Pule para o conteúdo
RegistrarCadastre-se

  • Início

  • Produtividade

  • Dicas de aplicativo

Dicas de aplicativo

8 min de leitura

O que é uma YubiKey e como ela funciona?

Por Jessica Lau · novembro 27, 2023
Imagem de herói com um ícone representando a segurança da IA

Muitos aplicativos que uso exigem autenticação de dois fatores (uma etapa extra no processo de login para confirmar que você é quem diz ser). Antigamente, isso significava que eu tinha que pegar meu telefone, abrir um aplicativo autenticador e inserir manualmente um código exclusivo. E se eu atrapalhasse o código — o que, sejamos honestos, acontecia com frequência — eu teria que repetir o processo. 

Na Zapier, porém, usamos uma YubiKey para fazer isso. É muito mais prático. E para a alegria da nossa equipe de segurança, ele é mais seguro do que outros dispositivos de autenticação de dois fatores. Veja aqui o porquê e como você também pode configurar sua YubiKey.  

Índice:

  • O que é uma YubiKey?

  • O que é autenticação de dois fatores?

  • Por que o YubiKey é melhor que outros dispositivos 2FA? 

  • Como configurar seu YubiKey

  • O que é uma YubiKey: Perguntas frequentes

O que é uma YubiKey? 

Imagem de herói de um monte de YubiKeys de tamanhos diferentes

O YubiKey é um dispositivo que torna a autenticação de dois fatores (2FA) o mais simples possível. Muitos aplicativos, serviços on-line e computadores aplicam 2FA toda vez que um usuário deseja se conectar. Em vez de um código ser enviado para você por mensagem de texto ou gerado por um aplicativo autenticador, você aperta um botão na sua YubiKey e faz login. É isso. 

Poderíamos entrar em detalhes matemáticos e detalhar os vários protocolos suportados por dispositivos como esse, mas tudo o que você provavelmente precisa saber é que cada dispositivo tem um código exclusivo incorporado, que é usado para gerar códigos que ajudam a confirmar sua identidade.

O YubiKey não é o único dispositivo de hardware 2FA no mercado, mas é apenas o mais popular. Há vários dispositivos semelhantes por aí, e a maioria das informações descritas neste artigo se aplica a eles.

O que é autenticação de dois fatores?

Já escrevemos bastante sobre autenticação de dois fatores, mas é necessário rever os conceitos básicos antes de explicar por que os dispositivos de autenticação de dois fatores 2de hardware são uma boa ideia.

Senhas são terríveis. A maioria é fácil demais para hackers adivinharem, e o restante é longo ou complicado demais para humanos lembrarem. Mesmo senhas seguras se tornam inúteis quando vazam, e vazamentos são basicamente inevitáveis. Por essas e outras razões, é uma boa ideia não depender apenas de senhas. Essa é a ideia por trás da autenticação de dois fatores. 

Com a autenticação de dois fatores, você precisa de duas coisas para fazer login: sua senha, sim, mas também algo mais que prove que você é quem diz ser. Você provavelmente conhece duas maneiras de fazer 2FA:

  • Códigos SMS ou e-mail. Os aplicativos enviam um código que você precisa inserir antes de poder fazer o registro. Este é o método mais fácil de configurar porque você não precisa instalar nenhum software nem comprar nenhum hardware. Também é o menos seguro porque e-mail e SMS não são criptografados e podem ser facilmente comprometidos.

  • Aplicativos de autenticação. Os aplicativos nos quais você deseja fazer login solicitarão um código que você pode recuperar abrindo um aplicativo no seu telefone, como o Google Authenticator ou Authy. Isso é muito mais seguro do que depender de SMS ou e-mail, mas não é exatamente prático: você precisa pegar seu telefone, abrir um aplicativo e inserir um código manualmente.

O YubiKey representa uma terceira maneira de fazer 2FA: autenticação de hardware. Os aplicativos pedem que você conecte uma ferramenta como uma YubiKey no seu dispositivo e pressione um botão. O YubiKey então envia um código exclusivo que o serviço pode usar para confirmar sua identidade. 

Há muito mais nuances do que isso, é claro. Mas, na maioria dos casos, você só precisa saber que o hardware 2FA é mais seguro e fácil de usar.

Por que o YubiKey é melhor que outros dispositivos 2FA?

Já falamos um pouco sobre isso, mas vamos falar sobre por que uma YubiKey (e dispositivos similares) é melhor do que outras formas de 2formulário. Para citar alguns:

  • Conveniência. Aplicativos de SMS, e-mail e autenticação exigem que você insira manualmente ou copie e cole um código. Com o YubiKey, você só precisa pressionar um botão em um dispositivo conectado ao seu computador para preencher o código. 

