Voltar para o Blog
YubiKey 5 NFC vista frontal, chave de segurança compatível com FIDO2
Segurança da Informação

OpenAI lança Advanced Account Security no ChatGPT e Codex

OpenAI ativa um modo de segurança avançada com passkeys e chaves físicas, parceria com Yubico e regras de recuperação mais rígidas para proteger contas de ChatGPT e Codex.

Danilo Gato

Danilo Gato

Autor

1 de maio de 2026
10 min de leitura

Introdução

Advanced Account Security chega como resposta direta a ataques de tomada de conta e phishing, elevando o padrão de autenticação no ChatGPT e no Codex. A novidade permite proteger o login com passkeys e chaves de segurança compatíveis com FIDO, reduz a superfície de ataque e endurece a recuperação de conta.

A importância do tema não é abstrata. Contas de IA centralizam conversas sensíveis, código, prompts e integrações, por isso a OpenAI está movendo a barra para cima. O pacote inclui passkeys, suporte a hardware keys, parceria com a Yubico e diretrizes claras de que o suporte não consegue recuperar o acesso se o usuário perder todos os fatores cadastrados.

Este artigo explica, com base nas fontes oficiais e cobertura da imprensa, o que muda com o Advanced Account Security, como habilitar, quem mais se beneficia e como integrar isso ao seu programa de segurança, sem alarmismo e com foco em resultados.

O que exatamente a OpenAI lançou

A OpenAI introduziu o Advanced Account Security para contas do ChatGPT e do Codex. O modo é opcional, mas endurece o login exigindo métodos de autenticação resistentes a phishing, como passkeys e chaves de segurança físicas. Também reforça as regras de recuperação, removendo vetores fracos como e-mail e SMS quando ativado.

A empresa firmou parceria com a Yubico para oferecer um bundle com preço preferencial, incluindo uma chave padrão e uma nano, pensado para redundância do dia a dia. O pacote é gerido e vendido pela Yubico, não pela OpenAI. Qualquer chave FIDO compatível continua válida, assim como passkeys de plataformas como iOS, Android, Windows e macOS.

Há um ponto crítico de design que precisa estar claro. Se o usuário perder as credenciais cadastradas, o suporte da OpenAI não tem como recuperar a conta sob Advanced Account Security, já que a recuperação também fica restrita a métodos fortes. Isso reduz fraudes de engenharia social, porém exige planejamento do usuário para manter fatores de backup.

Como passkeys e chaves FIDO funcionam, na prática

Passkeys eliminam senhas. Em vez de um segredo reutilizável, usam criptografia de chave pública. O serviço guarda a chave pública, o dispositivo do usuário guarda a chave privada e, no login, o dispositivo assina um desafio específico do domínio. Isso bloqueia phishing e reutilização de credenciais. A OpenAI documenta as passkeys como forma recomendada e mais conveniente de acesso sem senha.

No ecossistema da OpenAI, o Advanced Account Security aceita tanto passkeys de plataforma quanto chaves FIDO2 como YubiKey. O benefício das chaves físicas é atingir níveis mais altos de resistência a phishing e separação de fatores. Em termos práticos, é onde muitas equipes convergem quando precisam de conformidade forte e controle operacional mais previsível.

A parceria anunciada inclui chaves YubiKey co-marcadas e opções de modelos com USB-C e NFC, como as versões C NFC e C Nano, voltadas para laptops e dispositivos móveis. A cobertura da TechCrunch detalhou os modelos e reforçou o alerta de que perder todos os fatores significa perder a conta, o que reforça a necessidade de um segundo fator físico de backup.

![Chave de segurança USB-C sobre superfície escura]

O que muda no fluxo de login e na recuperação

A ativação do Advanced Account Security altera o funil de autenticação. Em vez de senha e códigos transitórios, o login passa a depender de passkeys ou chaves FIDO. Ao mesmo tempo, o processo de recuperação deixa de aceitar caminhos fracos, como redefinição via e-mail não verificado ou SMS, e passa a se apoiar nos fatores fortes que o próprio usuário registrou. Isso mitiga phishing e invasões por troca de SIM, mas exige gestão ativa dos fatores.

