Impressão digital do navegador é a recolha de atributos do navegador e do dispositivo — saída de renderização de canvas, fontes instaladas, modelo de GPU, fuso horário, resolução de ecrã e dezenas mais — para gerar um identificador estatisticamente único sem armazenar qualquer dado no dispositivo do utilizador. Ao contrário dos cookies, as impressões digitais sobrevivem à limpeza do histórico, ao modo de navegação privada e ao uso de VPN.
Factos principais (figuras de entropia ilustrativas, aproximadas, retiradas de pesquisas publicadas sobre impressão digital — EFF Cover Your Tracks / Panopticlick e a literatura académica; não são as nossas próprias medições):
| Sinal | Entropia (aprox.) | Notas |
|---|---|---|
| Canvas (Chrome desktop) | ~16 bits | Entre os vetores de maior entropia |
| Renderizador WebGL + shader | ~14 bits | Fornecedor/modelo de GPU |
| Áudio (OfflineAudioContext) | ~10 bits | Estável entre versões |
| Enumeração de fontes (CSS) | ~10 bits | Deteção indireta |
| Concurrência de hardware + memória | ~5 bits | Grosso, mas aditivo |
| Canvas (Brave Shields) | Substancialmente reduzido | Randomização aplicada |
| Canvas (Tor / Navegador Mullvad) | ~0 bits | Defesa de uniformidade |
A impressão digital do navegador evoluiu de uma curiosidade de pesquisa para o método dominante de rastreamento entre sites na web aberta. A descontinuação de cookies, acelerada pela eliminação de cookies de terceiros pelo Google no Chrome e já completa no Safari e Firefox, não reduziu o rastreamento — acelerou a mudança para identificadores sem estado, derivados do dispositivo. Este guia cobre todos os vetores, todas as defesas e os dados empíricos de que precisa para avaliar a sua exposição real em 2026.
Veja também: Metodologia de teste · Comparação de navegadores de privacidade · Ferramenta de teste de impressão digital do navegador · Glossário de privacidade do navegador
1. O panorama da ameaça de impressão digital em 2026
A lógica económica da impressão digital é simples: as redes de publicidade precisam de identificadores persistentes entre sites para atribuir conversões, construir perfis comportamentais e precificar inventário. Os cookies eram o padrão da indústria até que os fornecedores de navegadores começaram a impor restrições SameSite e ITP (Prevenção Inteligente de Rastreamento) a partir de 2017. À medida que a fiabilidade dos cookies se deteriorou, a indústria investiu fortemente em alternativas sem cookies.
Em 2026, os identificadores derivados de impressão digital tornaram-se comuns em pedidos de lances programáticos, e grandes corretores de dados operam redes de impressão digital que cobrem uma parte substancial dos navegadores ativos, atualizando perfis periodicamente. Uma impressão digital que muda — porque o utilizador atualizou o driver da GPU ou alterou o ecrã — é re-associada ao perfil usando correspondência probabilística contra sinais comportamentais.
Três segmentos económicos impulsionam o investimento em tecnologia de impressão digital:
Ad-tech. O leilão em tempo real requer um identificador estável para corresponder um pedido de lance a um perfil de utilizador em menos de um segundo. Impressões digitais de canvas e áudio, combinadas com sub-rede IP e User-Agent, fornecem um identificador com uma taxa de colisão muito baixa para navegadores de desktop.
Deteção de fraude. Processadores de pagamento e plataformas de comércio eletrónico usam impressão digital de dispositivos para distinguir utilizadores legítimos de fraudes automatizadas. Este caso de uso é frequentemente tratado com simpatia na regulamentação — complica exceções legislativas e posições de fornecedores de navegadores sobre restrição de API.
Vigilância a nível estatal. A impressão digital foi documentada em pelo menos 14 programas nacionais de SIGINT. Ao contrário do rastreamento baseado em cookies, a impressão digital não requer cooperação do proprietário do dispositivo e não deixa vestígios forenses. Pedidos transfronteiriços a CDNs e pontos finais de análise entregam cargas de impressão digital que persistem fora da consciência do utilizador.
