YubiKeys funcionando no macOS mas falhando de forma intermitente no Windows? Este guia prático mostra como diagnosticar, corrigir quedas de energia USB, reinstalar drivers, validar WebAuthn e estabilizar a autenticação FIDO2 passo a passo.
Cenário e sintomas
As mesmas chaves físicas de segurança (YubiKey) funcionam normalmente no macOS, mas no Windows a autenticação falha em alguns dias, exibindo mensagens como “unable to read your key”, “unable to authenticate” ou notificações do tipo “algo deu errado”. Em certos momentos o LED da YubiKey nem acende ou apaga durante o fluxo de login; em outros, a chave é detectada, mas o navegador ou o serviço on‑line não conclui a verificação.
Esse padrão intermitente quase sempre aponta para uma combinação de: gerenciamento de energia das portas USB, conflitos de driver (HID/CTAP), interferência de softwares de segurança (AV/EDR), hubs/adaptadores com alimentação insuficiente, ou políticas corporativas que alteram o comportamento do WebAuthn no Windows.
Diagnóstico: por que ocorre no Windows e não no macOS?
Embora o protocolo FIDO2/WebAuthn seja padronizado, a cadeia de software e energia que o suporta difere entre sistemas. No Windows, a YubiKey conversa com a pilha USB e com o componente WebAuthn do sistema, além do navegador. Pequenas mudanças em drivers de chipset/USB, planos de energia (“suspensão seletiva de USB”) ou camadas de segurança que inspecionam dispositivos podem introduzir regressões pontuais — daí o efeito “um dia funciona, no outro não”.
Resposta rápida
- Portas USB/Conexão: teste portas diferentes, evite hubs sem alimentação dedicada, inspecione conectores e adaptadores USB‑C↔USB‑A.
- Drivers / SO / Navegadores: mantenha Windows, drivers de chipset/USB e navegadores atualizados.
- Software de segurança: verifique se antivírus/EDR/firewall não estão interferindo no dispositivo HID/FIDO.
- YubiKey Manager: confira PIN, estado FIDO e, se necessário, remova e registre novamente a chave nas contas.
- Isolamento do problema: teste a mesma chave em outro PC Windows e observe os logs WebAuthn.
Passo a passo priorizado
Isolar rapidamente o ponto de falha
- Troque de porta USB: conecte diretamente no PC (porta traseira em desktops costuma ser mais estável). Evite hubs/replicadores no primeiro teste.
- Troque de navegador: teste em Edge, Chrome e Firefox. Falhar só em um navegador sugere problema local (perfil/extensão/cache).
- Teste em outro PC Windows: se funciona lá, foque em drivers/energia/permissões da máquina problemática.
- Observe o LED da YubiKey: ausência total de iluminação ao inserir pode indicar porta sem alimentação estável ou falha de enumeração USB.
Corrigir energia e portas USB
Falhas intermitentes frequentemente estão ligadas a economia de energia USB no Windows.
- Gerenciador de Dispositivos (Gestor de Dispositivos) → Controladores USB → para cada “USB Root Hub/Hub Genérico”:
- Aba Gerenciamento de Energia → desmarque “Permitir que o computador desligue este dispositivo para economizar energia”.
- Opções de Energia → Configurações avançadas → Configuração de suspensão seletiva de USB: Desabilite para teste.
- Modern Standby: em notebooks com modo de baixo consumo (S0), a suspensão seletiva é mais agressiva. Teste com o notebook na tomada e plano “Alto Desempenho”.
- Adaptadores e cabos: se usa adaptador USB‑C↔USB‑A ou dock, experimente outro adaptador/cabo ou conecte direto à porta da placa‑mãe.
Reinstalar o driver do dispositivo
- Desconecte a YubiKey.
- Abra Gerenciador de Dispositivos. Em Dispositivos de Interface Humana (HID) e Controladores USB, localize entradas relacionadas (p. ex., “HID‑compliant device”, “YubiKey FIDO”).
- Desinstale o dispositivo (botão direito → Desinstalar). Se houver a caixa “Excluir o software de driver”, marque‑a.
- Reinicie o Windows, reconecte a YubiKey e deixe o sistema reinstalar automaticamente.
- Atualize drivers de chipset/USB a partir do site do fabricante do PC/placa‑mãe (Intel/AMD/Realtek, etc.).
Verificar o estado da chave no Windows
Configurações → Contas → Opções de entrada → Chave de segurança → Gerenciar. A partir daí:
- Confirme se a chave é reconhecida e acessível.
- Teste/alterar o PIN.
- Se necessário, redefina o FIDO (apaga as credenciais armazenadas na chave). Faça isso apenas se tiver métodos alternativos de login e códigos de backup em cada conta.