A imprensa especializada destacou ainda que a mudança responde à crescente sensibilidade dos dados dentro do ChatGPT e do Codex, e que o objetivo é dificultar fraudes direcionadas a perfis de maior risco. No recorte noticioso, a OpenAI sinaliza que a segurança avançada é um modo opt-in voltado especialmente a contas suscetíveis, como pesquisadores, líderes públicos e administradores de ambientes com acesso ampliado.

Na comunicação oficial, a OpenAI reforça que o usuário pode usar qualquer chave FIDO compatível, além das passkeys de plataforma, e que o bundle com a Yubico é uma conveniência para baixar a barreira de entrada para chaves físicas. A compra, suporte de hardware e logística são responsabilidade da Yubico, o que simplifica a operação para a OpenAI e deixa a experiência de aquisição padronizada.

Quem deve ativar, e por quê

O Advanced Account Security é uma excelente solução para perfis com risco elevado, por exemplo, quem gerencia integrações de dados sensíveis, administra equipes, publica modelos, audita segurança ou depende do ChatGPT e do Codex para processos críticos. Nessas situações, reduzir o ataque por phishing e impedir recuperação socialmente explorável é uma vantagem concreta. A cobertura da Axios enquadra o lançamento como resposta a esse público, com adoção opt-in e foco em proteger contas suscetíveis.

Equipes de desenvolvimento que usam o Codex Security para análises de código e automação de revisões também tendem a se beneficiar, já que as credenciais de acesso passam a exigir fatores com prova de posse do dispositivo. Em paralelo, a OpenAI vem ampliando o portfólio de segurança para engenharia, como o próprio Codex Security, que está em pesquisa pública. Esse contexto ajuda a explicar por que contas de engenharia são candidatas óbvias ao modo avançado.

Para usuários de perfil geral, a recomendação é avaliar o valor da conta e o potencial de abuso. Se há histórico de tentativas de phishing, uso profissional intenso, ou dados que causariam dano real se expostos, vale ativar. Se ativar, mantenha redundância, por exemplo, duas chaves físicas registradas e uma passkey de plataforma como contingência, guardadas em locais distintos. A própria OpenAI e a Yubico incentivam redundância, inclusive com bundles de duas chaves.

Ilustração do artigo

Passo a passo rápido para ativar com menos fricção

  • Preparar fatores fortes. Tenha duas chaves físicas FIDO2 compatíveis e, se possível, uma passkey de plataforma configurada no sistema que você mais usa. A documentação da OpenAI sobre passkeys explica os requisitos e o fluxo padrão de criação.
  • Adquirir o bundle, se fizer sentido. A OpenAI e a Yubico oferecem um pacote co-marcado com preço preferencial, incluindo uma chave padrão e uma nano, útil para manter uma sempre conectada no laptop e outra no chaveiro. A compra e suporte são feitos pela Yubico.
  • Ativar o Advanced Account Security nas configurações de segurança da conta. Ao habilitar, revise com calma as telas que avisam sobre perda de acesso se todos os fatores forem perdidos. Esse é o momento de registrar as duas chaves e verificar que a passkey de plataforma está funcionando.
  • Testar cenários de recuperação. Desconecte e tente um login novo, testando cada fator. Documente o procedimento de emergência para sua equipe. Lembre que suporte da OpenAI não consegue contornar a perda total de credenciais sob este modo.

![Close-up de uma chave metálica, conceito de segurança]

Comparativo prático, do ponto de vista de risco

  • Senhas tradicionais. Reutilização, vazamentos e phishing são problemas conhecidos. Mesmo com 2FA via SMS, há risco de troca de SIM e engenharia social. O Advanced Account Security foi desenhado para retirar essas dependências do fluxo de login.
  • Passkeys de plataforma. Práticas e sem senha, reduzem o phishing por vínculo de domínio e exigência de desbloqueio local, como biometria. São excelentes como primeiro passo, mas ainda ficam na mesma plataforma e não oferecem a mesma portabilidade física de uma chave, por isso é comum combiná-las com uma YubiKey de backup. A documentação da OpenAI posiciona passkeys como método recomendado sem senha.
  • Chaves FIDO2. São o padrão ouro para cenários com exigência de prova física de posse. Na parceria, a OpenAI facilitou o acesso a modelos com USB-C e NFC, que funcionam bem com laptops e smartphones atuais. A cobertura da TechCrunch lista os modelos co-marcados focados nesse uso.

