YubiKey: Chave de segurança de hardware para criptografia e autenticação multifator (MFA).
Uma pequena aba de metal que você toca com a ponta do dedo fez algo que nenhuma senha jamais conseguiu: acabou com as invasões de contas em uma das empresas mais atacadas do mundo. Depois que o Google distribuiu um YubiKey para mais de 85.000 funcionários , o número de contas de funcionários invadidas com sucesso por phishing caiu para zero e permanece assim desde o início de 2017. Essa é a proposta de uma chave de segurança de hardware. Não é um antivírus e não armazena suas moedas. É um objeto físico que comprova sua identidade e é praticamente impossível de ser enganado.
Este guia explica o que é uma YubiKey, como ela funciona, por que é melhor que SMS e aplicativos de autenticação e como usá-la para proteger as contas de criptomoedas que os ladrões visam primeiro.
O que é um YubiKey e por que ele é importante
Imagine um YubiKey como uma chave de casa para suas contas, só que esta não pode ser copiada. É uma pequena chave de segurança de hardware da Yubico, a empresa sueco-americana que as fabrica desde 2007. Sem bateria. Sem tela. Apenas um pequeno pedaço de plástico e metal do tamanho de um pen drive que se encaixa em uma porta USB ou encosta no seu celular via NFC, com um disco dourado que você pressiona com a ponta do dedo.
A ponta do dedo é o segredo. Uma senha é algo que você sabe, e tudo o que você sabe pode ser roubado, vazado ou adivinhado, muitas vezes as três coisas ao mesmo tempo. Um YubiKey é algo que você possui, e você não pode roubar um objeto físico do bolso de alguém. Então, ele se torna um segundo fator para a autenticação de dois fatores, e um fator persistente. Ele não armazena suas moedas nem seus arquivos. Ao fazer login, ele responde a uma única pergunta e depois fica em silêncio: o verdadeiro dono está aqui agora? Toque, e você entra. Não toque, e o login simplesmente falha na tela, por mais perfeita que a senha roubada pareça.
Como um YubiKey funciona para impedir o phishing
A genialidade não está no hardware. Trata-se de uma assinatura vinculada ao domínio que um site falso jamais conseguirá extrair do dispositivo.
Um segredo que nunca desaparece
Ao registrar uma YubiKey em um serviço, este cria silenciosamente um novo par de chaves, uma pública e uma privada, usando criptografia de chave pública. A metade privada é gravada em um chip seguro e nunca mais é acessada. Nem por USB, nem com o dispositivo em sua mão, nunca. Apenas a metade pública é enviada ao servidor. Depois disso, cada login se torna uma rápida chamada e resposta: o site envia um desafio aleatório, a chave o assina com a metade privada, que ninguém consegue ler, e o servidor compara essa assinatura com a metade pública que armazenou. Esse é o padrão FIDO2 e WebAuthn, baseado no antigo U2F, e é por isso que suas credenciais não podem ser extraídas do dispositivo.
Por que o phishing não funciona
Agora, a parte que realmente impede o phishing. Nessa mesma troca de informações, o navegador também informa à chave em qual domínio você está. A YubiKey compara essa informação com o site em que foi registrada inicialmente. Em uma página semelhante, o domínio está incorreto, então a chave simplesmente ignora e se recusa a assinar. Você pode ser completamente enganado pelo site falso — o hardware não, e o hardware é o que importa. Adicione a isso a verificação física que comprova a presença de um humano, e você terá o que as agências de segurança chamam de autenticação resistente a phishing. Uma senha pode ser digitada em um campo falso. Uma assinatura vinculada a um domínio, não.
OTP, cartão inteligente e chaves de acesso
Um YubiKey de última geração fala várias línguas, não apenas uma. Ele pode gerar uma senha única Yubico, um conjunto complexo de 44 caracteres, ao lado dos códigos de seis dígitos exibidos por um aplicativo. Ele também gera senhas únicas baseadas em tempo, o mesmo padrão TOTP usado pelo seu aplicativo autenticador. Funciona como um cartão inteligente para logins corporativos e governamentais. E armazena chaves de acesso para autenticação totalmente sem senha, onde a chave é o login, e não um backup. Essa última funcionalidade está se popularizando rapidamente: a FIDO Alliance afirma que quase metade dos 100 sites mais populares já aceitam chaves de acesso.
| Protocolo | O que faz | Substitui |
|---|---|---|
| FIDO2 / WebAuthn | Logins e senhas resistentes a phishing | Senhas e autenticação de dois fatores fraca. |
| U2F | segundo fator vinculado à origem | Códigos SMS e de aplicativos |
| Yubico OTP | Senha única de 44 caracteres | Códigos de autenticação curtos |
| TOTP / JURAMENTO | Códigos temporais armazenados na chave | Um aplicativo autenticador separado |
| Cartão inteligente (PIV) | Login baseado em certificado | Logins com crachás corporativos |
Por que um YubiKey supera SMS e aplicativos de autenticação?