Observação: na maioria dos modelos YubiKey da série 5, o firmware não é atualizável. Use o YubiKey Manager (aplicativo/CLI) para verificar versão, PIN e configurações, não para “atualizar firmware”.
Atualizações e rollback controlado
- Mantenha Windows e navegadores atualizados.
- Se a falha começou após uma atualização específica, realize um teste reversível:
- Configurações → Windows Update → Histórico de atualizações → Desinstalar atualizações.
- Se não houver mudança, aplique novamente a atualização.
Verificar interferência de segurança e políticas
- Antivírus/EDR: desative temporariamente para teste (e reative em seguida). Alguns produtos observam dispositivos HID/USB.
- Políticas corporativas: verifique com TI se há GPOs que restrinjam FIDO2/WebAuthn, instalação de dispositivos USB ou acesso ao Credential Provider.
- Virtualização/VMs: desabilite a captura automática de USB no VirtualBox/VMware/WSL2 quando testar.
- RDP: em sessões de Área de Trabalho Remota, a passagem de dispositivos pode alterar o comportamento; prefira testar localmente.
Reinscrever a chave nas contas
Somente após estabilizar o PC:
- Remova a YubiKey da conta do serviço afetado (Google, Microsoft, GitHub, etc.).
- Adicione novamente a mesma chave — e, idealmente, uma segunda chave de backup.
- Garanta métodos alternativos: códigos de recuperação e um autenticador (TOTP/passkeys sincronizadas) como contingência.
Coletar evidências para suporte
- Visualizador de Eventos → Aplicativos e Serviços → Microsoft → Windows → WebAuthn → Operational: verifique erros no momento da falha.
- Navegadores: abra os registros de dispositivo ao conectar a YubiKey:
chrome://device-logedge://device-log
Matriz de diagnóstico rápida
| Sintoma | Contexto | Causa provável | Como confirmar | Correção sugerida |
|---|---|---|---|---|
| “Unable to read your key” | Logo após inserir a YubiKey | Porta USB em suspensão seletiva ou hub sem alimentação | LED apaga/oscila; no Device Log aparecem desconexões USB | Desabilitar suspensão seletiva, conectar direto na placa‑mãe |
| “Unable to authenticate” | No momento da verificação no site | Driver HID/CTAP inconsistentes ou navegador | Funciona em outro navegador/PC | Reinstalar dispositivo HID; atualizar navegador |
| Chave não acende | Algumas portas/replicadores | Alimentação insuficiente | Funciona em outra porta/alimentada | Evitar hub passivo; usar porta traseira (desktop) |
| Funciona no macOS | Windows falha de forma intermitente | GPO/EDR afetando apenas Windows | Logs WebAuthn com erro de permissão; EDR marcado | Excluir YubiKey de inspeção; ajustar política |
| Pede PIN indevidamente | Mesmo em registros simples | Confusão entre modos U2F e FIDO2 | Ver ykman fido info para capacidades | Reinscrever credencial no modo correto |
| Falha só em Edge | Chrome/Firefox OK | Perfil corrompido ou flag experimental | Testar perfil novo/Janela InPrivate | Resetar perfil ou reinstalar navegador |
Comandos e caminhos úteis
Use com cautela e sempre com privilégios adequados.
# Ver dispositivos USB recentes (PowerShell)
Get-PnpDevice -PresentOnly | Where-Object { $_.InstanceId -match "USB" } | Sort-Object -Property Class, FriendlyName | Format-Table -Auto
Desativar Suspensão Seletiva de USB (apenas para teste)
Painel de Controle > Opções de Energia > Alterar configurações do plano > Avançadas > USB
(Prefira alterar via GUI; em ambientes gerenciados, use política de energia)
Checar logs do WebAuthn (Event Viewer)
Visualizador de Eventos > Aplicativos e Serviços > Microsoft > Windows > WebAuthn > Operational
Chrome/Edge: log de dispositivos
chrome://device-log
edge://device-log
YubiKey Manager (CLI) — informações FIDO
ykman fido info
Reset FIDO (APAGA credenciais da chave!)
ykman fido reset Boas práticas para estabilidade
- Use duas chaves físicas (principal e backup) e guarde códigos de recuperação.
- Prefira portas USB de alta qualidade (portas traseiras em desktops, portas diretas no notebook).
- Mantenha drivers de chipset/USB atualizados pelo fabricante do dispositivo.
- Evite hubs passivos para autenticação em ambientes críticos.
- Padronize navegadores e versões em estações de trabalho; desabilite extensões durante testes.
- Documente alterações de políticas/GPO e atualizações que coincidirem com as falhas.
