Se a opção “Chave de segurança NFC” não aparece no Edge/Bing para Android e o Authenticator falha no fim, este guia mostra um atalho confiável: aprovar em janela pop‑up sem sair do navegador, além de alternativas com YubiKey e um checklist completo de diagnóstico.
Contexto e sintomas
Em alguns dispositivos Android, ao iniciar sessão passwordless (sem senha) numa conta Microsoft dentro do Edge ou do app Bing, o utilizador não vê a opção de usar “Chave de segurança NFC” (ex.: YubiKey 5 NFC) e, ao tentar o Microsoft Authenticator, o fluxo falha no final com a mensagem: “A conta ou a senha está incorreta”. Esse erro, embora pareça uma credencial inválida, costuma indicar que o desafio de autenticação perdeu o estado a meio do processo.
O caso documentado foi num Galaxy S21 5G com Android 14. A mesma YubiKey NFC funcionava noutros serviços (Google) no mesmo telemóvel, o que aponta para uma limitação específica do fluxo no app da Microsoft (Edge/Bing) naquele dispositivo/conta.
Diagnóstico rápido: por que isto acontece
- Fluxo FIDO2/WebAuthn em webview: o login no app pode usar um navegador embutido. Ao alternar completamente de app, o contexto do desafio expira ou é reiniciado, causando falhas genéricas.
- Troca de contexto excessiva: sair do Edge para abrir o Authenticator em ecrã inteiro pode “quebrar” o estado. O servidor ainda espera a resposta do mesmo session challenge, que já não existe.
- Gestão de energia: o Android pode suspender o Authenticator em segundo plano, atrasando notificações e autenticadores de dispositivo, especialmente sob otimização de bateria agressiva.
- Interface móvel limitada: em certos cenários, o fluxo não exibe a opção NFC, mesmo com uma chave registada para “Entrar com chave de segurança”.
Solução comprovada: aprovar no Authenticator sem sair do Edge
A alternativa que resolveu o caso foi usar o Microsoft Authenticator em janela pop‑up/multi‑janela por cima do Edge, sem alternar completamente de app. O utilizador aprovou a solicitação no Authenticator e regressou ao Edge (que permaneceu visível por baixo), concluindo o login com sucesso.
Como fazer no Android (exemplo com Samsung/One UI)
- No Edge (ou Bing), inicie sessão na conta Microsoft e escolha avançar até aparecer a indicação para aprovar no Authenticator.
- Abra a tela de apps recentes. Toque no ícone do Microsoft Authenticator e selecione Abrir em visualização pop‑up (ou Janela pop‑up / Multi-janela). Em alternativa, use Ecrã dividido com o Edge.
- Com o Authenticator aberto em janela flutuante sobre o Edge, aprove a solicitação (confirme o número e a biometria, se pedido).
- Feche a janela pop‑up ou simplesmente toque no Edge por baixo para voltar ao ecrã de login. O fluxo deve retomar automaticamente e terminar sem erro.
Importante: não mude para o Authenticator em ecrã completo a partir do atalho normal, nem o traga para a frente ocupando todo o ecrã. O objetivo é não perder o contexto do Edge.
Otimize para não falhar novamente
- Desative a otimização de bateria do Microsoft Authenticator:
Definições > Aplicações > Microsoft Authenticator > Bateria > Sem restrições (ou opção equivalente no seu Android). - Permita “Exibir sobre outros apps” para o Authenticator:
Definições > Aplicações > Acesso especial > Exibir sobre outros apps > Microsoft Authenticator > Ativado. - Notificações ativas e sem silenciamento para o Authenticator, para garantir prompts oportunos.
Outras sugestões e o que esperar
- Adaptador USB‑C ↔ USB‑A para usar a YubiKey como “Chave de segurança USB”:
Estado: pode funcionar; não testado no caso relatado. Útil quando o NFC não surge no fluxo móvel, permitindo chave física via porta USB‑C. - Senha de app para aplicações que não suportam 2FA:
Utilidade: boa para clientes legados (IMAP/POP/SMTP). Limitação: não resolve login no navegador (Edge/Bing) com FIDO2/WebAuthn. - Reiniciar telemóvel / reinstalar Edge/Bing / limpar cache:
Resultado no caso: não resolveu.