Todos os outros fatores de autenticação comuns podem ser repassados para um site falso em tempo real. Uma YubiKey não pode, e é exatamente nessa brecha que as criptomoedas são roubadas.
SMS é o elo mais fraco
Um código enviado por SMS parece conveniente, mas é a pior opção comum. O código é enviado para o seu número de telefone, e seu número pode ser roubado. Em uma troca de SIM, um atacante convence sua operadora a transferir seu número para o SIM dela e, em seguida, intercepta seus códigos diretamente. Este não é um caso raro. A fraude de troca de SIM no Reino Unido aumentou mais de 1.055% em 2024. É por isso que a CISA e o FBI se recusam a considerar SMS como autenticação multifator (MFA) resistente a phishing. Para uma conta com dinheiro, confiar em SMS é um erro, e é exatamente essa fragilidade que torna uma chave de hardware mais importante para detentores de criptomoedas do que para quase qualquer outra pessoa.
Até mesmo os aplicativos de autenticação têm uma brecha para phishing.
Os aplicativos de autenticação representam um grande avanço em relação ao SMS e são considerados uma forma robusta de autenticação de dois fatores, comparável a um código enviado por SMS, mas ainda apresentam uma vulnerabilidade. Qualquer autenticação multifator (MFA) vale a pena ser ativada; a Microsoft constatou que ela bloqueia 99,9% dos ataques automatizados. Mesmo assim, o tipo de autenticação é o fator determinante para que um golpista humano consiga burlar o sistema. O código de seis dígitos exibido pelo aplicativo é apenas um número, e um número pode ser digitado em um campo falso. Uma página de phishing moderna solicita seu código e o retransmite para o serviço legítimo dentro de um prazo de 30 segundos. Um YubiKey elimina essa vulnerabilidade, pois sua assinatura está vinculada ao domínio real e não pode ser replicada em outro. Isso não é teoria. É por isso que os 85.000 funcionários do Google deixaram de ser vítimas de phishing no dia em que as chaves de hardware substituíram todos os outros métodos.
| Método | Resistente a phishing | À prova de troca de SIM | Funciona offline |
|---|---|---|---|
| código SMS | Não | Não | Não |
| Aplicativo autenticador | Não | Sim | Sim |
| YubiKey | Sim | Sim | Sim |
Use uma YubiKey para proteger suas criptomoedas.
Eis a vantagem para qualquer pessoa no mundo das criptomoedas: uma YubiKey bloqueia exatamente as contas que são os principais alvos de golpes de troca de SIM e roubo de carteiras. A maioria das principais corretoras agora oferece suporte a uma chave de segurança de hardware para proteção de contas, e várias permitem login completo com FIDO2 ou senha, incluindo Coinbase , Binance, Gemini, OKX, Bybit, Crypto.com e KuCoin. Kraken e Bitfinex aceitam uma chave de hardware como segundo fator de autenticação. Ativar essa opção significa que mesmo um ladrão que tenha sua senha e seu número de telefone não conseguirá acessar sua conta sem a chave física.
Não pare na corretora. A conta mais importante é o seu e-mail — é a chave de recuperação para tudo o mais — então, coloque uma chave nela primeiro. Em seguida, adicione uma ao seu gerenciador de senhas, depois à sua corretora e a qualquer serviço de carteira que a suporte. O objetivo é simples: eliminar todos os logins que dependem exclusivamente de um código que um golpista pode obter por phishing ou interceptar. A mesma chave protege seus outros serviços online com um único hábito e, como a tecnologia foi criada especificamente para combater ataques de phishing, ela neutraliza a etapa exata que um golpista que drena carteiras ou uma página falsa de airdrop utiliza. Em todas essas contas online, a YubiKey se torna a única credencial que ninguém pode copiar remotamente, o que fecha silenciosamente a porta que os golpes de troca de SIM e drenagem de carteiras exploram.