Quais são os principais vetores ativos de impressão digital do navegador?
A impressão digital do navegador usa APIs JavaScript para recolher sinais derivados do dispositivo como identificadores. Pesquisas publicadas (como o estudo "How Unique Is Your Web Browser?" / Panopticlick da EFF e trabalhos académicos posteriores) encontram que os vetores de maior entropia incluem saída de renderização de canvas, dados de GPU WebGL, processamento de AudioContext e enumeração de fontes instaladas — cada um na ordem de aproximadamente 10–16 bits no desktop. Combinados, uma impressão digital de desktop excede facilmente os ~33 bits necessários para identificação única globalmente.
A impressão digital ativa usa APIs de navegador acessíveis por JavaScript que processam ou renderizam conteúdo, com a saída recolhida como um identificador.
Impressão digital de canvas continua a ser o vetor ativo de maior entropia. Um script desenha texto e formas num elemento <canvas> oculto e lê de volta os dados de pixel via toDataURL() ou getImageData(). Renderização sub-pixel, ajuste de fontes, composição acelerada por GPU e anti-aliasing a nível de SO produzem assinaturas que diferem entre modelos de GPU, versões de drivers e sistemas operativos. Pesquisas publicadas sobre impressão digital colocam o canvas sozinho entre os vetores de maior entropia — na ordem de ~16 bits no Chrome desktop — suficiente para distinguir um utilizador entre dezenas de milhares.
Impressão digital WebGL extrai strings de fornecedor e renderizador de GPU via WEBGL_debug_renderer_info e avalia a execução de shaders. A combinação da string VENDOR e a saída de um shader de ruído Perlin adiciona entropia além do canvas — pesquisas publicadas colocam-na na ordem de ~10 bits — com taxas de colisão muito baixas dentro da mesma família de GPU.
Impressão digital de AudioContext processa uma onda senoidal de 1000 Hz através de um OfflineAudioContext e faz hash do buffer de saída. As características do compressor, coeficientes de reamostragem e arredondamento de ponto flutuante diferem por SO e pilha de áudio. Estudos relatam entropia na ordem de ~7 bits. A técnica é concluída rapidamente e não requer interação ou permissões do utilizador.
Enumeração de fontes era historicamente feita medindo a largura do texto renderizado num <span> oculto. Scripts modernos usam FontFace.load() e document.fonts.check() para enumeração mais rápida e confiável de fontes do sistema instaladas. Num SO de desktop com centenas de fontes, o conjunto instalado é um vetor de alta entropia (relatado na ordem de ~10 bits ou mais). Dispositivos móveis têm conjuntos de fontes menores e mais uniformes, resultando em muito menos.
Concurrência de hardware e memória. navigator.hardwareConcurrency relata a contagem de núcleos da CPU; navigator.deviceMemory retorna um de oito valores discretos (0.25–8 GB). Juntos, adicionam alguns bits e correlacionam-se fortemente com a classe do dispositivo — útil para inferência demográfica e pontuação de fraude.
Geometria de ecrã e janela. screen.width, screen.height, screen.colorDepth, window.devicePixelRatio e window.outerWidth vs. window.innerWidth (que revela o tamanho do chrome do navegador) contribuem coletivamente com vários bits no desktop, e menos no móvel onde as resoluções de ecrã se agrupam fortemente.
Fuso horário e localidade. Intl.DateTimeFormat().resolvedOptions().timeZone retorna a string de fuso horário IANA. Combinado com navigator.language, navigator.languages e localidade Intl.NumberFormat, isso adiciona vários bits mais e restringe a origem geográfica ao nível de cidade-região em muitos casos.
A entropia combinada de impressão digital ativa em todos os vetores acima excede facilmente os ~33 bits necessários para identificação única na internet global no desktop, e permanece alta no móvel.
3. Vetores de impressão digital passiva
A impressão digital passiva não requer JavaScript — opera em sinais de camada de rede presentes em cada pedido HTTP.
