Chaves de acesso em 2025: dicas para usuários avançados

Este guia explora em detalhes como usar chaves de acesso para fazer login no computador de outra pessoa, armazená-las em dispositivos removíveis e transferi-las entre diferentes aparelhos.

Até agora, em nosso guia abrangente sobre chaves de acesso, abordamos como deixar de usar senhas com combinações comuns de smartphones e computadores Android, iOS, macOS e Windows. Esta publicação destaca casos específicos e relevantes:

  • Logins de uso único em sua conta em um dispositivo de outra pessoa
  • Dicas para que alterna frequentemente entre computador e smartphone
  • Formas de proteger sua conta ao realizar login com senha backup ativada
  • Possíveis problemas em viagens internacionais
  • O que ocorre quando usamos navegadores e sistemas operacionais menos comuns

Como usar chaves de acesso em computadores públicos ou compartilhados?

E se você precisar acessar sua conta protegida por chave de acesso em uma biblioteca, no computador de um aeroporto ou na casa de um parente? Não tenha pressa: não é necessário lembrar da sua senha backup.

Inicie o processo de login no computador: insira seu nome de usuário e, se solicitado, clique em “Fazer login com chave de acesso”. A tela exibirá um código QR para você ler com o smartphone que armazena sua chave de acesso. Se a leitura for bem-sucedida, o código QR desaparecerá e você se conectará à sua conta.

Vários fatores devem ocorrer simultaneamente para que esse processo aparentemente simples seja concluído sem intercorrências:

  • O computador deve ser compatível com o Bluetooth Low Energy (BLE), que verifica se o smartphone e o computador estão próximos.
  • O sistema operacional e o navegador devem ser compatíveis com as chaves de acesso.
  • O computador e o smartphone precisam de uma conexão confiável com a Internet.

Como salvar chaves de acesso em uma chave de hardware?

Se você acessa suas contas em dispositivos diferentes com frequência, o uso de chaves de acesso por códigos QR pode ser um tanto inconveniente. Se for o caso, você pode armazená-las em uma chave de hardware USB, como a YubiKey, a chave de segurança Google Titan ou um dispositivo parecido, para fazer um login seguro em sites. Ao criar uma chave de acesso, basta salvá-la em sua chave de hardware. E você poderá fazer login em qualquer computador ou smartphone. Basta conectar o token de segurança ao dispositivo.

No entanto, é necessário que todos os seus dispositivos tenham portas compatíveis (USB-A, USB-C, Lightning) ou aceitem NFC para funcionar. Alguns modelos de chave podem incluir um leitor de impressão digital, fornecendo uma camada adicional de proteção contra sequestro de conta em casos de perda ou roubo do dispositivo.

Infelizmente, há um único problema: muitos modelos mais antigos e populares só podem armazenar até 25 chaves de acesso. Apenas alguns modelos mais avançados, como a YubiKey com firmware versão 5.7, aumentaram esse limite para até 100 chaves.

Além disso, os desenvolvedores dos sistemas operacionais veem as chaves de acesso como uma grande oportunidade de estreitar o vínculo dos usuários com seus ecossistemas. Em geral, conforme o modelo do smartphone, é bastante provável que ele peça para salvar a chave de acesso no iCloud Keychain ou no Google Password Manager. Isso pode fazer com que a opção de usar uma chave de segurança de hardware fique escondida dentro da interface.

Para criar uma chave de acesso em um token de hardware, você deve clicar em Outras opções no macOS/iOS ou em Outro dispositivo no Android para escolher a opção de chave de hardware.

Como transferir chaves de acesso entre iOS e Android?

Atualmente, o principal desafio ocorre quando o usuário armazena todas as chaves de acesso no armazenamento padrão do smartphone e quer migrar entre ecossistemas, passando do Android para o iOS ou vice-versa. Atualmente, nenhum dos três principais desenvolvedores de SO (Google, Apple ou Microsoft) permite transferir chaves de acesso diretamente. Isso porque ninguém consegue garantir um processo seguro. Tanto a Apple quanto a Google estão trabalhando para implementar esse recurso no futuro, mas hoje, ao alternar entre dispositivos (como de um iPhone para um Google Pixel), a transferência das chaves de acesso ainda não é tão simples.

  • Primeiro, é necessário fazer login na conta protegida por chave de acesso no dispositivo novo. É possível fazer isso usando a senha antiga (se ainda estiver ativada) ou ler um código QR com o dispositivo antigo que tenha a chave de acesso ativa.
  • Em seguida, será necessário criar e salvar uma nova chave de acesso no dispositivo novo. Sim, é possível ter várias chaves de acesso para um site ou serviço on-line.
  • Por fim, se o antigo aparelho for descartado, será necessário excluir a chave de acesso antiga do mesmo.

