Yubico para empresas: quantas YubiKeys precisa e como geri-las
Proteger uma equipa de trabalho não é o mesmo que proteger uma conta pessoal. Quando há 10, 50 ou 200 pessoas com acesso a sistemas críticos, a questão não é se deve usar a YubiKey — é como organizá-lo sem que se torne um problema operacional.
Este guia destina-se a gestores de TI, diretores de operações e qualquer pessoa que tenha de tomar essa decisão: quantas chaves encomendar, como distribuí-las e que ferramentas existem para as gerir.
De quantas YubiKeys a sua empresa precisa?
A regra base: uma chave por funcionário, mais uma de backup para cada perfil crítico. Mas o número real depende de quem tem acesso a quê.
Nem todas as funções têm o mesmo nível de exposição. Um funcionário com acesso apenas ao e-mail corporativo não precisa do mesmo nível de proteção que alguém com acesso a servidores de produção ou dados financeiros.
| Perfil | Chaves recomendadas | Porquê |
|---|---|---|
| Funcionário padrão (e-mail, apps SaaS) | 1 chave | Acesso limitado, risco médio |
| Gestor com acesso a dados sensíveis | 2 chaves | Sem backup, um incidente bloqueia o acesso |
| TI / sysadmin / DevOps | Mínimo 2 chaves | Acesso a sistemas e servidores críticos |
| C-level / direção | 2 chaves + 1 em custódia | Alvo prioritário em ataques dirigidos |
| Remoto / contratado externo | 1-2 chaves conforme o acesso | Ligação fora do perímetro corporativo |
A Yubico recomenda registar sempre pelo menos duas chaves por utilizador. Se alguém perder a sua e não houver backup registado, recuperar o acesso pode demorar horas — ou dias. Em ambientes críticos, isso tem um custo real.
Referência rápida por tamanho da equipa
Para se orientar antes de fazer a encomenda:
| Tamanho da equipa | Chaves mínimas | Chaves recomendadas | Notas |
|---|---|---|---|
| 1–10 pessoas | 10 | 15–20 | Incluir backup para perfis críticos |
| 11–50 pessoas | 50 | 65–80 | Backup para TI e direção, no mínimo |
| 51–200 pessoas | 200 | 250–280 | Considerar implementação por fases |
| 200+ pessoas | Variável | Contactar a Yubico diretamente | Programa Yubico for Enterprise com preços escalonados |
Que modelo de YubiKey escolher para a empresa
O modelo depende das portas disponíveis nos equipamentos da equipa. Em ambientes mistos — portáteis novos com USB-C e computadores de secretária com USB-A — o mais comum é escolher um modelo e complementá-lo com adaptadores, ou distribuir dois modelos diferentes.
YubiKey 5 NFC (USB-A)
O modelo mais difundido em ambientes corporativos. Compatível com a maioria dos computadores de secretária e portáteis com porta USB-A. O NFC permite usá-la também a partir do telemóvel sem adaptadores.
YubiKey 5C NFC (USB-C)
Para equipamentos modernos com USB-C. MacBooks, portáteis Dell ou Lenovo de últimas gerações. Se a maioria dos equipamentos for USB-C, este é o modelo.
YubiKey 5 Nano / 5C Nano
Para pessoas que trabalham sempre no mesmo equipamento e preferem deixar a chave inserida permanentemente. Fica quase rente à porta — sem sobressair.
Se tem equipamentos USB-A e USB-C na mesma organização, a opção mais prática costuma ser padronizar na YubiKey 5 NFC (USB-A) e distribuir adaptadores USB-C onde for necessário. Reduz o número de referências a gerir.
Como gerir as YubiKeys numa organização
O maior erro em implementações empresariais não é escolher o modelo errado — é não ter um sistema para saber quem tem qual chave, que acessos tem registados e o que fazer quando alguém sai.
Yubico Enterprise Subscription
A Yubico oferece um programa de subscrição para empresas que inclui substituição de chaves sem custo adicional, suporte prioritário e acesso ao YubiEnterprise Delivery — um sistema para distribuir chaves diretamente a funcionários remotos sem passar pelo departamento de TI.