Modelos de YubiKey e como escolher
O catálogo da Yubico parece mais assustador do que realmente é. Três perguntas resolvem a questão: quais portas seus dispositivos possuem, se você quer NFC para o seu celular e se deseja um leitor de impressões digitais.
Para a maioria das pessoas, a resposta é o YubiKey 5 NFC, por cerca de US$ 58. Ele é compatível com todos os protocolos mencionados acima e oferece USB-A e NFC. Seus dispositivos são todos USB-C? O YubiKey 5C NFC é a mesma chave em um formato diferente. Quer gastar menos? O Security Key, por cerca de US$ 29, dispensa os recursos extras e funciona apenas com FIDO2 e U2F, o que é suficiente para criptografia e logins do dia a dia. Prefere impressão digital? A série YubiKey Bio, perto de US$ 98, adiciona um sensor biométrico para uso sem PIN, e há uma linha FIPS para ambientes de trabalho regulamentados. Seja qual for a sua escolha, compre dois. O segundo será seu reserva, e você agradecerá por tê-lo quando o primeiro precisar ser lavado.
Configurando e começando a usar um YubiKey
A configuração leva cerca de dez minutos por conta. A parte sobre a qual ninguém te avisa é o backup.
Registrando sua chave
Comece pela página de configuração oficial, escolha um serviço e abra as configurações de autenticação de dois fatores ou senha. Em seguida, escolha um dos três caminhos para configurar a chave: registrá-la como uma chave de segurança, salvar uma senha nela ou inseri-la em um aplicativo autenticador. Toque na tela quando solicitado e pronto. A maioria das pessoas acaba usando duas YubiKeys e algumas opções de autenticação em cada conta, então perder um dispositivo nunca significa ficar sem acesso a ele. A mesma chave funciona no Windows, macOS, Linux, Android e iOS, protegendo tanto seu laptop quanto seu celular. Configure primeiro seu e-mail, depois seu gerenciador de senhas e, por último, seu Exchange. Essas três opções cobrem a maior parte dos seus riscos reais.
A pegadinha: backups e limites honestos.
Uma YubiKey não é mágica, e é importante conhecer as suas desvantagens. Registre uma única chave, perca-a e você pode se bloquear, então sempre cadastre uma chave reserva ou guarde seus códigos de recuperação em um local seguro. Nem todos os serviços ainda oferecem suporte a chaves de hardware, embora a lista cresça a cada ano. Há o custo inicial, em torno de US$ 58. E o hardware apresentou alguns bugs: uma falha de 2017 chamada ROCA, um problema da Infineon em 2024, ambos exigindo acesso físico e ambos corrigidos em versões mais recentes do firmware. São detalhes, não impeditivos. Nenhum deles supera o que realmente importa aqui, que é impedir completamente a invasão remota de contas.
Vale a pena adquirir um YubiKey para usuários de criptomoedas?
Para quem possui criptomoedas, a resposta é um sim categórico. Uma YubiKey é uma compra única, em torno de US$ 58, mais uma chave reserva, sem assinatura. Compare isso com o risco de uma simples troca de SIM ou um ataque de phishing que esvazie sua conta em uma corretora, e a diferença é gritante. Uma senha e um aplicativo autenticador aumentam a segurança; a autenticação multifator (MFA) com a YubiKey eleva essa segurança a um nível inacessível para invasores remotos. Se você possui pelo menos uma conta online com dinheiro, essa é a proteção mais barata que você pode comprar.
Um YubiKey transforma seu dedo em uma senha.
Deixando de lado os protocolos e os números de modelo, o YubiKey faz uma coisa extremamente bem: transforma a parte mais segura do seu login em um objeto físico que você segura e toca. Ataques de phishing podem copiar uma senha e retransmitir um código, mas não conseguem copiar uma chave que está no seu bolso — nem simular o toque do seu dedo. Essa é a razão pela qual ele funciona onde todos os outros métodos falham. Adicione um YubiKey ao seu e-mail e à sua conta principal de e-mail esta semana e crie um backup. Portanto, a única pergunta que resta é prática: qual conta que contém seu dinheiro você ainda está protegendo com um código que um estranho poderia roubar hoje?