Para evitar esse incômodo, é melhor já usar um gerenciador externo de senhas e de chaves de acesso desde o início. Com o Kaspersky Password Manager, o suporte a chaves de acesso já está disponível no Windows; para Android, está previsto para julho, e para iOS e macOS, para agosto de 2025.

Como proteger uma conta com chave de acesso de ser invadida usando uma senha de backup?

A maioria dos serviços on-line que oferecem a troca para chaves de acesso não desativa os outros métodos de login. Se sua conta estava protegida por uma senha fraca ou comprometida antes de trocar para uma chave de acesso, os cibercriminosos ainda podem ignorar sua nova chave de acesso entrando com a senha antiga.

Criar uma chave de acesso para uma conta que ainda usa uma senha fraca é como instalar uma porta blindada na entrada principal, mas deixar uma porta simples nos fundos, que pode ser aberta com a chave escondida embaixo do tapete.

É por isso que recomendamos alterar sua senha antes de ativar as chaves de acesso para qualquer serviço on-line. Como essa senha não será usada todos os dias, sendo apenas um backup para uma conta protegida por chaves de acesso, você pode caprichar na complexidade. Estamos falando de senhas fortes, 16 caracteres ou mais, alternando letras, números e caracteres especiais. Essas senhas são quase indecifráveis. O ideal é que você gere e salve essa senha robusta no mesmo gerenciador de senhas em que planeja armazenar suas chaves de acesso. Não confie em senhas complexas geradas por programas de IA. Nossa pesquisa recente revelou que, embora essas senhas possam parecer complexas, os LLMs costumam favorecer, sem nenhum motivo aparente, alguns caracteres ao criar senhas, tornando-as bastante previsíveis.

As chaves de acesso possuem desvantagens?

O padrão estrutural WebAuthn, compatível com chaves de acesso, pode ser implementado de formas variadas em cada navegador e sistema operacional. Os sites costumam adotar esses recursos cada um à sua maneira. Isso pode gerar desafios frustrantes, mesmo para usuários com experiência em tecnologia. Alguns exemplos recentes disso:

  • Ao criar as chaves de acesso, os prompts padrão do Windows apresentam diversas opções de onde e como salvá-las. Por padrão, o Windows salva as chaves de acesso no armazenamento local seguro do computador. Se você esquecer de selecionar seu gerenciador de senhas como esse local, essa chave de acesso não ficará disponível em seus outros dispositivos.
  • Muitos serviços online, como Kayak e AliExpress, oferecem várias versões regionais, cada uma com um domínio distinto, como .com, .com.tr, .co.uk, entre outros. Se você criar uma chave de acesso para um site local e, por algum motivo, tentar acessá-lo em uma região diferente, é bastante provável que você não consiga entrar com essa chave de acesso.
  • Alguns sites não são compatíveis com a criação ou login com chaves de acesso no Firefox, independentemente do dispositivo. Na verdade, não há uma incompatibilidade técnica, e truques simples são capazes de resolver esse problema, mas o motivo de ser necessário recorrer a essas soluções alternativas não é claro.
  • Alguns usuários da Apple relataram que todas as chaves de acesso salvas somem periodicamente do Keychain, enquanto usuários de Android enfrentam dificuldades para ativá-las sem precisar reiniciar o aparelho ou restaurar as configurações de fábrica.

Qualquer uma dessas situações se acentua, pois os erros ao criar ou efetuar login com as chaves de acesso não são citados na documentação do suporte, ou são descritos de maneira muito vaga. Muitas vezes, a correção do problema permanece incerta. No entanto, quando surgem problemas com as chaves de acesso, os sites costumam oferecer uma opção de backup, como o envio de uma chave de acesso única para seu e-mail.

Apesar desses desafios, é possível visualizar um futuro com chaves de acesso e sem senhas. Recomendamos começar a criar chaves de acesso sempre que possível, salvando-as em seu gerenciador de senhas. Também é importante manter senhas e informações de contato atualizadas nos sites, garantindo a recuperação do acesso em caso de problema com as chaves de acesso.

Quer saber mais sobre senhas e chaves de acesso?

16 bilhões de senhas vazadas: o que devo fazer?

O que aprendemos com o incidente do KeePass comprometido com trojan

O Kaspersky Password Manager ganha um novo visual

Chaves de acesso para sua conta Google: o quê, onde, como e porquê

Padrões de senha: requisitos de 2024

Dicas