  • Códigos muito mais longos. Outros métodos 2FA normalmente enviam apenas um código de seis dígitos para confirmar sua identidade, principalmente porque não seria razoável esperar que humanos digitassem muito mais do que isso. As YubiKeys não exigem que você insira um código manualmente, então elas podem usar códigos muito mais longos. Isso é mais seguro.

  • Fácil de migrar. Você comprou um computador novo? Basta desconectar sua YubiKey da antiga e conectá-la na nova. Você ainda poderá fazer o registro em todos os seus aplicativos, como antes. Você também pode usar uma chave para fazer o registro na sua conta em vários computadores.

  • Muito difícil de hackear. É relativamente fácil para hackers comprometer seu e-mail ou SMS. É muito mais difícil — quase impossível com a tecnologia atual — falsificar os códigos gerados por um dispositivo de hardware exclusivo.

Novamente, há muito mais nuances aqui, mas essas são as vantagens gerais do YubiKey em relação a outras formas de 2FA.

Como configurar seu YubiKey

Configurar seu YubiKey não é muito diferente de configurar um aplicativo 2FA. Se você estiver usando um YubiKey (não outro autenticador de hardware), aqui está o que você precisa fazer:

  1. Conecte sua YubiKey.

  2. Acesse Yubico.com/setup e clique no seu dispositivo.

  3. Na seção Contas e serviços compatíveis , navegue pela lista de aplicativos e serviços suportados e selecione aqueles que você deseja proteger com seu dispositivo.

  4. Sua seleção aparecerá em uma lista ao lado dos aplicativos disponíveis. 

  5. Clique no ícone de reprodução ao lado do seu aplicativo selecionado e siga as instruções de configuração do vídeo. Ou clique na seta diagonal em uma caixa para acessar a versão em texto.  

Site da Yubico com uma lista de aplicativos e serviços para proteger com uma YubiKey.

A configuração varia de acordo com o aplicativo e o dispositivo, mas vou configurar o Google no meu computador como exemplo. 

  1. Clique no link de instruções de texto. 

  2. As instruções para adicionar sua YubiKey à sua conta do Google serão exibidas.  

  3. Clique em Registrar sua chave de segurança

  4. Insira sua YubiKey na porta USB do seu computador e toque nela ou pressione o botão nela.

    Pop-up do Google para inserir uma chave de segurança e tocar nela.

  5. Dê permissão ao seu navegador para acessar sua YubiKey, se necessário. 

    Solicitação do Google para conceder acesso à sua YubiKey.

  6. Opcionalmente, você pode dar um nome à sua YubiKey, o que é útil se você tiver chaves de segurança.

    Confirmação do Google de que a YubiKey está registrada.

É isso. Agora você pode usar sua YubiKey para fazer o registro na sua conta Google em qualquer dispositivo. Repita esse processo para cada conta que você deseja bloquear dessa maneira.

O que é uma YubiKey: Perguntas frequentes

Ainda tem dúvidas sobre como usar sua YubiKey? Confira as respostas para essas perguntas frequentes. 

Como faço para parar de acionar acidentalmente minha YubiKey?

Eu tenho o YubiKey 5C Nano, que é um pequeno dongle USB-C que deixo conectado no meu laptop. Não é bem um botão, mas sim uma fina tira de metal que é acionada quando tocada — o que, no meu caso, acontece sempre que pego meu laptop. 

Quando você toca no YubiKey, ele pensa que você está tentando fazer login em algo, o que resulta em um código seguro sendo preenchido em qualquer caixa de texto que você tenha aberto e, então, a tecla Enter sendo "pressionada". O resultado, no Slack, fica assim:

Um exemplo do que acontece se você pressionar sua YubiKey no Slack: uma longa série de letras aleatórias em uma mensagem do Slack.

Esses códigos são gerados pelo OTP, que é um dos protocolos que sua YubiKey usa para se conectar aos servidores. Você pode impedir que isso aconteça desativando o OTP, mas isso pode prejudicar sua capacidade de efetuar login em alguns serviços. 

Acho que, para a maioria dos usuários, é melhor configurar o OTP para não acionar a menos que você segure o botão por três segundos. O YubiKey oferece instruções para corrigir isso, mas elas são meio difíceis de seguir, então aqui vai um resumo.

  1. Baixe o YubiKey Manager no seu computador. 

  2. Instale-o. 

  3. Abra o programa. 

  4. Clique em Aplicativos e selecione OTP.

    Aplicativo gerenciador YubiKey com o aplicativo OTP selecionado.

  5. Por padrão, o Toque curto no slot 1 está configurado; o Toque longo no slot 2 está vazio. Clique em Trocar para alterar isso.

    Como configurar os slots de toque curto e longo no aplicativo YubiKey Manager.