Constatações úteis
- YubiKey NFC funcionou com Google no mesmo telemóvel, sugerindo que a limitação estava no fluxo do app Microsoft para aquele dispositivo/conta.
- Sair do Edge durante a verificação quebra o estado do desafio e frequentemente gera o erro de credenciais.
Passo a passo recomendado
Se for usar o Authenticator
- Inicie o login no Edge/Bing até ver o pedido de aprovação no telemóvel.
- Abra o Authenticator em pop‑up sobre o Edge e aprove a solicitação.
- Evite alternar totalmente de app; mantenha o Edge visível em fundo.
- Desative a otimização de bateria do Authenticator e permita “Exibir sobre outros apps”.
Se for usar a chave de segurança
- Em account.microsoft.com > Segurança > Opções avançadas, confirme que a YubiKey está registada em “Entrar com chave de segurança”.
- Teste a mesma chave num PC: se funcionar no PC mas não no telemóvel, isola o problema para o dispositivo/fluxo móvel.
- Mantenha Edge/Chrome atualizados. Se o NFC não aparecer, tente a ligação física via adaptador USB‑C ↔ USB‑A como alternativa.
Se persistir
- Reporte à Microsoft e/ou ao fabricante do telemóvel, incluindo modelo, versão do Android, versão do app e passos que reproduzem o problema.
- Garanta métodos de recuperação ativos: Authenticator noutro dispositivo, códigos de recuperação, e‑mail/telefone secundários.
Matriz de decisão rápida
| Cenário | O que fazer | Porquê | Observação |
|---|---|---|---|
| NFC não aparece no Edge | Aprovar no Authenticator em pop‑up | Evita perder o estado do desafio | Não alternar totalmente de app |
| Erro “A conta ou a senha está incorreta” | Repetir fluxo mantendo o Edge aberto | Erro genérico por contexto perdido | Pop‑up/multi‑janela resolve |
| Authenticator demora ou não notifica | Desativar otimização de bateria | Evita suspensão em segundo plano | Ativar “Exibir sobre outros apps” |
| Precisa usar a YubiKey | Tentar USB via adaptador | Fluxo NFC pode não ser exposto | Confirmar registro da chave |
| Funcionou no PC, falha no telemóvel | Isolar como problema do dispositivo | Conta e chave estão OK | Reportar com detalhes |
| Apps legados (IMAP/POP/SMTP) | Usar Senha de app | Compatibilidade antiga | Não serve para login no Edge |
Erros comuns e como evitar
- Aprovar fora do contexto: abrir o Authenticator em ecrã inteiro pelo atalho normal pode reiniciar o desafio. Use pop‑up ou ecrã dividido.
- Coração do problema não é a senha: a mensagem de “senha incorreta” frequentemente mascara um fluxo quebrado. Repetir a senha não resolve.
- Ignorar energia/permissões: o Android pode silenciar o Authenticator. Ajuste bateria e sobreposição.
- Pressa no registo da chave: confirme em “Opções avançadas” se a YubiKey aparece como método de login, não apenas como 2FA.
Como funciona o bastidor: WebAuthn/FIDO2 no Android
O WebAuthn define como o navegador/app comprova que você possui um autenticador (chave de segurança, passkey do dispositivo, Authenticator) e como assina o desafio do servidor. No telemóvel, parte desse processo pode depender do sistema, de um serviço de credenciais ou de um app auxiliar. Se o app do login (Edge/Bing) “perde de vista” o desafio enquanto o utilizador muda de app, o servidor recebe uma resposta fora de contexto e devolve falha genérica. Manter o webview aberto e aprovar por cima dele preserva a sessão.
Checklist de saúde do Authenticator
| Configuração | Onde ajustar | Recomendado | Motivo |
|---|---|---|---|
| Otimização de bateria | Definições > Aplicações > Authenticator > Bateria | Sem restrições | Evita suspensão em segundo plano |
| Exibir sobre outros apps | Acesso especial > Exibir sobre outros apps | Ativado | Permite pop‑up por cima do Edge |
| Notificações | Definições > Notificações > Authenticator | Ativas | Recebe prompts em tempo real |
| Biometria | Authenticator > Segurança | Ativada | Passo adicional de proteção |
Quando usar a YubiKey NFC, USB ou outra opção
| Método | Disponibilidade típica no Android | Vantagem | Riscos/Notas |
|---|---|---|---|
| YubiKey NFC | Nem sempre exposta pelo app | Rápido, sem porta | Fluxo pode omitir opção NFC |
| YubiKey USB (via adaptador) | Depende do suporte do app | Alternativa quando NFC falha | Necessita adaptador USB‑C ↔ USB‑A |
| Microsoft Authenticator | Amplamente suportado | Integração direta no fluxo | Usar em pop‑up para manter o contexto |
| Senha de app | Para apps legados | Resolve clientes antigos | Não serve para WebAuthn no Edge |
Guia detalhado de resolução
Preparação
- Atualize Edge (ou app Bing) e Microsoft Authenticator para a versão mais recente disponível na loja.
- Reinicie o telemóvel para limpar estados temporários.
- Verifique ligação estável à internet (Wi‑Fi ou dados).
- Confirme métodos de recuperação ativos em Segurança > Opções avançadas da sua conta Microsoft.
Executando o fluxo sem NFC
- No Edge/Bing, avance com o login sem senha.
- Quando solicitado, não saia do Edge. Abra o Authenticator em pop‑up ou ecrã dividido, aprove e retorne ao Edge (que permaneceu aberto).
- Se não aparecer o prompt no Authenticator, puxe para atualizar o app e verifique as notificações. Confira a hora do sistema e fusos horários corretos.
Testes cruzados
- Experimente o mesmo login em outro dispositivo (PC/portátil) com a mesma conta e a mesma YubiKey.
- Tente em outro navegador móvel compatível, quando possível.
- Se a chave funciona noutros contextos, concentre o reporte no fluxo do app.
Perguntas frequentes (FAQ)
O que causa o erro “A conta ou a senha está incorreta” após aprovar no Authenticator?
Apesar da mensagem, é frequentemente um timeout ou perda de contexto do desafio WebAuthn ao alternar de app. Por isso o pop‑up resolve.
Por que não vejo “Chave de segurança NFC”?
O fluxo móvel pode não expor a opção NFC em certos modelos/versões. Tente a chave física via USB ou use o Authenticator em pop‑up.
Senha de app ajuda aqui?
Não para WebAuthn no navegador. É apenas para apps legados que não suportam MFA moderna.
É seguro usar adaptador USB‑C ↔ USB‑A?
Sim, desde que seja um adaptador de qualidade. A segurança está na chave (FIDO2), não no adaptador. Verifique se o app aceita chaves USB.
O Authenticator precisa de internet?
Sim, para validar o desafio e sincronizar aprovações. Garanta conectividade e notificações ativas.
Boas práticas de segurança e recuperação
- Mantenha dois ou mais métodos de autenticação (Authenticator + chave física + códigos de recuperação).
- Guarde os códigos de recuperação num local offline seguro.
- Evite depender de SMS como método principal; use-o apenas como reserva.
- Revise periodicamente os métodos em Segurança > Opções avançadas da sua conta Microsoft.
Notas por dispositivo
- Samsung (One UI): “Visualização pop‑up” e “Ecrã dividido” facilitam manter o Edge ativo enquanto aprova no Authenticator.
- Pixel/Android “puro”: use “Ecrã dividido” pelo menu de apps recentes; a lógica é a mesma: não perder o contexto do webview.
Resumo do caso resolvido
O utilizador conseguiu entrar no telemóvel usando o Microsoft Authenticator em janela pop‑up por cima do Edge. A ausência da opção “NFC” no fluxo móvel da Microsoft para aquele dispositivo/conta permanece como ponto a reportar. A chave YubiKey NFC funcionava com outro serviço (Google), fortalecendo a hipótese de limitação do fluxo específico do app no Android.
Conclusão
Quando a opção “Chave de segurança NFC” não aparece e o Authenticator falha no fim, a ação com melhor taxa de sucesso é manter o Edge ativo e aprovar em pop‑up/multi‑janela. Ajustar as permissões de sobreposição e a bateria do Authenticator previne novas falhas. Se for necessário, experimente a chave USB via adaptador, confirme o registo em “Entrar com chave de segurança” e teste em PC para isolar o problema. Persistindo, reporte com detalhes e garanta sempre métodos de recuperação ativos.