YubiKey Manager
A ferramenta oficial da Yubico para configurar chaves individualmente. Permite gerir os slots da chave, ver que aplicações tem configuradas e repor uma chave antes de a reatribuir. Gratuita, disponível para Windows, macOS e Linux.
Yubico SCIM Tool
Para organizações que usam fornecedores de identidade como Okta, Azure AD ou Google Workspace. Permite aprovisionar e desaprovisionar chaves de forma automática quando um funcionário entra ou sai da empresa.
Registo no IdP
Seja qual for a ferramenta, o fluxo de gestão passa sempre pelo fornecedor de identidade. A YubiKey não tem valor se não estiver registada no sistema que controla os acessos. O processo padrão é: atribuir chave → o funcionário regista-a no IdP → a TI verifica o registo → o acesso é ativado.
O protocolo de offboarding tem de incluir explicitamente a YubiKey. Primeiro, desativa-se o acesso no IdP. Depois, recolhe-se a chave física. Se não for possível recuperá-la — funcionário remoto, perda — revoga-se o registo e repõe-se a chave se voltar a ser usada.
Proteger as chaves fisicamente
Uma YubiKey sem capa acaba arranhada no fundo de uma mochila ou a bater contra as chaves do carro no porta-chaves. Numa implementação empresarial, onde as chaves passam por muitas mãos e situações distintas, a proteção física não é um detalhe menor.
A Holdtag fabrica acessórios específicos para YubiKey — capas, bandejas em formato de cartão de crédito e carteiras com bloqueio RFID — concebidos para uso diário em ambientes profissionais. Fabricados em Espanha, em PLA+ de alta resistência.
Bandeja YubiKey 2 ranhuras
Formato de cartão de crédito. Duas ranhuras — chave principal e backup no mesmo cartão. Cabe em qualquer carteira. Ideal para perfis que transportam duas chaves.
Capa YubiKey PLA+
Proteção para uso diário com porta-chaves integrado. Protege contra choques e arranhões. Para quem leva a chave sempre consigo.
Para encomendas de empresa com volume, condições especiais ou personalização, consulte a página de soluções para empresas.
Perguntas Frequentes
Pode-se usar uma única YubiKey para vários serviços?
Sim. Uma YubiKey pode estar registada em múltiplos serviços ao mesmo tempo — Google Workspace, Microsoft 365, GitHub, Okta e outros. Não há limite prático de registos. Cada serviço guarda o seu próprio registo da chave.
O que acontece se um funcionário perder a sua YubiKey?
Se houver uma chave de backup registada, o funcionário pode usá-la para aceder enquanto se trata da substituição. Se não houver backup, a TI tem de recuperar o acesso por outro método — o que pode levar tempo. Por isso, o backup é essencial em perfis críticos.
Pode-se reutilizar uma YubiKey de um funcionário que saiu?
Sim, mas com o protocolo correto. Primeiro, é preciso revogar todos los registos no IdP. Depois, pode-se repor a chave com o YubiKey Manager e reatribuí-la a outro funcionário. Se esta ordem não for seguida, existe o risco de a chave anterior continuar ativa em algum serviço.
A YubiKey funciona com o Google Workspace e o Microsoft 365?
Sim, ambas as plataformas são compatíveis com a YubiKey como método de autenticação FIDO2. O Google Workspace suporta-a de forma nativa. O Microsoft 365 também, através do Azure Active Directory. A configuração requer que seja ativado a partir do painel de administração.
Existem descontos por volume para empresas?
A Yubico oferece o programa YubiEnterprise Subscription para encomendas de empresa, com preços escalonados e serviço de substituição incluído. Para acessórios Holdtag em volume, pode consultar as condições na página de soluções para empresas.
A YubiKey funciona na empresa — se houver um sistema por trás
A chave física é a parte fácil. O que faz com que uma implementação funcione ou falhe é o processo: quem tem qual chave, que acessos tem registados e o que acontece quando alguém sai. Sem esse sistema, acaba com chaves perdidas, acessos não revogados e o departamento de TI a gerir exceções.
Comece pelos perfis de maior risco — TI, direção, acessos a sistemas críticos. Defina o protocolo de onboarding e offboarding antes de comprar as primeiras chaves. E certifique-se de que cada perfil crítico tem o seu backup registado desde o primeiro dia.
