Pra quem já ouviu falar das chaves de segurança e pensa em adquirir uma (ou duas, como 'mandam' as boas práticas), vale a pena dar uma olhada neste review sobre as diferenças entre as chaves de alguns fabricantes, dentre eles a Yubico, a Thetis e a Feitian. Ressalto que existem outros modelos destes fabricantes e que existem no mercado outros fabricantes, como a OnlyKey, a Kensington entre outras.
Começando pela Security Key, da Yubico, é a chave mais acessível da fabricante custando US$20 ou US$27 a versão com NFC. Ambas possuem conexão USB (tipo A). Utiliza os protocolos FIDO2/U2F e WebAuthn como protocolos de segurança. Como em todas as chaves da Yubico, a Security Key possui sensor de toque capacitivo para o processo de "confirmação da autenticação", ou seja, não é necessário pressionar um botão físico, necessitando apenas um toque no círculo dourado. Com relação a compatibilidade, é compatível com grande parte dos serviços que utilizamos como contas Google, Microsoft, Dropbox, Twitter e diversos outros. Com relação aos sistemas operacionais, funcionam tanto em sistemas Linux, MacOS quanto Windows, e nos móveis tanto no iOS quanto em Android.
Como opção mais avançada e completa para usuários comuns, a Yubico fabrica a chamada Yubikey [5 Series, atualmente], que custa US$45. Esta chave possui diversas opções de conectividade, indo desde o padrão USB Tipo A, passando por Tipo C e Lightning, com opções NFC. Com relação aos protocolos de segurança, possui além dos protocolos da security key como FIDO2/U2F e WebAuthn, os protocolos OATH (HOTP E TOTP), Open PGP, Security Static Password e SmartCard. Possui compatibilidade maior com os serviços da internet comparado às Security Keys. Um grande diferencial é a funcionalidade com o Yubico Authenticator, concorrente de outros apps de autenticação de 2 fatores. A Yubikey armazena nela própria as chaves privadas de cada serviço separadamente. Com isso, você pode obter seus códigos de autenticação em qualquer dispositivo sem necessidade de sincronização ou cadastro dos códigos em cada dispositivo, necessitando apenas conectando a USB na entrada USB ou por meio do NFC. Isso não significa que você não deva armazenar os códigos na hora do registro do segundo fator. Como boa prática, ter uma segunda chave de segurança e cadastrar os códigos de segundo fator em ambas garante tranquilidade ao usuário, visto que minimiza as preocupações com perda ou danos à chave de segurança principal.
A Thetis possui 3 tipos de chave de segurança, com 2 utilizando protocolos FIDO e 1 FIDO2, custando US$19,99. Neste review farei a comparação com a FIDO2. Como é um modelo mais recente e possuindo protocolos atuais, possui maior compatibilidade com os serviços digitais.
Esta chave possui conexão apenas USB tipo A. Para realizar a confirmação da autenticação, é necessário pressionar o botãozinho da chave. Diferentemente das chaves que utilizam o sensor de toque capacitivo que necessitam apenas um toque (sem pressão) no círculo dourado, o botão da Thetis FIDO2 necessita realizar uma pressão no botão, o que pode trazer certos inconvenientes, tanto em relação à durabilidade já que se trata de um dispositivo físico, quanto em relação aos possíveis problemas nas entradas USB. Por possuir apenas conexão USB Tipo A, não funciona em sistemas móveis como iOS e Android. Funciona em diversos serviços da internet, tais como contas Google, Microsoft, Dropbox, Facebook, Twitter, AWS (Amazon Web Service) entre outros. Possui também protocolos FIDO2/U2F, WebAuth e HOTP.
A Feitian, fabricante chinesa, possui diversas soluções para segurança digital, desde Smart Cards, passando pelas chaves de segurança, tokens OTP, leitores de Smart Cads entre outros. Neste review, será utilizada a chave Mutipass FIDO Security Key, também chamada de BLE+NFC+USB (tipo A), código K25, que custa US$55. Esta chave de segurança possui grande benefício por possuir vários tipos de conexão. Funciona com bateria interna, sendo carregada por um cabo de ~50cm de comprimento, que vem junto na embalagem. Utiliza os protocolos FIDO/U2F, tendo portanto uma limitação com relação às demais chaves citadas. Por exemplo, não é possível cadastrar/registrar a K25 em serviços da Microsoft, por exemplo. Pode ser utilizada nas contas Google e demais serviços que utilizem este protocolo FIDO/U2F. Devido à grande variedade de conectividade que possui, é compatível tanto em sistemas Android, iOS quanto em sistemas MacOS e Windows. Possui também botão físico, que pressionado por 5 segundos, ativa a conexão Bluetooth. Destaco que a Feitian possui chaves de segurança mais simples como a Yubico, como a ePass FIDO Security key, que custa US$37 e a ePass FIDO Security Key - NFC, que custa US$35.
Colocando as características principais de cada chave lado a lado, temos o quadro a seguir:
De acordo com essa tabela comparativa, podemos fazer algumas análises que podem contribuir para quem tem interesse em adquirir esse dispositivo de segurança.
Com relação ao preço de aquisição, temos a Yubico e a Thetis como as fabricantes que oferecem uma solução mais acessível;
Com relação à conectividade, a Yubico sai na frente devido sua maior integração e compatibilidade tanto com relação aos diversos sistemas operacionais quanto aos serviços online.
Com relação à usabilidade, temos que a Yubico utiliza em todas as suas chaves o sensor de toque capacitivo, o que pode ser considerado um ponto positivo com relação aos botões físicos.
Com relação à portabilidade, a Yubikey é a menor chave, sendo também a mais leve, portanto sendo a mais portátil das consideradas.
Vale lembrar que cada modelo de chave de segurança se adéqua a certa necessidade. Uma chave com NFC ou BLE (Bluetooth) é importante para ser utilizada em aparelhos móveis (smartphones), já que chaves que possuem apenas conexão USB (Tipo A, por exemplo), só funcionarão em computadores (desktops, notebooks). Portanto, o ideal é verificar sua necessidade e analisar qual chave de segurança irá te atender.
Importante ressaltar que apesar das chaves de segurança serem um incremento no acesso às suas contas da internet, é importante que sempre se faça o logout (término da sessão), já que se seu computador estiver infectado ou mesmo sob controle de um hacker, a não finalização da sessão pode ser uma brecha que pessoas não autorizadas acessem sua conta. Portanto, sempre ao sair, realize o logout e feche o navegador.
Para mais informações de cada chave (fabricante):
Para saber mais sobre o protocolo FIDO:
Para saber todos os serviços que permitem a utilização de duas ou múltiplas camadas de autenticação: