Chave de acesso vs palavra-passe: Qual é a diferença?

Sempre que iniciamos sessão numa conta ou desbloqueamos um dispositivo, é-nos exigido que provemos que estamos autorizados a aceder ao mesmo. Historicamente, essa prova assumiu a forma de uma palavra-passe: uma cadeia secreta que precisamos de memorizar ou armazenar num gestor de palavras-passe.

Uma Chave de acesso difere de uma palavra-passe porque associa o acesso a algo que possui fisicamente — um token criptográfico armazenado no seu telemóvel, portátil ou chave de segurança — juntamente com um fator biométrico, como uma impressão digital ou reconhecimento facial.

Uma forma comum de descrever a diferença é:

• Palavra-passe = algo que sabe
• Chave de acesso = algo que tem + quem é

Embora ambos os métodos lhe concedam acesso, as formas como alcançam esse objetivo diferem e podem ter um impacto significativo na segurança e na facilidade de utilização.

O que é uma Chave de acesso?

Uma Chave de acesso é como uma palavra-passe que vive no seu dispositivo e que pode ser verificada pelas contas nas quais está a iniciar sessão através de criptografia. As Chaves de acesso baseiam-se na norma FIDO2 (definida pela FIDO Alliance(nova janela)) e na API WebAuthn.

Aqui está como funciona:

Quando uma Chave de acesso é criada, o seu gestor de palavras-passe gera um conjunto emparelhado de chaves criptográficas: uma chave pública e uma chave privada.

• A chave pública é partilhada com o serviço no qual se está a registar.
• A chave privada permanece no seu gestor de palavras-passe ou dispositivo e nunca sai de lá.

Durante uma tentativa de início de sessão, o serviço emite um desafio aleatório. O seu dispositivo usa a chave privada no seu dispositivo para assinar esse desafio, produzindo uma resposta que só a chave privada correspondente poderia gerar. Em seguida, o serviço verifica a assinatura com a chave pública previamente armazenada, confirmando que é o titular legítimo da conta.

Como a chave privada nunca sai do seu dispositivo, um sítio de phishing não o pode enganar para a entregar, tornando as Chaves de acesso intrinsecamente resistentes a phishing.

Leia mais sobre Chaves de acesso

Comparação de segurança: Chave de acesso vs palavra-passe

A utilização de uma palavra-passe ou de uma Chave de acesso depende de vários fatores. Nem todos os sítios web oferecem Chaves de acesso como opção. Mas, nos sítios web que o fazem, há várias razões para considerar a mudança.

As Chaves de acesso são consideradas mais seguras do que as palavras-passe porque a chave secreta nunca sai do seu dispositivo. Mesmo que alguém o engane com um sítio falso, intercepte tráfego de rede ou tente um ataque de força bruta, não conseguirá obter a chave privada — esta é mantida dentro do seu telemóvel, computador ou dongle de chave de segurança. Desde que proteja o dispositivo com um PIN, impressão digital ou outra forma de autenticação de dois fatores (2FA) e disponha de um método de recuperação fiável, uma Chave de acesso proporciona-lhe uma configuração de segurança mais forte e mais resistente a phishing do que uma palavra-passe normal.

Facilidade de utilização e experiência do utilizador da Chave de acesso

Além das vantagens de segurança da utilização de uma Chave de acesso, existem outros benefícios:

• As Chaves de acesso tornam o início de sessão mais rápido porque o fluxo de autenticação é reduzido a um único toque ou olhar, removendo o atrito de introduzir manualmente palavras-passe ou repor palavras-passe esquecidas.

• Muitos gestores de palavras-passe conseguem sincronizar Chaves de acesso em segurança entre os seus dispositivos. Como resultado, uma Chave de acesso criada num smartphone pode ser usada num portátil, tablet ou noutro telemóvel sem exigir um novo registo. O Proton Pass funciona em qualquer plataforma ou dispositivo, pelo que pode usar Chaves de acesso em qualquer sítio web que as suporte.

Limitações e casos excecionais das Chaves de acesso

Embora as Chaves de acesso ofereçam segurança forte e uma experiência de início de sessão sem fricção, não são uma solução milagrosa. Ainda existem algumas situações em que a utilização de uma Chave de acesso pode apresentar desafios.

Perda e recuperação do dispositivo

Se o dispositivo em que a sua Chave de acesso está armazenada for perdido, roubado ou danificado, terá de depender de mecanismos de cópia de segurança para recuperar o acesso. Recuperar uma Chave de acesso exige frequentemente um dispositivo secundário ou uma frase de recuperação, por isso, se não tiver um fluxo de recuperação bem concebido, corre o risco de perder o acesso às suas contas.

Lacunas de adoção

Alguns sítios web e aplicações ainda não implementaram as normas WebAuthn/FIDO2 que suportam as Chaves de acesso. Mesmo entre os que o fizeram, o suporte para Chaves de acesso pode ser limitado a determinados ecossistemas ou sistemas operativos.