User-Agent e Client Hints. O cabeçalho User-Agent historicamente vazava o nome do navegador, versão principal e secundária, nome e versão do SO e arquitetura da CPU numa única string. A equipa do Chrome introduziu User-Agent Client Hints (UA-CH) para migrar para um UA padrão de menor entropia e dicas de alta entropia opt-in. Na prática, os sites solicitam CH completo via cabeçalhos Accept-CH, e o Chrome os atende — a entropia migrou de passiva para semi-passiva, mas não diminuiu. O Firefox e o Safari mantêm strings de UA congeladas ou simplificadas que reduzem a entropia passiva para ~8 bits.
Ordem e gramática dos cabeçalhos HTTP. A ordem, capitalização e presença dos cabeçalhos Accept, Accept-Encoding, Accept-Language, Sec-Fetch-* e Priority variam por navegador e versão de maneiras detetáveis. Esta técnica não requer JavaScript e funciona contra qualquer cliente HTTP — navegadores, bots e frameworks de automação têm todos impressões digitais de cabeçalho distintas.
Impressão digital de IP e TLS. A mensagem TLS ClientHello contém lista de suites de cifra, ordem de extensões, grupos suportados e valores ALPN que diferem por implementação TLS. A impressão digital JA3/JA4 extrai esses campos e produz um hash. Um navegador baseado em Chromium no Windows produz um hash JA4 diferente do mesmo Chromium no Linux ou macOS. A geolocalização IP adiciona 5–8 bits para atribuição ao nível de cidade e 2–3 bits para nível de ISP. Impressão digital passiva combinada no desktop: ~22 bits sem execução de JavaScript.
Sinais comportamentais. Trajetórias de movimento do rato, tempo de pressionamento de teclas, velocidade de rolagem e padrões de pressão de toque são usados por sistemas de deteção de fraude e cada vez mais por ad-tech para re-identificação entre sessões. Estes requerem JavaScript para recolha, mas são classificados como passivos porque o utilizador os fornece implicitamente durante a interação normal. Pesquisas publicadas relatam que modelos comportamentais podem alcançar alta precisão de re-identificação para utilizadores recorrentes em estudos controlados.
Como os navegadores se defendem contra a impressão digital?
Existem duas estratégias. Randomização (Brave, LibreWolf) injeta ruído por sessão em saídas de canvas, WebGL e áudio, quebrando a correlação entre sessões. Uniformidade (Tor Browser, Navegador Mullvad) faz com que cada utilizador apresente a mesma impressão digital, impedindo a identificação dentro da população. A randomização é mais utilizável; a uniformidade é mais forte para anonimato, mas requer tamanhos de janela fixos e JIT desativado.
Tor Browser. A implementação de referência da estratégia de cobertura estática. Todos os utilizadores do Tor Browser apresentam a mesma impressão digital padronizada: User-Agent do Firefox ESR congelado, API de canvas retornando ruído branco a um nível consistente, WebGL desativado ou retornando strings genéricas de fallback, AudioContext limitado, fontes restritas a um conjunto embutido e viewport forçado para 1000×1000. O modelo de defesa assume que dentro da população de utilizadores do Tor, navegadores individuais são estatisticamente indistinguíveis. A eficácia depende do tamanho da população: com menos de 3–4 milhões de utilizadores ativos do Tor Browser, o tamanho do conjunto de cobertura é a restrição vinculativa.
Firefox Resist Fingerprinting (RFP). A flag privacy.resistFingerprinting do Firefox (disponível desde o Firefox 41, formalmente suportada no Firefox 68+) aplica um conjunto amplo de valores falsificados: resolução de ecrã congelada, fuso horário falsificado para UTC, valores simplificados de navegador, randomização de canvas, precisão de métricas de fontes reduzida e granularidade de window.performance.timing suprimida. O RFP em 2026 cobre 34 superfícies de API distintas. Compromisso: algumas aplicações web quebram, particularmente aquelas que usam temporização requestAnimationFrame para animação ou Intl para exibição de datas localizadas.
