A história das chaves de ativação da Microsoft é um dos exemplos mais curiosos da segurança digital em sua infância. Embora o Windows XP tenha se tornado o símbolo de pirataria fácil com sua chave lendária “FCKGW-RHQQ2-YXRKT-8TG6W-2B7Q8”, o Windows 95 foi ainda mais vulnerável.
Isso mostra como as estratégias de proteção de software evoluíram entre os anos 90 e 2000 — e como os erros daquela época ajudaram a moldar os sistemas de autenticação modernos.
Nos últimos dias, novas reportagens retomaram o assunto, após a redescoberta de trechos do código-fonte do Windows NT 4.0 em repositórios públicos, expondo detalhes sobre o funcionamento das verificações de chave do Windows 95 e 97.
A redescoberta trouxe à tona como os mecanismos eram incrivelmente fáceis de burlar — uma simples regra matemática era suficiente para ativar o sistema operacional.
A regra simples: divisível por sete
No Windows 95, o método de validação das chaves baseava-se em algo quase ingênuo: o número final do código precisava apenas ser divisível por sete. A estrutura das chaves, composta por dois blocos numéricos, deixava espaço para incontáveis combinações válidas geradas manualmente.
Muitos usuários descobriram rapidamente que bastava seguir esse critério para obter um “registro” funcional.
Essa fragilidade criou um ambiente no qual qualquer pessoa com conhecimento básico de matemática podia criar sua própria chave “legítima”. A Microsoft eventualmente tentou bloquear algumas combinações óbvias, como sequências de números iguais ou todos os zeros, mas isso foi insuficiente para conter o uso generalizado de cópias não oficiais.
A validação permanecia puramente algorítmica, sem ligação com servidores centrais.
O caso ilustra uma limitação típica dos sistemas offline da década de 1990: sem autenticação na nuvem, toda a comprovação de originalidade ocorria localmente. Em consequência, o algoritmo acabava funcionando mais como um obstáculo simbólico do que como uma barreira real contra pirataria.
Office 97 e as chaves OEM
O Office 97 repetiu boa parte das falhas do Windows 95, mas com pequenas variações. As chaves passaram a ter 11 dígitos e uma lógica ainda previsível, com dígitos que seguiam simples relações aritméticas. Bastava somar um ou dois números para obedecer à regra de validação.
A mudança foi insuficiente para impedir o compartilhamento indiscriminado de códigos válidos em fóruns e revistas da época.
No caso das chaves OEM — usadas em computadores pré-instalados — a Microsoft introduziu uma estrutura mais complexa, dividida em quatro segmentos. Um deles incluía a data e o ano de fabricação do sistema, outro mantinha a sequência “OEM”, e o terceiro continuava preso à condição de ser divisível por sete.
Essa repetição evidenciava que o núcleo do problema permanecia o mesmo.
Embora mais elaborado em aparência, o sistema OEM ainda podia ser facilmente replicado por qualquer pessoa com algum entendimento básico da lógica numérica usada pela Microsoft. A pirataria de cópias corporativas e domésticas se manteve em escala global até o início dos anos 2000, quando mecanismos online de validação finalmente se popularizaram.
O vazamento que revelou tudo
O funcionamento dessas chaves só foi completamente entendido após o vazamento do código-fonte do Windows NT 4.0, disponível hoje em repositórios de preservação digital como o Archive.org. Dentro dos arquivos, desenvolvedores e pesquisadores encontraram a função “check_retail_key”, usada para validar produtos do Windows 95.
A descoberta revelou a simplicidade extrema do algoritmo e como ele podia ser revertido com facilidade.
O vazamento trouxe novo interesse histórico sobre a fragilidade das antigas proteções de software. Em vídeos e artigos publicados em outubro de 2025, pesquisadores de segurança detalharam como o código fonte ajudou a compreender a arquitetura de verificação de produtos nos primeiros sistemas da Microsoft.
Embora o conteúdo esteja em domínio público, sua análise destaca os desafios de segurança enfrentados por empresas de software em tempos sem autenticação online.
Hoje, a Microsoft adota sistemas de verificação baseados em servidores, assinaturas criptográficas e tokens únicos. O avanço demonstra o quanto as lições aprendidas com o fracasso das chaves do Windows 95 contribuíram para o desenvolvimento da atual infraestrutura de licenciamento digital, muito mais robusta e interligada à identidade do usuário.