O que é uma security key (chave de segurança física)?
Uma security key — ou chave de segurança física — é um dispositivo do tamanho de uma pen drive que protege as tuas contas contra o phishing de forma absoluta. Ao contrário do SMS ou das apps de autenticação, uma security key verifica o domínio do site antes de responder: se o site for falso, não autentica. Segundo a Google, desde que implementou chaves físicas para os seus funcionários, os casos de phishing caíram para zero (Google, 2019).
Neste artigo explicamos como funciona, para que serve e quais os modelos que fazem mais sentido de acordo com o teu dispositivo.
Como funciona uma security key?
Uma security key é um segundo fator de autenticação baseado em criptografia de chave pública. Quando a registas num serviço, o dispositivo gera um par de chaves únicas:
- Uma chave privada que nunca sai do hardware
- Uma chave pública que é registada no serviço
Quando inicias sessão, o serviço envia um desafio matemático que apenas a tua chave pode resolver. E o mais importante: a chave verifica o domínio antes de responder. Se alguém te enviar para um site falso que imita o teu banco ou o Gmail, a chave falha automaticamente, mesmo que o atacante tenha a tua palavra-passe.
Para que serve uma security key?
As security keys protegem contas em serviços compatíveis com os padrões FIDO2 e WebAuthn, que hoje incluem a maioria das plataformas importantes. Casos de uso mais comuns:
- E-mail principal e gestor de palavras-passe
- Contas bancárias e fintech (Revolut, PayPal, Wise)
- Exchanges de criptomoedas (Binance, Coinbase, Kraken)
- Contas corporativas com acesso a dados sensíveis
- Acesso SSH a servidores e consolas cloud (AWS, GCP, Azure)
Se lidas com informações sensíveis ou contas com valor económico, uma security key elimina o vetor de ataque mais comum: o phishing.
Security keys recomendadas
Estes dois modelos da YubiKey são os mais utilizados. A única diferença é o conetor — escolhe de acordo com as portas dos teus dispositivos.
A mais vendida
YubiKey 5 NFC (USB-A)
Compatível com USB-A e NFC. Suporta FIDO2, WebAuthn, OTP e OpenPGP. Sem bateria, sem drivers.
Para portáteis modernos
YubiKey 5C NFC (USB-C)
Mesmas funções que a 5 NFC, mas com conetor USB-C. Compatível também com smartphones Android sem adaptador.
Acessórios para a tua YubiKey
Assim que tiveres a chave, protegê-la fisicamente é igualmente importante. Estes acessórios são fabricados em Espanha e desenhados especificamente para a YubiKey.
Porta-chaves
Porta-chaves com Lanyard
Capa com lanyard integrado. Protege contra impactos e riscos do uso diário. PLA+, fabricado em Espanha.
Para a carteira
Suporte Formato Cartão
Mesmas dimensões que um cartão de crédito. Cabe em qualquer carteira sem ocupar volume extra. PLA+, fabricado em Espanha.
Se andas com a YubiKey no porta-chaves, a capa com lanyard é a opção mais prática. Se a guardas na carteira, o suporte formato cartão ocupa exatamente o mesmo espaço que um cartão de crédito.
Security key vs outras formas de 2FA
Nem todos os segundos fatores oferecem o mesmo nível de proteção:
| Método 2FA | Protege contra phishing | Requer bateria | Custo aprox. |
|---|---|---|---|
| Security key (FIDO2) | ✅ Sim | ❌ Não | 25–70 € |
| App autenticadora (TOTP) | ❌ Não | ✅ Sim (telemóvel) | Grátis |
| SMS com código | ❌ Não | ✅ Sim (telemóvel) | Grátis |
| E-mail com link | ❌ Não | ✅ Sim (telemóvel) | Grátis |
A diferença crítica é a proteção contra phishing. Com SMS ou TOTP, um atacante pode capturar o código em tempo real. Com uma security key, o dispositivo valida o domínio antes de responder — bloqueando o ataque mesmo que o atacante tenha a tua palavra-passe.
A regra do backup: sempre duas chaves
Este é o erro mais comum ao começar: registar apenas uma chave. Se a perderes ou se avariar, ficas bloqueado fora de todas as contas onde a tinhas configurado. A solução é simples: regista sempre uma segunda chave como backup e guarda-a num lugar seguro.
Compra duas chaves desde o início. Usa a primeira diariamente e guarda a segunda como reserva. Se nalgum serviço não conseguires registar uma segunda chave, guarda os códigos de recuperação impressos em papel.
Perguntas frequentes
Funciona no telemóvel?
Sim, se a chave tiver NFC ou conetor USB-C compatível. Ambos os modelos recomendados aqui incluem NFC — basta aproximar a chave do telemóvel para te autenticares.
O que acontece se a perder?
Se registaste uma segunda chave ou guardaste os códigos de recuperação, podes restaurar o acesso sem problemas. Por isso é importante configurar o backup desde o início.
Funciona com Gmail, Outlook e redes sociais?
Sim. Google, Microsoft, GitHub, X e a maioria das plataformas relevantes suportam FIDO2 e WebAuthn.
Tem bateria?
Não. É alimentada pela porta USB ou pelo campo NFC. Não requer carregamento nem manutenção.
Preciso de instalar algum driver?
Não. As YubiKey funcionam como dispositivos HID padrão — são reconhecidas automaticamente no Windows, macOS e Linux.
Por onde começar
Uma security key é a forma mais eficaz de proteger as contas online contra phishing e roubo de credenciais. Se nunca usaste uma, esta é a ordem recomendada: compra duas chaves (uma para uso diário, outra de backup), regista-as primeiro no teu e-mail principal e no teu gestor de palavras-passe, e guarda os códigos de recuperação de cada serviço em papel.
O custo de duas chaves — menos de 100 € — é baixo comparado com o impacto de perder o acesso a uma conta crítica.