Do ponto de vista de resiliência operacional, o que reduz risco é ter múltiplos fatores registrados e testados. Senhas fortes não adiantam contra phishing avançado, e 2FA via SMS pode ser enganado. Passkeys e chaves FIDO mudam o jogo porque só assinam o desafio correto do domínio certo, e um atacante não consegue reaproveitar um segredo. A página de segurança e privacidade da OpenAI, que resume o conjunto de controles corporativos e de produto, aponta essa linha de fortalecimento como caminho padrão.

Impacto para empresas, admins e compliance

Para administradores de ChatGPT Enterprise, Business e Edu, o Advanced Account Security se encaixa bem com políticas de identidade mais rigorosas. Além disso, a OpenAI vem oferecendo recursos complementares como logs de auditoria, residência de dados, e gestão de chaves externas via EKM, que permite criptografar conteúdo com chaves geridas no seu KMS. Se a organização já usa YubiKeys ou passkeys corporativas, a adesão ao modo avançado fica mais simples.

Equipes de segurança devem atualizar playbooks de onboarding e offboarding para incluir registro de dois fatores FIDO por usuário, documentação de guarda de chaves de backup e testes de recuperação. O Help Center da OpenAI detalha que a oferta da Yubico é gerida por ela mesma, o que simplifica compliance de compras e suporte, mas exige alinhamento com TI para inventário e reposição.

Na prática, a adoção de Advanced Account Security eleva o nível de autenticação ao patamar recomendado para acessar dados sensíveis no ecossistema de IA, reduzindo a responsabilidade da equipe de suporte diante de tentativas de recuperação fraudulentas. A orientação oficial é explícita: perder todos os fatores significa perda de acesso, o que reduz drasticamente superfícies de ataque de engenharia social.

Perguntas frequentes objetivas

  • Vou perder minha conta se eu perder minhas chaves e não tiver passkey de backup. Sim. O suporte da OpenAI não consegue recuperar contas protegidas pelo Advanced Account Security sem um fator forte registrado. Planeje redundância.
  • Preciso comprar o bundle da Yubico. Não, é opcional. Qualquer chave FIDO compatível funciona, e passkeys de plataforma também. O bundle existe para facilitar a adesão com preço preferencial.
  • O Advanced Account Security funciona para todos os planos. O anúncio cobre contas de ChatGPT e de Codex, e a imprensa reportou a iniciativa como opt-in para usuários, com foco em perfis de maior risco.
  • Como isso conversa com segurança de engenharia. A OpenAI também vem lançando recursos como o Codex Security em pesquisa pública, voltado para achar e validar vulnerabilidades com mais precisão, o que indica um movimento mais amplo de elevar a segurança do ecossistema.

Conclusão

Advanced Account Security coloca passkeys e chaves físicas no centro do login do ChatGPT e do Codex, corta rotas frágeis de recuperação e explicita o trade-off principal do mundo FIDO2, sem fatores de backup, não há volta. Para quem depende da plataforma para trabalho, pesquisa ou operações, a decisão de ativar passa por valorar risco e montar redundância simples, duas chaves e uma passkey de plataforma.

O saldo é positivo. Ao combinar autenticação resistente a phishing, parceria para baixar barreira de entrada e orientações claras de responsabilidade do usuário, a OpenAI dá um passo consistente na direção certa. A adoção, quando planejada, oferece ganhos reais de segurança com pouco atrito, especialmente para quem já vive em ambientes multi-dispositivo.

Tags

autenticaçãoFIDO2gestão de identidade