tem um PIN configurado, quem a encontrar pode usá-la diretamente para se autenticar nas tuas contas — se conhecer a tua palavra-passe. Com o PIN ativado, a chave fica bloqueada após várias tentativas falhadas e torna-se inútil para qualquer pessoa que não saiba o código.
Configurar o PIN demora menos de 2 minutos no YubiKey Manager. Se ainda não o fizeste, fá-lo agora — antes que precises realmente deste artigo.
→ Como configurar o PIN no YubiKey Manager
Suporte formato cartão
Leva a tua YubiKey na carteira — sempre contigo, sempre localizada. Formato de cartão de crédito padrão.
Carteira Slim com bloqueio RFID
Carteira minimalista com ranhura para YubiKey e suporte para AirTag integrado. Se a perderes, localizas a carteira.
Perder a YubiKey tem solução. Perder o acesso às tuas contas nem sempre.
Se tens um backup configurado e o PIN ativado, perder a chave é um inconveniente menor — revogas, ativas a segunda e continuas. Sem estas precauções, o processo é penoso e pode custar-te o acesso a contas críticas.
A verdadeira prevenção não é apenas saber o que fazer quando acontece — é trazê-la sempre contigo e mantê-la protegida para não a perderes.
Perguntas frequentes
Podem usar a minha YubiKey sem PIN?
Sim. Se não tiveres um PIN configurado, qualquer pessoa que tenha a chave pode usá-la diretamente — desde que conheça também a tua palavra-passe. Com o PIN ativado, a chave bloqueia após várias tentativas falhadas.
Podem clonar a minha YubiKey?
Não. A YubiKey foi desenhada para ser impossível de clonar — as chaves privadas nunca saem do dispositivo físico. Para se autenticarem com ela, precisam do objeto na mão.
O que acontece se eu não tiver um backup configurado?
Terás de usar os métodos de recuperação de cada serviço — códigos de emergência, segundo fator alternativo ou o processo de recuperação de conta do fornecedor. Pode ser um processo lento.
O que acontece se me esquecer do PIN?
Se introduzires o PIN incorretamente um determinado número de vezes, a YubiKey bloqueia. Para desbloquear precisas do PUK (PIN Unblocking Key) que é gerado ao configurar o PIN. Se também não tiveres o PUK, a chave fica inutilizável e terá de ser reposta (o que apaga todos os dados). Guarda sempre o PUK num local seguro — no teu gestor de palavras-passe, por exemplo.
