Podes usar uma pen USB como chave de segurança FIDO2? Isto é o que ninguém te explica
Não, um pendrive USB normal não pode funcionar como chave de segurança FIDO2 nem como passkey. Pode servir para bloquear o acesso ao teu computador com ferramentas como USB Raptor, mas isso é algo completamente diferente. Neste artigo explicamos a diferença real e que opções existem a partir de 25 €.
O que faz um USB normal (e o que não pode fazer)
Um pendrive armazena ficheiros. Com o software adequado, podes configurá-lo para que Windows se bloqueie quando o retiras — útil se partilhas computador num escritório ou em casa.
Mas isso não é autenticação FIDO2. Não funciona com Google, GitHub, Dropbox nem nenhum serviço online. Não protege as tuas contas se alguém tiver a tua palavra-passe. Não é uma chave de segurança.
A confusão vem de artigos que misturam duas coisas distintas sob o mesmo título: "usar um USB como chave de segurança". Tecnicamente não é incorreto, mas o nível de proteção não tem nada a ver.
O que precisa uma chave FIDO2 de verdade
Uma chave FIDO2 certificada leva dentro um chip criptográfico dedicado. Esse chip gera uma chave privada que nunca sai do dispositivo — nem quando o conectas, nem quando o perdes.
Quando um serviço como Google te pede autenticação, a chave assina um desafio criptográfico e devolve a resposta. O serviço verifica que a assinatura é válida. Em nenhum momento viaja uma palavra-passe pela rede.
Um pendrive genérico não tem esse chip. Não pode gerar nem armazenar chaves criptográficas deste tipo. Não existe software que compense essa falta de hardware.
Existem projetos de código aberto que convertem uma Raspberry Pi Pico numa chave FIDO2 funcional. São válidos para aprender e experimentar, mas não têm certificação oficial, não passaram auditorias de segurança e requerem manutenção técnica. Para proteger as tuas contas do dia a dia, uma chave certificada é a opção correta.
Chaves de segurança reais a partir de 25 €
Existem opções certificadas FIDO2 abaixo de 30 €. Para a maioria dos utilizadores que querem proteger Gmail, redes sociais ou o banco online, são mais do que suficientes.
ChipNet FIDO2 Basic
Chave FIDO2 de entrada. Compatível com os serviços mais comuns. Boa opção para começar sem gastar muito.
Thetis FIDO2 Security Key
Compatível com passkeys e os principais serviços online. Design compacto com tampa protetora para o conector.
Security Key NFC
A opção de entrada da Yubico. Adiciona NFC para usá-la também no telemóvel sem cabos nem adaptadores.
YubiKey 5 NFC
Para utilizadores com necessidades mais avançadas. Adiciona suporte para SSH, OpenPGP e armazenamento de passkeys na própria chave.
Qual te convém segundo o teu caso?
| Caso de uso | Opção recomendada |
|---|---|
| Proteger Gmail, redes sociais e banco online | ChipNet ou Thetis (~25 €) |
| Proteger também o telemóvel por NFC | Security Key NFC (~35 €) |
| Porta USB-C (MacBook, portátil moderno) | Security Key C NFC (~35 €) |
| Programador — SSH, GitHub, OpenPGP | YubiKey 5 NFC (~69 €) |
| Aprender sem gastar | Raspberry Pi Pico + Pico Fido (DIY, sem certificação) |
Que YubiKey comprar segundo o teu dispositivo? Guia completo 2026 →
Perguntas frequentes
Um pendrive pode proteger as minhas contas de Google ou Instagram?
Não. Para proteger contas online precisas de uma chave com chip FIDO2 certificado. Um pendrive só pode bloquear o acesso local ao teu computador com software adicional, mas não funciona como segundo fator em serviços web.
Qual é a diferença entre uma chave FIDO2 e a autenticação em dois passos por SMS?
O SMS pode ser intercetado com técnicas como o SIM swapping — alguém convence o teu operador a transferir-te o número. Uma chave FIDO2 não transmite nenhum código pela rede: a autenticação resolve-se com criptografia diretamente entre a chave e o serviço. É muito mais difícil de atacar.
Preciso de duas chaves?
É o recomendável. Se perdes a única chave que tens registada, podes ficar sem acesso às tuas contas. O normal é registar duas: uma de uso diário e outra guardada como cópia de segurança.
A chave funciona no telemóvel?
Sim, os modelos com NFC funcionam aproximando a chave à parte traseira do telemóvel. Não precisas de adaptadores nem cabos. Compatível com Android e iOS nos serviços que suportem FIDO2.
Um USB não é uma chave FIDO2
A diferença não é de software — é de hardware. Um pendrive genérico não tem chip criptográfico certificado e não pode proteger as tuas contas online.
Há opções certificadas a partir de 25 €. Para a maioria dos utilizadores, ChipNet ou Thetis são suficientes para começar. Se queres NFC para o telemóvel, a Security Key NFC da Yubico é o passo seguinte.
Os projetos DIY como Pico Fido são interessantes para aprender, não para o dia a dia.
