Uma chave de segurança hardware é a melhor proteção diária para as tuas contas: a chave privada vive num chip seguro e nunca o abandona, pelo que nem o malware a consegue roubar. Mas é essa mesma força que cria um risco: se a tua única chave for perdida, roubada ou deixar de funcionar, podes ficar bloqueado em todo o lado onde ela é a única forma de entrar. Este guia mostra como uma segunda chave elimina esse risco.
Porque uma só chave é um ponto único de falha
Ao contrário de um gestor de palavras-passe que sincroniza para a nuvem, uma chave hardware não tem cópia em lado nenhum. Não há botão de «descarregar de novo a minha chave». A chave é um objeto físico, e os objetos físicos perdem-se, ficam no hotel, vão à máquina de lavar ou acabam por falhar no conetor USB ao fim de anos de uso.
Se essa chave é o único método 2FA do teu email, e o teu email é a via de reposição de tudo o resto, perdê-la pode arrastar o acesso a toda a tua vida digital. Uma chave hardware bate o SMS e até as apps TOTP na resistência ao phishing, mas troca essa força por uma verdade dura: sem reserva, não há atalho de recuperação.
A solução não é evitar as chaves hardware. É ter e registar uma segunda desde o início.
A regra das duas chaves
A boa prática reconhecida pelas equipas de segurança é simples: compra duas chaves, regista ambas e guarda-as separadas.
| Papel | Onde vive | Serve para |
|---|---|---|
| Chave principal | No teu porta-chaves diário | O início de sessão de todos os dias |
| Chave de reserva | Um lugar seguro em casa (gaveta, cofre, pessoa de confiança) | A recuperação se a principal se perder ou partir |
A chave de reserva não é um clone: não se pode copiar uma YubiKey, por conceção. Em vez disso, cada conta guarda duas chaves registadas, e qualquer uma te dá acesso. Se perderes a principal, a reserva continua a funcionar, e registas uma substituta ao teu ritmo.
Para um programador ou alguém que gere sistemas críticos, uma terceira chave fora do local (em casa de um familiar, num cofre do escritório) acrescenta outra camada. O princípio adapta-se: nenhuma conta deve depender de um só objeto.
Como configurar a tua chave de reserva, passo a passo
A ordem importa. Regista ambas as chaves antes de desativar os teus outros métodos 2FA, para nunca dependeres de uma só chave durante a configuração.
- Compra duas chaves. Não têm de ser idênticas. Uma YubiKey 5C NFC principal com uma reserva FIDO2 mais barata como Token2 ou Titan funciona na perfeição, porque o início de sessão FIDO2 é igual entre marcas.
- Escolhe primeiro as contas críticas. Email, gestor de palavras-passe, armazenamento na nuvem e qualquer conta que possa repor outras. São aquelas em que um bloqueio dói mais.
- Regista a chave principal em cada conta, nas definições de segurança ou de duplo fator, em «adicionar uma chave de segurança» ou «passkey».
- Regista a chave de reserva nas mesmas contas, de imediato. A maioria dos serviços permite adicionar várias chaves e nomeá-las («Principal», «Reserva»).
- Guarda os códigos de recuperação que cada serviço oferece ao ativar a 2FA. Guarda-os num sítio diferente das duas chaves — impressos numa gaveta, ou no teu gestor de palavras-passe.
- Só agora pondera remover os métodos fracos (SMS) se o serviço mantiver um recurso seguro. Mantém pelo menos uma via de recuperação que controles.
Um teste rápido fecha o ciclo: termina a sessão e volta a entrar apenas com a chave de reserva. Se funcionar, a tua via de recuperação está provada, não suposta.
O que fazer se perderes a chave principal
Com uma chave de reserva já registada, uma chave perdida é um incómodo, não uma crise:
- Inicia sessão com a chave de reserva (ou os códigos de recuperação guardados) para chegar a cada conta.
- Remove a chave perdida nas definições de segurança de cada serviço onde estava registada. Isso impede-a de funcionar se alguém a encontrar — embora a chave seja inútil sem conhecer também a tua palavra-passe e a tua conta.
