Carreira, amigos, dinheiro… hoje tudo isso tá na internet. Ter uma conta de email ou rede social invadida é um pesadelo que ninguém quer imaginar. E, parando pra pensar bem, talvez não seja a melhor ideia manter tudo isso somente protegido por uma pequena sequência de letras, números e alguns símbolos que chamamos de senha. Ela pode vazar por aí, você pode ser visto a digitando em algum lugar, e aí… dá ruim.
É por isso que dez em cada dez especialistas em segurança recomendam o uso de alguma solução para autenticação em duas etapas (que talvez você leia por aí também como verificação em dois fatores ou algo parecido) para as suas contas online. Com ela, além da senha, você precisa também de algum fator adicional para confirmar que quem quer entrar na conta é você mesmo e não um invasor.
Há alguns métodos diferentes pra isso. Entre os mais populares, o uso de senhas de uso único enviadas por SMS é o mais conveniente, mas também o mais inseguro e, portanto, não é recomendado. Aplicativos que geram estes senhas, como o Google Authenticator ou o Authy são opções mais seguras e ainda acessíveis, funcionando como a melhor opção para a maioria das pessoas. Entretanto, nada impede que eles possam ser comprometidos remotamente, já que funcionam, em geral, em smartphones sempre conectados à internet.
Com isso, também é uma unanimidade entre quem entende do assunto que a melhor solução de autenticação em duas etapas são as chaves físicas de segurança. E elas também são bastante convenientes: após digitar a sua senha, você só precisa encostar a sua atrás do celular ou, se estiver em um computador, inserir na porta USB e tocar no botão dela. Elas não ficam conectadas à internet, exigem intervenção humana e mesmo se alguém ver você usando, isso não significa um risco. Portanto, uma forma bem mais segura.
Comprei, em uma promoção há alguns meses, uma YubiKey 5, considerada por bastante gente como a melhor dessas chaves hoje em dia (sério, pode procurar no Google e clicar em qualquer resultado para confirmar) e agora vou mostrar pra vocês como funciona. Resumindo: funciona bem, é bastante segura, muito conveniente, mas também é cara demais, ainda mais na cotação atual do dólar.
As diferentes versões da YubiKey
Primeiramente, é bom destacar que a YubiKey está disponível em várias versões, e escolher a certa é fundamental para que você não fique com um dispositivo inútil, que não encaixa nas portas USB da sua máquina.
Existem modelos com suporte a portas USB-A (as mais comuns), USB-C (as mais modernas) ou Lightning (para iPhones), com ou sem NFC (que facilita muito a vida com um smartphone) e as versões Nano, para deixar permanentemente conectadas ao seu computador, e Bio, com autenticação adicional por biometria. Elas ficam entre 45 (na versão com USB-A e NFC) e 85 dólares (modelo Bio com USB-C), o que, numa conversão direta, sem taxas e impostos, fica entre 240 e 460 reais. Cada uma. Se possível, é recomendado adquirir ao menos duas, para que você ainda consiga acessar a sua conta sem maiores dificuldades caso perca uma delas.
Uma boa opção para economizar é adquirir uma das Security Keys. Com uma distintiva cor azul, elas são feitas pela mesma Yubico que faz as YubiKeys e mantém a habilidade de servir como chave de segurança para proteção adicional na grande maioria dos sites e aplicativos. Todas possuem o suporte a NFC e ficam entre 25 (no modelo USB-A) e 29 dólares (USB-C), ou seja, de 135 a 160 reais. O preço mais baixo se justifica por estas chaves não terem protocolos adicionais de segurança, que a maioria das pessoas não precisa utilizar.
Agora sim, a YubiKey
Entre elas, adquiri a YubiKey 5C NFC. Meu computador tem uma porta USB-C, é bem possível que o próximo tenha até mais de uma, e o meu telefone tem suporte a NFC, então me pareceu a melhor escolha.
Segundo a própria fabricante, as YubiKeys são resistentes a esmagamentos e à prova d’água. Resistiram bem aos testes do Wirecutter, que passou com um carro por cima e deixou na lavadora um tempinho, mas, do jeito que são caras, é bom não abusar. De qualquer jeito, não ser que você deixe a YubiKey plugada em seu notebook e jogue na mochila, ela deve durar por um bom tempo.
