YubiKey: o guia completo para proteger suas contas com chave de segurança física

Você provavelmente já usa autenticação em dois fatores (2FA). Talvez receba um SMS com código, ou use um app como Google Authenticator. Isso é bom — mas não é suficiente.

SMS pode ser interceptado via ataques de SIM swapping. Apps de TOTP podem ser vazados se seu celular for comprometido. E phishing sofisticado consegue capturar códigos em tempo real.

A YubiKey resolve todos esses problemas de uma vez.

O que é uma YubiKey?

A YubiKey é uma chave de segurança física — um pequeno dispositivo USB (ou NFC) fabricado pela Yubico que implementa os padrões FIDO2, WebAuthn e U2F. Você a insere no computador ou aproxima do celular e, em vez de digitar um código, basta tocar o botão da chave.

O que a torna diferente:

• Resistente a phishing por design: a chave verifica o domínio do site antes de autenticar. Uma página falsa de g00gle.com simplesmente não funciona.
• Sem bateria, sem app: é um dispositivo de hardware puro.
• Impossível de clonar remotamente: a chave privada nunca sai do dispositivo.
• Funciona offline: sem dependência de rede ou celular.

Modelos disponíveis

Para a maioria das pessoas, a YubiKey 5C NFC é a escolha certa em 2025.

Dica importante: sempre compre pelo menos duas chaves. Use uma como backup guardada em local seguro. Perder a única chave pode bloquear seu acesso a tudo.

O que você pode proteger com ela

Contas web (FIDO2/WebAuthn)

Os sites que suportam FIDO2 oferecem a autenticação mais segura possível. Exemplos:

• GitHub — configurações → Password and authentication → Security keys
• Google → myaccount.google.com → Segurança → Chaves de acesso e chaves de segurança
• Microsoft → conta.microsoft.com → Segurança avançada
• Cloudflare, Fastmail, Bitwarden, ProtonMail

SSH sem senha

Você pode usar a YubiKey como chave privada SSH. A chave nunca sai do dispositivo:

# Instalar dependências (Debian/Ubuntu)
sudo apt install libpam-u2f yubikey-manager

# Gerar chave SSH residente na YubiKey (FIDO2)
ssh-keygen -t ed25519-sk -O resident -O application=ssh:meu-servidor

# A chave pública gerada pode ser adicionada ao servidor normalmente
cat ~/.ssh/id_ed25519_sk.pub

Ao conectar via SSH, o cliente pede para você tocar a chave. Sem o toque físico, a autenticação falha — mesmo que alguém tenha roubado sua chave privada.

GPG para assinar commits e e-mails

A YubiKey 5 suporta armazenamento de chaves GPG diretamente no hardware:

# Instalar ferramentas
sudo apt install gnupg scdaemon pcscd

# Verificar que a YubiKey é reconhecida
gpg --card-status

# Gerar chave GPG (ou transferir uma existente) para a YubiKey
gpg --edit-card
# No menu interativo:
# > admin
# > generate

Com a chave GPG na YubiKey, você pode assinar commits do Git:

git config --global user.signingkey SUA_KEY_ID
git config --global commit.gpgsign true
git commit -m "commit assinado"
# → pede toque na YubiKey

PAM (login do Linux)

Você pode exigir a YubiKey para logar no sistema:

sudo apt install libpam-u2f

# Registrar a chave para seu usuário
mkdir -p ~/.config/Yubico
pamu2fcfg > ~/.config/Yubico/u2f_keys

# Editar /etc/pam.d/sudo para exigir a chave no sudo
# Adicione esta linha:
# auth required pam_u2f.so

Configurando no GitHub (passo a passo)

1. Acesse Settings → Password and authentication
2. Role até Two-factor authentication → Security keys
3. Clique em Add a security key
4. Insira a YubiKey e toque o botão quando solicitado
5. Dê um nome à chave (ex: "YubiKey 5C NFC - principal")
6. Repita o processo com a chave de backup

A partir daí, ao logar no GitHub em um novo dispositivo, o navegador vai pedir que você insira e toque a chave. Sem ela, sem acesso — mesmo que alguém saiba sua senha.

Configurando no Google

O Google suporta YubiKey tanto como 2FA quanto como passkey (substitui senha + 2FA):

1. Acesse myaccount.google.com → Segurança
2. Em Como fazer login no Google, clique em Chaves de acesso e chaves de segurança
3. Clique em Usar chave de segurança
4. Insira a YubiKey e toque

Para contas Google Workspace com proteção avançada (jornalistas, ativistas, executivos), o Programa de Proteção Avançada exige obrigatoriamente chaves físicas.

Boas práticas

Nunca deixe a YubiKey inserida permanentemente (exceto a Nano, por design). Remova ao afastar do computador.

Registre a chave de backup em todos os serviços antes de precisar dela. Uma chave de backup que você nunca configurou não serve para nada.

Liste onde você registrou suas chaves — um arquivo criptografado (Bitwarden, KeePassXC) com "YubiKey registrada em: GitHub, Google, ProtonMail..." facilita a recuperação em caso de perda.

Teste a recuperação com a chave de backup antes de depender dela. Faça login simulando que a principal foi perdida.

Proteja o PIN da YubiKey (configurável via ykman). Sem PIN, quem tiver a chave física consegue usá-la. Com PIN, precisa das duas coisas.

# Instalar ykman
pip install yubikey-manager
# ou: sudo apt install yubikey-manager

# Configurar PIN FIDO2
ykman fido access change-pin

# Ver status geral da chave
ykman info

YubiKey vs. outros métodos de 2FA

O TOTP já é muito melhor que SMS. Mas só o FIDO2 é resistente a phishing — e esse é o vetor de ataque mais comum contra contas de alto valor.

Onde comprar

A Yubico vende diretamente pelo site oficial. No Brasil, há revendedores autorizados ou compra via importação (Amazon US com redirecionamento). Verifique sempre o selo de autenticidade — chaves falsificadas existem.

• yubico.com/store
• Amazon US via redirecionadores (Shipito, etc.)

O investimento é de US$ 45–85 por chave. Considerando o que ela protege — sua conta de e-mail, código-fonte, infraestrutura — é um dos melhores custo-benefícios em segurança pessoal.

Se você lida com infraestrutura crítica, código em produção ou informações sensíveis de clientes, a YubiKey não é opcional — é o mínimo razoável. E se você quer se aprofundar em privacidade e segurança digital de forma mais ampla, confira meu livro Introdução à Privacidade Digital.