Limitações de hardware mais antigo

Dispositivos legados, como smartphones mais antigos, portáteis sem sensores biométricos ou navegadores sem suporte para WebAuthn, não conseguem gerar nem armazenar Chaves de acesso.

Quando continuo a precisar de uma palavra-passe?

Além de ter uma palavra-passe configurada como alternativa, existem algumas situações em que uma palavra-passe tradicional é necessária como o seu método principal de acesso.

1. Sítios sem suporte para Chave de acesso

Enquanto a adoção de Chaves de acesso não for generalizada, poderá ainda precisar de depender de palavras-passe para alguns sítios. Neste caso, pode configurar métodos 2FA, como um OTP, para aumentar a segurança.

2. Cenários de computador público ou partilhado

Se não estiver a usar o seu próprio dispositivo, introduzir uma palavra-passe (idealmente combinada com 2FA) permite acesso temporário sem deixar credenciais persistentes para trás.

3. Políticas organizacionais e requisitos de conformidade

Os regulamentos da empresa, incluindo normas governamentais ou financeiras, podem exigir configurações multifator que ainda incluam um componente de palavra-passe, ou impor a rotação periódica de palavras-passe para fins de auditoria. Além disso, as soluções empresariais de single sign-on (SSO) por vezes integram Chaves de acesso apenas como um fator opcional, permanecendo as palavras-passe como a credencial principal.

Como adotar Chaves de acesso

Mudar para Chaves de acesso é relativamente simples.

1. Ativar o suporte para Chave de acesso no seu sistema operativo
2. Transferir um gestor de palavras-passe
   • Escolha um gestor de palavras-passe que suporte o armazenamento de Chaves de acesso, como o Proton Pass.
3. Adicionar Chaves de acesso ao seu gestor de palavras-passe
   • Importe Chaves de acesso existentes ou crie novas diretamente a partir da aplicação.
4. Registar Chaves de acesso em serviços compatíveis
   • Quando se registar ou iniciar sessão num sítio que ofereça “Iniciar sessão com Chave de acesso”, selecione essa opção.
5. Configurar um método de recuperação
   • Ative um dispositivo secundário para armazenar uma cópia da Chave de acesso e tome nota de qualquer frase de recuperação que o serviço forneça.

Perguntas frequentes

Posso usar uma Chave de acesso se não tiver um gestor de palavras-passe?

Sim, pode. A maioria dos sistemas operativos modernos armazena Chaves de acesso localmente (iCloud Keychain em dispositivos Apple, Google Password Manager no Android, Windows Hello no Windows). Um gestor de palavras-passe dedicado pode simplificar a sincronização entre dispositivos e fornecer uma camada adicional de cópia de segurança, mas não é obrigatório para usar Chaves de acesso.

Posso usar Chaves de acesso em dispositivos mais antigos?

As Chaves de acesso exigem que o sistema operativo e o navegador suportem as normas WebAuthn/FIDO2. As plataformas modernas (iOS 15+, Android 14+, versões recentes do macOS, Windows 10 1903+ e Chrome/Edge/Firefox/Safari atualizados) funcionam imediatamente. Telemóveis mais antigos, navegadores legados ou dispositivos anteriores ao iOS 15/Android 13 não têm esse suporte, pelo que não seria possível usar uma Chave de acesso nesses dispositivos.

Qual é a diferença entre uma Chave de acesso e um token físico?

Uma Chave de acesso é uma credencial armazenada num dispositivo ou num gestor de palavras-passe e sincronizada em segurança entre os seus dispositivos. Um token físico (por exemplo, uma YubiKey) é uma chave de hardware autónoma que precisa de inserir no seu dispositivo. Um token físico não armazena a chave privada no dispositivo anfitrião, o que oferece isolamento, mas exige que transporte o token e gira as cópias de segurança. Ambas as opções fornecem autenticação sem palavra-passe e resistente a phishing, mas as Chaves de acesso dão prioridade à conveniência e à sincronização, enquanto os tokens físicos dão prioridade ao isolamento por hardware.

Posso usar uma Chave de acesso no meu PC Windows?

Sim, as versões modernas do Windows 10/11 suportam Chaves de acesso através do Windows Hello. Depois de ativar “Início de sessão sem palavra-passe” em Definições, pode registar-se e autenticar-se com uma impressão digital, reconhecimento facial ou um PIN que desbloqueia a chave privada armazenada no módulo de plataforma segura (TPM). Um TPM é um pequeno chip resistente a adulterações incorporado na maioria dos PCs, portáteis e alguns tablets modernos. O seu objetivo é fornecer uma raiz de confiança em hardware para operações críticas de segurança.

O que acontece se perder o meu telemóvel?

Se o seu telemóvel tiver a única cópia de uma Chave de acesso, precisará de um método de cópia de segurança pré-configurado para recuperar o acesso. Normalmente, trata-se de outro dispositivo, de um gestor de palavras-passe ou de uma frase de recuperação fornecida pelo serviço. Sem uma cópia de segurança, terá de seguir o fluxo de recuperação de conta do serviço.