Definir a YubiKey como um método para proteger as suas contas online costuma ser até mais fácil do que os outros disponíveis para autenticação em duas etapas. Em geral, vá às configurações da conta no site ou aplicativo, procure pela parte de segurança, depois por autenticação em duas etapas ou algo parecido e, por fim, em chaves de segurança. Quando solicitado, no computador, insira a YubiKey na USB e toque no botão com a luz que se acende para ativá-la. Já no celular, que deve ter suporte a NFC, encoste a chave atrás do aparelho.
Aqui, é bom fazer três observações do meu uso pessoal. No computador, o Windows 11 insiste em usar o PIN da minha conta local no lugar da YubiKey. Você pode fazer isso, mas perde a conveniência da chave de segurança e vai ter problemas se a máquina pifar, tiver que ser formatada ou qualquer outra coisa assim. Então, se isso aparecer, clique em Cancelar e a opção de inserir a chave USB aparece na hora.
Também pode ser, dependendo do modo como o serviço implementou essa função de segurança, que você precise inserir um PIN (que na verdade, pode ser uma senha alfanumérica) específico para usar a chave. Quando solicitado, defina essa senha para a sua chave e não a esqueça: se isso acontecer, você até consegue resetar essa credencial, mas ela deixa de funcionar em todos os lugares onde você a configurou. A própria Yubico fala mais sobre isso aqui (em inglês).
E, no caso dos dispositivos móveis, você precisa encostar a YubiKey sobre a antena NFC do seu aparelho para que tudo funcione bem. Se você não sabe onde fica essa antena, dar uma olhadinha no manual do celular pra saber exatamente onde ela fica pode te ajudar a poupar um tempo sempre que precisar usar. Se ainda tiver dúvida, essa página (em inglês) tem alguns links para os sites das fabricantes que podem te ajudar. Ah, não esqueça de confirmar que o NFC está habilitado nas configurações do dispositivo.
E aí, vale a pena?
Vale. É um mecanismo de segurança desconectado da internet, impossível de ser remotamente invadido, e que, ao contrário dos smartphones, não representa um grande risco caso seja perdido ou roubado, afinal, ele é só uma das etapas da autenticação, que ainda vai exigir a sua senha.
O único problema é ser caro, o que dá pra ser um pouco aliviado com as Security Keys. Mas, ainda custando mais de 200 reais juntando com o frete e IOF para importar, é um investimento que a maioria das pessoas não pode fazer. E nem considerei ainda a possibilidade do Imposto de Importação, que nunca sai barato.
O que recomendo é: se você pode comprar duas YubiKeys, compre. Elas são mais caras que as Security Keys, mas têm um recurso bem legal mesmo para o usuário comum: suporte à geração daqueles códigos como os do Google Authenticator ou do Authy, com a vantagem dos dados necessários ficarem armazenados na chave e não no celular. Com isso, é possível ter acesso a estes códigos em qualquer dispositivo, desde que ele tenha o aplicativo da Yubico instalado. Funciona como uma excelente alternativa de segurança caso o site suporte a autenticação com estes números, mas não com as chaves.
Mas se o saldo bancário só permite adquirir as Security Keys, elas ainda serão um excelente incremento pra proteger as suas contas online. Só pode comprar uma? Tudo bem, ainda é interessante, mas aí é recomendável pensar no que fazer caso você a perca. Os sites costumam oferecer senhas de emergência para uso único, então anote estes códigos para quando precisar.
E se não sobrou dinheiro algum? Ainda dá pra aumentar a segurança das contas. Ative a autenticação em duas etapas em todos os lugares possíveis e, quando der, use aplicativos para gerar estes códigos. O meu favorito é o Authy. O site só deixa fazer isso por SMS? Então faça, qualquer método adicional de segurança é melhor do que nenhum método. Mas sempre busque os mais seguros possíveis. E remova da sua conta os mais inseguros, pois é por eles que a sua conta, mesmo se tiver uma YubiKey ou o que mais existir, ainda pode correr risco de ser invadida.
Rodrigo Konther 