- Encomenda uma substituta e regista-a como nova chave de reserva, para voltares a ter duas chaves em todo o lado.
Como a chave só assina pedidos do site exato que lhe é apresentado, um desconhecido que a encontre não consegue fazer phishing para entrar nas tuas contas com ela. Ainda assim, removê-la depressa é o gesto limpo e disciplinado.
Se não tinhas nem chave de reserva nem códigos de recuperação, a recuperação recai no processo de recuperação de conta de cada fornecedor — verificações de identidade, prazos de espera, um serviço de cada vez. É exatamente o caminho lento e stressante que a regra das duas chaves serve para evitar.
Mantém o gestor de palavras-passe no circuito
O teu gestor de palavras-passe é uma das contas que mais merece duas chaves registadas — e também pode guardar os códigos de recuperação das tuas outras contas num único cofre cifrado. Para ativar o início de sessão por chave hardware (FIDO2/WebAuthn) no Bitwarden, precisas do plano Premium.
Ativa o início de sessão por chave hardware no Bitwarden Premium →10 $/ano · Compatível com qualquer chave FIDO2 (YubiKey, Titan, SoloKeys, Token2) · Código aberto auditado→Em resumo
Uma chave hardware é a melhor 2FA que podes comprar, mas só é resiliente na medida do teu plano de reserva. Tem duas chaves, regista ambas em cada conta crítica antes de desativar os outros métodos, guarda-as separadas e guarda os códigos de recuperação noutro sítio. Faz isto uma vez, e uma chave perdida passa a ser uma reparação de 15 minutos em vez de um bloqueio de vários dias.
Para o detalhe marca a marca de quais chaves combinar, vê a nossa comparação de chaves de segurança hardware.
★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform
Um gestor com 2FA e passkeys integrados → NordPassGuarde TOTP e passkeys · XChaCha20 · plano gratuito→Perguntas frequentes
Porque preciso de uma YubiKey de reserva?
Uma chave hardware não sincroniza para a nuvem. Se a tua única chave for perdida, roubada ou partir, podes ficar trancado fora de cada conta onde ela é o único método de acesso. Uma segunda chave registada é a tua via de recuperação: nunca dependes de um único objeto físico.
A chave de reserva copia a primeira?
Não. Não se pode clonar uma YubiKey — as chaves privadas nunca saem do chip seguro, por conceção. Uma chave de reserva é uma chave independente que registas além da principal em cada conta. As duas funcionam então; qualquer uma te dá acesso.
Quantas chaves de segurança devo ter?
Pelo menos duas: uma chave principal que levas contigo e uma de reserva guardada num lugar seguro (uma gaveta em casa, um cofre ou com uma pessoa de confiança). Os perfis de alto risco juntam muitas vezes uma terceira fora do local. A regra é simples: nenhuma conta deve depender de uma só chave.
Posso usar uma chave mais barata como reserva?
Sim, desde que suporte o mesmo padrão (FIDO2/U2F) e funcione com as tuas contas. Uma Token2 T2F2 NFC (~22 $) ou uma Google Titan (~30 $) é uma boa reserva de baixo custo para uma YubiKey 5 principal, porque o início de sessão FIDO2 é igual entre marcas.
O que faço se perder a YubiKey sem reserva?
Usa os códigos de recuperação que guardaste ao ativar a 2FA para voltar a entrar, depois remove a chave perdida nas definições de segurança de cada serviço e regista uma nova. Sem códigos guardados nem chave de reserva, a recuperação pode levar dias e exigir verificação de identidade, conta a conta.
Onde devo guardar a minha chave de segurança de reserva?
Num lugar fisicamente separado da chave principal, para que um único evento (uma mala roubada, um incêndio numa divisão) não leve as duas. Um cofre em casa, uma gaveta com fechadura ou a casa de um familiar de confiança são escolhas comuns. Guarda os teus códigos de recuperação ainda noutro sítio.