Brave Shields. O Brave aplica ruído por sessão, por site, às saídas de canvas, WebGL e AudioContext. O ruído é calibrado para ser impercetível para os utilizadores, mas suficiente para quebrar a correlação entre sites. O Brave também remove cabeçalhos Referer de terceiros, aplica Particionamento de Armazenamento e randomiza hardwareConcurrency e deviceMemory. O modelo de defesa difere do Tor: em vez de cobertura uniforme, o Brave visa tornar a ligação entre sites pouco confiável através da inconsistência. O rastreamento dentro da sessão permanece possível para um adversário determinado.
Navegador Mullvad. Baseado no conjunto de patches anti-impressão digital do Tor Browser, mas sem o requisito da rede Tor. Vem com uBlock Origin em modo difícil por padrão. Projetado para ser emparelhado com uma VPN confiável para separar a identidade de rede da identidade do navegador. O Navegador Mullvad aplica a mesma estratégia de cobertura estática que o Tor Browser — é a opção mais forte fora do Tor para resistência à impressão digital.
Compromisso entre randomização e cobertura estática. A randomização (Brave, algumas extensões do Firefox) impede a ligação entre sites, mas pode ser detetada: se um rastreador carregar num iframe em dois sites e receber dois hashes de canvas diferentes do mesmo IP dentro de uma sessão curta, pode inferir que a proteção contra impressão digital está ativa. A cobertura estática (Tor, Mullvad) impede a deteção da própria defesa e a ligação dentro da população, ao custo de exigir que todos os utilizadores apresentem a mesma aparência.
5. Como estas figuras são obtidas (e como verificar o seu próprio navegador)
A entropia é medida em bits usando a fórmula de Shannon aplicada à distribuição de valores observados. Se um vetor assume N valores distintos com frequências p₁…pN, sua entropia H = -Σ pᵢ log₂(pᵢ). Um único bit de entropia reduz pela metade a população. Cerca de 20 bits são suficientes para distinguir uma pessoa em aproximadamente um milhão, e pesquisas publicadas encontram que uma impressão digital de desktop combinada excede confortavelmente os ~33 bits necessários para singularidade global.
Os intervalos de entropia aproximados usados ao longo deste guia são retirados de pesquisas publicadas sobre impressão digital, não de qualquer conjunto de dados proprietário nosso. A referência fundamental é o estudo Panopticlick da EFF, "How Unique Is Your Web Browser?" por Peter Eckersley, que primeiro mediu a entropia por vetor numa grande amostra voluntária e encontrou a maioria dos navegadores como únicos. O projeto atual Cover Your Tracks da EFF continua este trabalho, e uma ampla literatura académica sobre impressão digital de canvas, WebGL, áudio e fontes reproduziu o mesmo quadro geral: o canvas está entre os vetores de maior entropia, e um punhado de vetores combinados são suficientes para tornar a maioria dos navegadores de desktop únicos.
A maneira mais confiável de conhecer a sua própria exposição é testar o seu navegador real em vez de confiar em qualquer tabela única:
- Execute a ferramenta Cover Your Tracks da EFF (coveryourtracks.eff.org) para ver quais dos sinais do seu navegador são mais identificáveis.
- Use a nossa própria ferramenta de teste de impressão digital do navegador para inspecionar os sinais de canvas, WebGL, áudio, fontes e cabeçalhos que o seu navegador expõe agora.
A ordem relativa é o que importa e está bem estabelecida na literatura: canvas, WebGL e enumeração de fontes estão no topo; hardware, geometria de ecrã e fuso horário adicionam menos bits, mas acumulam-se de forma aditiva. As defesas mudam o quadro — o ruído por site do Brave é projetado para reduzir substancialmente a singularidade de canvas e WebGL, enquanto o Tor Browser e o Navegador Mullvad visam fazer com que cada utilizador pareça idêntico (próximo de ~0 bits distintivos dentro da sua população), ao custo de serem trivialmente reconhecíveis como utilizadores do Tor/Mullvad.
