News · A OpenAI associa a segurança das contas do ChatGPT e Codex a chaves de hardware, sem recuperação através do suporte

Jul, 9Leitura de 4 min
Plataforma

A OpenAI associa a segurança das contas do ChatGPT e Codex a chaves de hardware, sem recuperação através do suporte

A Segurança de Conta Avançada é uma opção voluntária que troca conveniência por um início de sessão resistente a phishing — e torna os utilizadores, e não o Suporte da OpenAI, responsáveis por recuperar o acesso.

O que a opção voluntária altera na prática

A Segurança de Conta Avançada é um único interruptor na secção de Segurança de uma conta ChatGPT que agrupa quatro alterações distintas. Aplica-se tanto ao ChatGPT como ao Codex acedidos através do mesmo login.

Primeiro, o início de sessão passa a depender de passkeys ou chaves de segurança físicas, e o login por palavra-passe é desativado por completo. Segundo, a recuperação de conta perde os dois caminhos mais explorados por atacantes: a recuperação por email e por SMS é desligada, substituída por passkeys de reserva, chaves de segurança e chaves de recuperação. Terceiro, as sessões são encurtadas, são enviados alertas de login e os utilizadores passam a ter uma vista das sessões ativas em todos os dispositivos. Quarto, as conversas de contas registadas são automaticamente excluídas do treino dos modelos.

Cada uma destas medidas é um controlo de segurança já conhecido no meio empresarial. O que se destaca é a OpenAI ter agrupado tudo isto num nível com nome próprio para utilizadores individuais, tornando a exclusão do treino uma propriedade da definição de segurança, em vez de uma preferência de privacidade separada.

A troca na recuperação é a verdadeira decisão de design

A frase mais consequente do anúncio é sobre o que acontece quando algo corre mal. Ao remover a recuperação por email e SMS, a OpenAI remove também a sua própria capacidade de ajudar.

Como a recuperação de conta fica restrita a estes métodos mais seguros, o Suporte da OpenAI não poderá ajudar na recuperação de contas de utilizadores registados na Segurança de Conta Avançada.Montana Labs

Este é o modelo de ameaça tornado explícito: o mesmo caminho de suporte humano que poderia resgatar um utilizador bloqueado é também o caminho que um atacante usa para tomar controlo de uma conta. A OpenAI enquadra isto como maior protecção acompanhada de maior responsabilidade, e identifica o público a que se destina — jornalistas, cargos eleitos, dissidentes políticos, investigadores — como pessoas para quem essa troca vale a pena. Para todos os outros, perder todas as chaves de reserva significa perder a conta.

O pacote da Yubico reduz a barreira de hardware

A autenticação resistente a phishing só funciona se as pessoas tiverem mesmo o hardware. A resposta da OpenAI é uma parceria com a Yubico que oferece preços preferenciais num pacote específico de duas chaves: uma YubiKey C Nano pensada para ficar ligada permanentemente a um portátil, e uma YubiKey C NFC como reserva e para uso em dispositivos móveis.

O pacote não está limitado ao nível de segurança avançado — a OpenAI diz que estará disponível para todos os utilizadores elegíveis nas respetivas definições, e qualquer chave compatível com FIDO ou passkey de software funciona da mesma forma. Esta separação é relevante: trata a posse de chaves como um problema de distribuição a resolver de forma abrangente, e não como um privilégio reservado aos utilizadores de maior risco.

O Trusted Access for Cyber transforma a opção numa obrigação

Para a maioria dos utilizadores, isto é opcional. Para um grupo, não é. Os membros individuais do programa Trusted Access for Cyber — que acedem aos modelos mais permissivos e com maior capacidade cibernética da OpenAI — terão de ativar a Segurança de Conta Avançada a partir de 1 de junho de 2026. As organizações podem, em alternativa, atestar que o seu sistema de single sign-on já aplica autenticação resistente a phishing.

Essa associação é a decisão política mais interessante. O acesso a modelos mais permissivos está a ser condicionado ao reforço da segurança da conta. Se a sua conta pode aceder a capacidades cibernéticas de duplo uso, a OpenAI quer prova de que essa conta não pode ser facilmente comprometida. Os ambientes empresariais são apontados como o próximo público a quem esta mesma lógica se aplicará.

O que isto significa para as equipas que constroem sobre contas OpenAI

Uma conta OpenAI já não é apenas um login; o anúncio descreve-a como estando no centro de ferramentas e fluxos de trabalho interligados, com o acesso ao Codex a passar por ela. Proteger a conta significa agora proteger uma credencial que pode alcançar código e sistemas ligados.

Para as equipas que dependem operacionalmente do ChatGPT ou do Codex, a conclusão prática é planear em função do modelo de recuperação antes de registar quem quer que seja. A recuperação sem palavra-passe e sem apoio do suporte é a postura certa para contas de alto valor, mas exige uma gestão disciplinada das chaves — chaves de reserva guardadas, chaves de recuperação protegidas, processos de saída bem definidos — porque a rede de segurança que normalmente salva uma conta deixa de existir de forma intencional.

Find this story relevant to you?

Contact us to find a unique solution

Contact us

Precisa de um parceiro de engenharia de IA que saiba executar?

Ajudamos equipas em Portugal a integrar IA em produtos, automatizar processos de alto valor e modernizar os sistemas que suportam o negocio.

Get in touch

Leitura relacionada

Mais análises sobre entrega de produto, AI operacional e o trabalho de sistemas que faz com que a implementação funcione na prática.

Jul, 134 min de leitura
Plataforma

A Doppel automatiza a remoção de sites de phishing com um pipeline de cinco fases baseado em GPT-5 e RFT

Jul, 13Leitura de 4 min
Plataforma

A aposta da Deutsche Telekom em transformar as redes de voz na interface de AI

Jul, 134 min de leitura
Plataforma

A expansão de 5GW da Meta na Louisiana é anunciada através de bónus a professores, não de teraflops