News · OpenAI vincula a segurança das contas do ChatGPT e do Codex a chaves físicas, sem recuperação via suporte
OpenAI vincula a segurança das contas do ChatGPT e do Codex a chaves físicas, sem recuperação via suporte
Advanced Account Security é uma configuração opcional que troca conveniência por um login resistente a phishing — e coloca nas mãos do usuário, não do suporte da OpenAI, a responsabilidade de recuperar o acesso.
O que a configuração opcional muda na prática
Advanced Account Security é um único botão na seção de Segurança de uma conta ChatGPT que reúne quatro mudanças distintas. Ela vale tanto para o ChatGPT quanto para o Codex acessados pelo mesmo login.
Primeiro, o login passa a depender de passkeys ou chaves físicas de segurança, e o login por senha é desativado por completo. Segundo, a recuperação de conta perde seus dois caminhos mais explorados por atacantes: a recuperação por e-mail e por SMS é desligada, substituída por passkeys reservas, chaves de segurança e chaves de recuperação. Terceiro, as sessões ficam mais curtas, alertas de login são enviados, e o usuário passa a visualizar as sessões ativas em todos os dispositivos. Quarto, conversas de contas inscritas são automaticamente excluídas do treinamento dos modelos.
Cada um desses pontos já é um controle de segurança conhecido no mundo corporativo. O que chama atenção é a OpenAI ter empacotado tudo isso como um nível nomeado para usuários individuais, transformando a exclusão do treinamento em parte da configuração de segurança em vez de uma preferência de privacidade separada.
A troca na recuperação é a decisão de design que realmente importa
A linha mais importante do anúncio é sobre o que acontece quando algo dá errado. Ao remover a recuperação por e-mail e SMS, a OpenAI também remove sua própria capacidade de ajudar.
Como a recuperação de conta fica restrita a esses métodos mais seguros, o suporte da OpenAI não conseguirá ajudar na recuperação de contas de usuários inscritos no Advanced Account Security.Montana Labs
Esse é o modelo de ameaça explicitado: o mesmo canal de suporte humano que poderia resgatar um usuário travado é também o caminho usado por um atacante para tomar a conta. A OpenAI apresenta isso como mais proteção vindo com mais responsabilidade, e lista o público-alvo pretendido — jornalistas, políticos eleitos, dissidentes políticos, pesquisadores — como pessoas para quem essa troca vale a pena. Para todo o resto, perder todas as chaves reservas significa perder a conta.
O pacote com a Yubico reduz a barreira de hardware
A autenticação resistente a phishing só funciona se as pessoas realmente tiverem o hardware. A resposta da OpenAI é uma parceria com a Yubico oferecendo preço preferencial em um pacote específico de duas chaves: uma YubiKey C Nano feita para ficar permanentemente no notebook no dia a dia, e uma YubiKey C NFC como reserva e para uso no celular.
O pacote não está restrito ao nível de segurança avançado — a OpenAI afirma que ele estará disponível para todos os usuários elegíveis nas configurações, e qualquer chave compatível com FIDO ou passkey em software funciona igualmente bem. Essa separação importa: trata a posse da chave física como um problema de distribuição a ser resolvido de forma ampla, não como um benefício reservado aos usuários de maior risco.
O Trusted Access for Cyber transforma a opção em obrigação
Para a maioria dos usuários, isso é opcional. Para um grupo, não é. Membros individuais do programa Trusted Access for Cyber — aqueles que acessam os modelos mais permissivos e com maior capacidade cibernética da OpenAI — precisam ativar o Advanced Account Security a partir de 1º de junho de 2026. Organizações podem, em vez disso, atestar que seu single sign-on já aplica autenticação resistente a phishing.
Essa vinculação é a decisão de política mais interessante. O acesso a modelos mais permissivos está sendo condicionado ao fortalecimento da conta. Se sua conta pode acessar capacidade cibernética de uso duplo, a OpenAI quer prova de que essa conta não pode ser facilmente sequestrada. Ambientes corporativos são citados como o próximo público a receber essa mesma lógica.
O que isso sinaliza para times que constroem sobre contas da OpenAI
Uma conta da OpenAI já não é apenas um login; o anúncio a descreve como o centro de ferramentas e fluxos de trabalho conectados, com o acesso ao Codex passando por ela. Proteger a conta agora significa proteger uma credencial capaz de alcançar código e sistemas conectados.
Para times que dependem do ChatGPT ou do Codex operacionalmente, o recado prático é planejar em torno do modelo de recuperação antes de inscrever qualquer pessoa. Recuperação sem senha e sem suporte é a postura certa para contas de alto valor, mas exige uma custódia disciplinada das chaves — chaves reservas guardadas, chaves de recuperação protegidas, processo de desligamento bem tratado — porque o plano B que normalmente salva uma conta simplesmente não existe mais.
Find this story relevant to you?
Contact us to find a unique solution
Precisa de um parceiro de engenharia de IA que consiga construir de verdade?
Ajudamos empresas no Brasil a integrar IA, acelerar produtos com IA, automatizar operações e modernizar os sistemas de software por trás do negócio.
Leituras relacionadas
Mais análises sobre entrega de produto, IA operacional e o trabalho de sistemas que faz a implantação se sustentar na prática.