Perguntas frequentes
É culpa de uma atualização do Windows? Possível. Alterações na pilha USB/WebAuthn podem introduzir regressões. No entanto, não há um bug único confirmado por este guia. Valide primeiro energia USB, drivers e rollback controlado.
Devo atualizar o firmware da YubiKey? Em geral, não é possível nos modelos mais recentes (série 5). O correto é verificar PIN/estado e, se necessário, resetar a função FIDO (após garantir acessos alternativos).
Posso usar a mesma YubiKey para todos os serviços? Sim, mas regra de ouro: sempre tenha pelo menos duas chaves registradas por serviço, mais códigos de backup.
U2F x FIDO2/WebAuthn — faz diferença? Sim. Serviços antigos podem registrar a credencial no modo U2F; os atuais usam FIDO2. Reinscrever pode resolver prompts de PIN estranhos ou incompatibilidades.
Notas para ambientes corporativos
- GPOs de dispositivo: regras de instalação/controle de USB podem bloquear HID/CTAP. Garanta exceções para dispositivos FIDO.
- EDR/AV: inspecione políticas de controle de dispositivos, proteção de credenciais e USB. Crie exceções conforme necessário.
- Hardening do navegador: políticas que desativam WebAuthn/FIDO2 quebram o fluxo de autenticação; revise configurações.
- Inventário de hardware: alguns docks/replicadores têm histórico de queda de energia; padronize modelos confiáveis.
Quando escalar para suporte
- YubiKey não é detectada em nenhuma porta e também falha em outros PCs Windows: acione o suporte do fabricante da chave.
- Erros consistentes no log WebAuthn ou falha restrita a um único navegador: abra chamado com o suporte do Windows/Microsoft ou do fabricante do PC (drivers/chipset).
- Ambiente corporativo: envolva a equipe de TI/segurança para revisar GPOs/EDR.
Fluxo prático de decisão
[A] Falha só neste PC Windows?
|-- Não: chave/conta/serviço > reinscrição/backup
|-- Sim:
1) Porta direta / sem hub
2) Desativar suspensão seletiva USB
3) Reinstalar HID/USB + atualizar chipset
4) Testar outro navegador/perfil
5) Checar AV/EDR/GPO
6) Revisar logs WebAuthn / device-log
7) Se estável: reinscrever credenciais nos serviços
Checklist rápido para copiar/colar
1) Trocar porta USB / evitar hub
2) Desativar suspensão seletiva USB
3) Reinstalar dispositivo HID/YubiKey via Gerenciador de Dispositivos
4) Atualizar Windows, navegador e drivers de chipset/USB
5) Testar outro PC Windows e outro navegador
6) Verificar/gerenciar a chave em Opções de entrada > Chave de segurança
7) Desativar temporariamente antivírus/EDR para teste
8) Coletar logs WebAuthn e device-log do navegador
9) Se estável, re‑inscrever a chave nos serviços
Modelo de relato de incidente
Título: YubiKey falhando de forma intermitente no Windows
Resumo:
- Mensagens: "unable to read your key" / "unable to authenticate"
- Funciona em macOS e em outro PC Windows? \[ ] sim \[ ] não
- Começou após atualização? \[ ] sim \[ ] não | Data:
Ambiente:
- Windows: versão/compilação
- Navegador(es): versão
- Hardware: modelo do PC/placa-mãe/dock
- AV/EDR: produto e versão
Testes realizados:
\[ ] Portas diretas / sem hub
\[ ] Suspensão seletiva USB desativada
\[ ] Reinstalação do dispositivo HID/USB
\[ ] Drivers de chipset/USB atualizados
\[ ] Outro navegador/perfil testado
\[ ] Chave gerenciada em Configurações > Chave de segurança
\[ ] Logs WebAuthn e device-log anexados
Resultado:
- Status após correções:
- Próximos passos / suporte necessário: Conclusão
Falhas intermitentes de YubiKey no Windows tendem a convergir para três frentes: energia USB (suspensão seletiva, hubs/adaptadores), camada de driver (HID/CTAP e chipset) e interferência de segurança/políticas. Seguindo o fluxo proposto — isolar o problema, estabilizar energia, reinstalar drivers, revisar políticas e, por fim, reinscrever credenciais — a maioria dos casos é resolvida de forma definitiva. Reserve alguns minutos para coletar logs: além de acelerar a solução, eles ajudam a prevenir regressões futuras.
Dica final: mantenha sempre duas chaves físicas, códigos de backup e, se possível, um método secundário (TOTP ou passkeys sincronizadas). Redundância é o que transforma um incidente em um simples inconveniente.