News · A OpenAI associa a segurança das contas do ChatGPT e Codex a chaves de hardware, sem recuperação através do suporte
A OpenAI associa a segurança das contas do ChatGPT e Codex a chaves de hardware, sem recuperação através do suporte
A Segurança de Conta Avançada é uma opção voluntária que troca conveniência por um início de sessão resistente a phishing — e torna os utilizadores, e não o Suporte da OpenAI, responsáveis por recuperar o acesso.
O que a opção voluntária altera na prática
A Segurança de Conta Avançada é um único interruptor na secção de Segurança de uma conta ChatGPT que agrupa quatro alterações distintas. Aplica-se tanto ao ChatGPT como ao Codex acedidos através do mesmo login.
Primeiro, o início de sessão passa a depender de passkeys ou chaves de segurança físicas, e o login por palavra-passe é desativado por completo. Segundo, a recuperação de conta perde os dois caminhos mais explorados por atacantes: a recuperação por email e por SMS é desligada, substituída por passkeys de reserva, chaves de segurança e chaves de recuperação. Terceiro, as sessões são encurtadas, são enviados alertas de login e os utilizadores passam a ter uma vista das sessões ativas em todos os dispositivos. Quarto, as conversas de contas registadas são automaticamente excluídas do treino dos modelos.
Cada uma destas medidas é um controlo de segurança já conhecido no meio empresarial. O que se destaca é a OpenAI ter agrupado tudo isto num nível com nome próprio para utilizadores individuais, tornando a exclusão do treino uma propriedade da definição de segurança, em vez de uma preferência de privacidade separada.
A troca na recuperação é a verdadeira decisão de design
A frase mais consequente do anúncio é sobre o que acontece quando algo corre mal. Ao remover a recuperação por email e SMS, a OpenAI remove também a sua própria capacidade de ajudar.
Como a recuperação de conta fica restrita a estes métodos mais seguros, o Suporte da OpenAI não poderá ajudar na recuperação de contas de utilizadores registados na Segurança de Conta Avançada.Montana Labs
Este é o modelo de ameaça tornado explícito: o mesmo caminho de suporte humano que poderia resgatar um utilizador bloqueado é também o caminho que um atacante usa para tomar controlo de uma conta. A OpenAI enquadra isto como maior protecção acompanhada de maior responsabilidade, e identifica o público a que se destina — jornalistas, cargos eleitos, dissidentes políticos, investigadores — como pessoas para quem essa troca vale a pena. Para todos os outros, perder todas as chaves de reserva significa perder a conta.
O pacote da Yubico reduz a barreira de hardware
A autenticação resistente a phishing só funciona se as pessoas tiverem mesmo o hardware. A resposta da OpenAI é uma parceria com a Yubico que oferece preços preferenciais num pacote específico de duas chaves: uma YubiKey C Nano pensada para ficar ligada permanentemente a um portátil, e uma YubiKey C NFC como reserva e para uso em dispositivos móveis.
O pacote não está limitado ao nível de segurança avançado — a OpenAI diz que estará disponível para todos os utilizadores elegíveis nas respetivas definições, e qualquer chave compatível com FIDO ou passkey de software funciona da mesma forma. Esta separação é relevante: trata a posse de chaves como um problema de distribuição a resolver de forma abrangente, e não como um privilégio reservado aos utilizadores de maior risco.
O Trusted Access for Cyber transforma a opção numa obrigação
Para a maioria dos utilizadores, isto é opcional. Para um grupo, não é. Os membros individuais do programa Trusted Access for Cyber — que acedem aos modelos mais permissivos e com maior capacidade cibernética da OpenAI — terão de ativar a Segurança de Conta Avançada a partir de 1 de junho de 2026. As organizações podem, em alternativa, atestar que o seu sistema de single sign-on já aplica autenticação resistente a phishing.
Essa associação é a decisão política mais interessante. O acesso a modelos mais permissivos está a ser condicionado ao reforço da segurança da conta. Se a sua conta pode aceder a capacidades cibernéticas de duplo uso, a OpenAI quer prova de que essa conta não pode ser facilmente comprometida. Os ambientes empresariais são apontados como o próximo público a quem esta mesma lógica se aplicará.
O que isto significa para as equipas que constroem sobre contas OpenAI
Uma conta OpenAI já não é apenas um login; o anúncio descreve-a como estando no centro de ferramentas e fluxos de trabalho interligados, com o acesso ao Codex a passar por ela. Proteger a conta significa agora proteger uma credencial que pode alcançar código e sistemas ligados.
Para as equipas que dependem operacionalmente do ChatGPT ou do Codex, a conclusão prática é planear em função do modelo de recuperação antes de registar quem quer que seja. A recuperação sem palavra-passe e sem apoio do suporte é a postura certa para contas de alto valor, mas exige uma gestão disciplinada das chaves — chaves de reserva guardadas, chaves de recuperação protegidas, processos de saída bem definidos — porque a rede de segurança que normalmente salva uma conta deixa de existir de forma intencional.
Find this story relevant to you?
Contact us to find a unique solution
Precisa de um parceiro de engenharia de IA que saiba executar?
Ajudamos equipas em Portugal a integrar IA em produtos, automatizar processos de alto valor e modernizar os sistemas que suportam o negocio.
Leitura relacionada
Mais análises sobre entrega de produto, AI operacional e o trabalho de sistemas que faz com que a implementação funcione na prática.