QR Texto
ENPT
Voltar ao blog
segurançadesenvolvimento

Como compartilhar chaves de API com segurança sem usar o WhatsApp

Mandar tokens, senhas e chaves de API pelo WhatsApp é o jeito mais comum — e o pior em segurança. Veja quatro alternativas que deixam menos rastro.

22 de abril de 20263 min de leiturapor PasteQRCode

Todo dev já passou por isso: o colega pergunta no chat "me manda a chave da API de staging?" e você, sem pensar, cola sk_live_abc123... no WhatsApp. Funciona, mas é a pior prática possível — aquela chave agora está no histórico do WhatsApp de vocês dois, sincronizada nos servidores do Meta, indefinidamente, e provavelmente backup em nuvem também.

Por que o WhatsApp é ruim pra credenciais

Três motivos principais:

  1. Histórico persistente: mesmo apagando a mensagem, a cópia no outro celular e nos backups continua.
  2. Sincronização multi-dispositivo: WhatsApp Web, WhatsApp Desktop, WhatsApp Business — a chave pode estar em 4-5 lugares simultaneamente.
  3. Compliance: se sua empresa tem ISO 27001, SOC2 ou LGPD, passar credencial em chat pessoal é uma não-conformidade imediata.

Alternativas ordenadas da pior pra melhor

1. Email corporativo (aceitável pra chaves não-produção)

Pelo menos o email corporativo passa por filtros DLP e fica numa infraestrutura auditável. Mas email também é persistente — e mais exposto a phishing.

2. Senha em Slack/Teams com reação 👁️ (pra apagar depois)

Melhor que WhatsApp porque você pode configurar retenção curta. Mas ainda deixa rastro nos servidores da plataforma.

3. Gerenciador de senhas compartilhado (1Password, Bitwarden)

A forma correta pra tokens permanentes. Compartilha o item, a pessoa acessa sem copiar. Ideal pra credenciais que vão ser usadas muitas vezes.

4. QR Code local + autodestruição (pra uso pontual)

Pra aquela situação "preciso passar essa chave agora, só essa vez", gerar um QR Code no navegador com link autodestrutivo é o mais limpo. O fluxo:

  1. Cola a chave num gerador como o PasteQRCode.
  2. Se o texto for curto (< 300 caracteres), o QR contém a chave direto — nada toca servidor.
  3. Se for longo, o gerador salva num store temporário por 5 minutos e emite um link curto.
  4. A pessoa lê o QR, vê a chave, copia pro gerenciador dela.
  5. Em 5 minutos o link se autodestrói.

A vantagem forte: o QR Code não passa por nenhum chat, email ou nuvem corporativa. Sem log, sem backup, sem histórico.

Boas práticas complementares

Independente do método, siga isso:

  • Rotacione depois: qualquer credencial que trafegou por qualquer canal deve ser rotacionada assim que possível.
  • Use chaves de menor privilégio: nunca mande uma chave root / admin se dá pra mandar uma read-only ou scoped.
  • Prefira tempo de vida curto: tokens de 1h > tokens eternos.
  • Evite screenshots: câmeras e Lightshots guardam imagens em nuvem.

FAQ

QR Code é realmente seguro? O QR em si não é criptografado — quem vir a tela ou a foto vê o conteúdo. Mas comparado a WhatsApp, ele não deixa histórico persistente. Use em ambientes onde você controla quem está olhando.

E se a pessoa tirar foto do QR? Risco real. Por isso pra credenciais sensíveis o ideal continua sendo gerenciador de senhas.

Funciona pra chave Pix ou chave de carteira cripto? Funciona, mas pra valores reais use autenticação forte. QR Code local é ótimo pra transferência pontual de baixo risco.

Resumo

Pra credenciais permanentes: gerenciador de senhas. Pra passar uma chave pontualmente sem deixar histórico: QR Code local com autodestruição. Pra qualquer coisa que envolva produção: rotacione após o compartilhamento, independente do canal.

WhatsApp pra credenciais é confortável, mas é dívida técnica de segurança. Qualquer auditoria acha.

Continue lendo