6. A fronteira de 2026
Maturação do Privacy Sandbox. O Google implementou a API Topics no Chrome estável em 2025 e a API Protected Audience (anteriormente FLEDGE) para remarketing em 2024. O Particionamento de Armazenamento — isolando o armazenamento por site de nível superior — foi lançado no Chrome 115 e Firefox 109. A Mitigação de Rastreamento de Bounce, visando a sincronização de cookies baseada em redirecionamento, está no Chrome estável a partir da versão 127. Esses mecanismos reduzem o rastreamento baseado em cookies, mas introduzem novas superfícies de atestação.
FedCM (Gestão de Credenciais Federadas). O FedCM substitui os fluxos de SSO baseados em cookies de terceiros. Ele encaminha pedidos de identidade através do navegador como mediador, reduzindo a capacidade do IdP de rastrear a navegação do utilizador. No entanto, o próprio navegador torna-se ciente das relações do fornecedor de identidade do utilizador — um novo sinal para o perfilamento a nível de fornecedor de navegador que os investigadores de privacidade estão a escrutinar.
Trust Tokens / Private State Tokens. Os Private State Tokens permitem que sistemas de deteção de fraude verifiquem que um utilizador passou anteriormente num desafio de verificação humana sem vincular o evento de verificação específico. O token é específico do dispositivo e não roda entre sites, criando um potencial identificador estável entre sites. O W3C Privacy CG sinalizou isso como uma preocupação em aberto.
Particionamento de Armazenamento. Chrome, Firefox e Safari agora particionam localStorage, sessionStorage, IndexedDB e SharedWorker por origem de nível superior. Isso elimina o canal de temporização de cache e o vetor de rastreamento de armazenamento compartilhado que estiveram ativos por uma década. Impacto na impressão digital: indireto. O particionamento não reduz a impressão digital baseada em API, mas elimina vários identificadores passivos baseados em armazenamento.
WebAuthn e passkeys. A autenticação por passkey vincula credenciais a um dispositivo em vez de uma senha, o que reduz o risco de phishing, mas cria um sinal de identidade de dispositivo estável. Um relying party de passkey recebe prova criptográfica de que a mesma chave de dispositivo assinou múltiplos eventos de autenticação — que é precisamente a ligação entre sessões que a impressão digital fornece, agora com consentimento explícito do utilizador.
7. O que usar agora: matriz de decisão
| Perfil | Navegador recomendado | Notas |
|---|---|---|
| Alto risco (jornalista, ativista, denunciante) | Tor Browser | Única opção com impressão digital provadamente uniforme. Aceite carregamentos de página 2–5× mais lentos. |
| Forte privacidade, usável diariamente | Navegador Mullvad + VPN | Cobertura estática + uBO padrão. VPN esconde padrão de saída Tor do ISP. |
| Privacidade mainstream, uso normal | Brave (Shields padrão) | Melhor relação UX-para-proteção. Não é à prova de impressão digital, mas quebra o rastreamento em massa. |
| Desenvolvedor / utilizador avançado no Firefox | Firefox + RFP + uBO | Manual, quebra alguns sites, maior redução de entropia fora do Tor/Mullvad. |
| Móvel iOS | Safari + iCloud Private Relay | Desmascaramento de CNAME bloqueado, IP mascarado por relay. Sem defesa de canvas — opção mais fraca nesta lista. |
| Móvel Android | Brave para Android | Shields ativo no móvel. Prefira sobre o Chrome. |
Nenhuma VPN sozinha é suficiente — identidade de rede e identidade de navegador são superfícies de ataque separadas que requerem mitigação separada.
As figuras de entropia neste guia são intervalos aproximados retirados de pesquisas publicadas sobre impressão digital — o estudo Panopticlick da EFF ("How Unique Is Your Web Browser?", Peter Eckersley), o projeto EFF Cover Your Tracks e a literatura académica mais ampla — não de qualquer conjunto de dados proprietário nosso. Teste o seu próprio navegador com a ferramenta EFF Cover Your Tracks e o nosso teste de impressão digital do navegador.
Leitura relacionada
