Os benefícios da autenticação de dois fatores (2FA) são claros: uma pessoa que tenta entrar em suas contas precisará de algo além de seu nome de usuário e senha, o que torna mais difícil hackear você. Essa outra coisa geralmente é um código enviado via SMS ou por meio de um aplicativo. Mas ainda existe outra opção: uma chave de segurança física.

Essas chaves têm a forma de um dongle USB que você pode conectar ao computador ou apenas aproximando do telefone (o NFC substitui o USB para fazer a conexão). Deste forma, sua identidade será verificada, permitindo que você entre em suas contas. Embora usar um aplicativo autenticador para 2FA seja muito mais seguro do que um SMS, usar uma chave de segurança física é ainda melhor do ponto de vista de proteção.

Isso ocorre principalmente porque você está usando um objeto físico em vez de um código: não há chance de você digitar o código em um site fraudulento ou de ser roubado por outro aplicativo ou por alguém lendo sua tela. Aplicativos de autenticação são muito seguros, mas podem ser comprometidos remotamente. Com uma chave de segurança, alguém precisa ter acesso físico a você.

As chaves podem funcionar via USB, NFC ou até mesmo Bluetooth. Foto: Yubico.

A conveniência também ajuda muito: basta conectá-la e sua identidade será confirmada. Não há necessidade de desbloquear o telefone, abrir um aplicativo ou digitar um código. Se você estiver atualizando seu telefone ou laptop, não há problema: a chave de segurança permanece a mesma.

Você também pode atribuir várias chaves às suas contas. Você pode manter uma no seu chaveiro e mantenha em um local seguro (como dentro de um cofre). Existe, é claro, o perigo de você perder sua chave ou tê-la roubada, mas isso também vale para um molho de chaves ou com seu smartphone. As opções de backup, felizmente, estarão disponíveis.

Existem algumas especificações e padrões que você deve conhecer, sendo o FIDO2 o mais recente e o mais seguro até o momento. Ele se baseia em tecnologia anterior, como o Universal 2nd Factor (U2F). É criptografado, privado e anônimo (no que diz respeito ao próprio dongle USB). Quanto às próprias chaves, elas funcionam off-line e não precisam ser carregadas.

Você pode obter as chaves de várias fontes, incluindo o Google. Imagem: Google.

Você pode comprar chaves do Yubico, Google, SoloKeys, Thetis e outros — basta procurar a compatibilidade FIDO2 para ter certeza de que funcionarão com os serviços e contas que suportam o padrão. Obviamente, você precisa de uma chave que seja o tipo certo de USB que seu laptop ou computador usa.

Embora você não seja capaz de usar esses dispositivos de desbloqueio para todas as suas contas em todos os seus dispositivos, alguns dos principais aplicativos e serviços agora aceitam hardware como uma forma de autenticação. Eles incluem Microsoft, Google, Dropbox, Twitter, Nintendo, Twitch, ProtonMail, eBay, Trello, Instagram, Facebook e Kickstarter, por exemplo. Gerenciadores de senha como LastPass, Dashlane, Bitwarden e 1Password também têm suporte a essas chaves.

Veja como isso é feito no Dropbox, por exemplo, com um YubiKey 5C NFC da Yubico: abra a página de segurança da sua conta e habilite a autenticação de dois fatores, se ainda não tiver feito isso. Você pode escolher como obter seus códigos 2FA, que pode ser por SMS ou por meio de um aplicativo autenticador.

Adicionando uma chave a uma conta do Dropbox. Captura de tela: Dropbox.

Uma dessas opções deve ser ativada, para que possam ser usadas em dispositivos onde as chaves de segurança física não são suportadas ou como um método de backup se sua chave de segurança física não estiver disponível por qualquer motivo. No momento, o Dropbox oferece suporte para a tecnologia de login no site através dos navegadores Chrome e Firefox.

Para adicionar sua chave física, clique em “Adicionar” ao lado de “Chaves de segurança” e em “Iniciar configuração“. Você precisará inserir a senha de sua conta e, quando solicitado, conecte a chave em uma porta USB disponível e clique em “Chave inserida“. Em seguida, você precisa tocar na própria tecla para confirmar a conexão e pronto. Você também tem a opção de dar um nome exclusivo a chave, como forma de reconhecê-la novamente no futuro.

Assine a newsletter do Gizmodo

Na próxima vez que você fizer login em um novo dispositivo, tudo que você precisa fazer é conectar a chave quando solicitado e, em seguida, tocar no botão na parte superior. A conta em questão reconhecerá o dongle USB como aquele que você verificou anteriormente. Sua outra opção 2FA (seja SMS ou um aplicativo autenticador) ainda estará disponível, se necessário.

Adicionando uma chave a uma conta do Google. Captura de tela: Google.

Adicionar uma chave de segurança física a outras contas é bem simples quanto se imagina. No caso de contas do Google, você precisa ir para a página de segurança de sua conta e clicar em “Verificação em duas etapas” — há uma série de opções para escolher 2FA, desde prompts em seus dispositivos confiáveis até códigos gerados por um aplicativo autenticador. Tal como acontece com o Dropbox, uma chave física não remove essas opções, mas adiciona outra alternativa.

Clique em “Adicionar chave de segurança” e siga as instruções na tela. Você pode ver um ou mais de seus telefones ou tablets listados, pois eles também podem ser usados como chaves de segurança. Se você estiver usando uma chave USB como nossa YubiKey 5C NFC, clique em “USB ou Bluetooth“. Você será informado quando inserir sua chave USB e, quando ela for reconhecida, você poderá dar um nome específico.

Na próxima vez que você fizer login em sua conta do Google em um novo dispositivo, uma chave de segurança aparecerá como opção padrão (quando compatível com o hardware e software). Conecte-o, toque no botão da chave e você está em sua conta, com as outras medidas 2FA que você configurou lá como uma rede de segurança, se necessário.