Agora você ganhou 2.9 segundos para tocar livremente em sua YubiKey sem que ela acidentalmente diga coisas sem sentido no aplicativo de chat da sua equipe

Observação: se você já configurou o Slot 2 para outra finalidade, a configuração fica um pouco mais complicada. Aqui estão as instruções da Yubico

Acionar acidentalmente minha YubiKey em uma sala de chat é realmente ruim?

Se você acidentalmente colar seu código YubiKey em algo como o Slack ou um editor de texto, isso não é motivo para pânico imediato — não é totalmente óbvio a quem ele pertence ou para que sistema ele pode ser usado para fazer login. E se você postou no Slack, espero que seus colegas de trabalho não estejam tentando hackear você.

Dito isso, sempre há uma chance de um código FA 2vazado permitir que um hacker particularmente criativo seja ativado, então tente não criar o hábito disso.

Você também não estará desamparado se isso acontecer. Cada código YubiKey é único e se torna inválido toda vez que você usa o dispositivo para fazer o registro em algo. Mas se estiver preocupado, você pode invalidar os códigos manualmente. Basta colar o código vazado neste site

Posso usar uma YubiKey com vários dispositivos?

Sim! Você pode usar sua YubiKey para fazer o registro em quantos dispositivos quiser, desde que haja um slot para ela. Basta conectar sua YubiKey em qualquer computador e fazer o registro como faria normalmente. 

E se eu perder minha YubiKey?

Não é ótimo. Sem sua YubiKey, você provavelmente não conseguirá fazer o registro. Mas há algumas coisas que você pode fazer para reduzir o risco.

  • Use códigos de backup. A maioria dos serviços que suportam 2FA (incluindo YubiKey) permitem que você crie códigos de backup. Certifique-se de fazer isso e de manter os códigos em algum lugar seguro, de preferência offline. Considere imprimi-los e colocá-los em um cofre, se possível.

  • Adicione uma chave de segurança de backup. Você pode comprar uma segunda YubiKey como reserva, adicioná-la como uma opção para todos os seus serviços e armazená-la em algum lugar seguro (talvez um cofre diferente daquele onde estão seus códigos de backup?). Ou você pode adicionar algum outro tipo de FA baseado em aplicativo 2a qualquer serviço que você configurar com seu YubiKey.

Se você não tem códigos de backup ou outro método 2FA e já perdeu sua YubiKey, você não está necessariamente sem sorte. A maioria dos serviços que oferecem 2FA tem algum tipo de processo de verificação para fazer login após perder suas credenciais, mas esteja avisado: isso vai demorar um pouco e vai dar muito trabalho. É muito melhor estar preparado, então certifique-se de ter códigos de backup em algum lugar seguro ou um segundo método 2FA configurado.

Certifique-se de remover sua YubiKey perdida como um método FA 2depois de recuperar o acesso à sua conta. É provável que quem encontrar sua YubiKey não saiba a quais contas ela dá acesso, mas é melhor prevenir do que remediar.

Para esclarecer: seu Yubikey não armazena nomes de usuários identificáveis e não armazena nenhuma de suas senhas. Qualquer um que encontrar sua YubiKey não terá como saber em quais contas ela pode fazer login. Isso muda um pouco se a pessoa que "encontra" o objeto sabe que ele é seu — digamos, porque o roubou de sua casa ou escritório. Mas quem encontrar uma YubiKey na rua ou num aeroporto não conseguirá descobrir de quem é a chave.

Automatize sua segurança digital

Ninguém está fora do alcance dos hackers e outros criminosos da segurança cibernética. Todos, incluindo proprietários de pequenas empresas, correm risco de problemas de segurança digital. Tomar medidas proativas pode melhorar a eficácia da sua segurança digital contra todas as ameaças. Saiba mais sobre como você pode melhorar sua segurança digital com automação.

Leitura relacionada: 

  • Ferramentas que você precisa adicionar à sua pilha de segurança

  • Comportamentos de segurança para se proteger de hackers

  • Por que a VPN da Zapier não usa senhas

Este artigo foi publicado originalmente em julho 2020 por Justin Pot. A atualização mais recente foi em novembro 2023.

Receba dicas de produtividade diretamente na sua caixa de entrada

Enviaremos um e-mail para você uma a três vezes por semana e nunca compartilharemos suas informações.

Foto de Jessica Lau

Jéssica Lau

Jessica Lau é especialista sênior de conteúdo na Zapier. Além de escrever, ela gosta de aconchegar seus cachorros e dar recomendações não solicitadas de podcasts e livros.

tags

Artigos relacionados

Melhore sua produtividade automaticamente. Use o Zapier para integrar seus aplicativos.

Cadastre-se
Veja como o Zapier funciona
Um Zap com o acionador "Quando eu recebo um novo lead do Facebook" e a ação "Notificar minha equipe no Slack"