guide

Como Funciona a Autenticação de Dois Fatores: Um Guia para Iniciantes

6 min de leitura

Senhas não são mais suficientes

Você provavelmente já ouviu isso antes, e é verdade. Senhas, por si só, são uma forma fraca de proteger uma conta.

As pessoas as reutilizam em sites diferentes. Escolhem senhas fáceis de adivinhar. Vazamentos de dados vazam milhões de credenciais de uma vez. E ataques de phishing enganam pessoas a entregarem suas senhas voluntariamente.

A autenticação de dois fatores (2FA) existe porque até uma boa senha pode ser comprometida. A ideia é simples: exigir uma segunda prova antes de conceder acesso.

Algo que você sabe, algo que você tem

Fatores de autenticação caem em três categorias:

  • Algo que você sabe - uma senha, PIN ou resposta de pergunta de segurança
  • Algo que você tem - um telefone, uma chave de hardware, um aplicativo autenticador
  • Algo que você é - uma impressão digital, reconhecimento facial ou outra biometria

O login padrão usa um fator: sua senha (algo que você sabe). A autenticação de dois fatores adiciona um segundo, geralmente algo que você tem. Então mesmo que alguém roube sua senha, não pode entrar sem também ter seu dispositivo físico.

Esse é todo o conceito. Duas provas separadas, de duas categorias separadas.

Tipos de 2FA

Nem todos os segundos fatores funcionam da mesma forma. Aqui estão os mais comuns.

Códigos SMS

O serviço envia uma mensagem de texto com um código numérico para seu telefone. Você digita para completar o login. Essa é a forma mais amplamente disponível de 2FA e a mais fácil de configurar, já que você só precisa de um número de telefone.

A desvantagem é que SMS tem fraquezas de segurança conhecidas. Mensagens de texto podem ser interceptadas, e atacantes podem sequestrar números de telefone através de troca de SIM. Ainda é melhor que nenhum 2FA, mas existem opções mais fortes.

Aplicativos autenticadores (TOTP)

Aplicativos como Google Authenticator, Authy ou 1Password geram códigos temporários no seu dispositivo. Esses códigos mudam a cada 30 segundos e são calculados usando um segredo compartilhado e a hora atual. Nenhuma mensagem de texto, nenhuma conexão de rede necessária.

Isso é chamado de TOTP, ou Senha de Uso Único Baseada em Tempo. É mais seguro que SMS porque os códigos nunca viajam por uma rede. São gerados e usados localmente. Se quiser entender a mecânica, há uma explicação detalhada em O que é TOTP?.

Chaves de segurança de hardware

Dispositivos físicos como uma YubiKey ou chave Google Titan se conectam à porta USB do seu computador (ou se conectam via NFC ou Bluetooth). Quando solicitado durante o login, você toca na chave para autenticar.

Chaves de hardware são consideradas a forma mais forte de 2FA. São resistentes a phishing porque a chave se comunica diretamente com o site usando protocolos criptográficos. Um atacante precisaria roubar fisicamente sua chave para usá-la.

A compensação é o custo (tipicamente $25-$50 por chave) e a necessidade de carregar o dispositivo com você.

Notificações push

Alguns serviços enviam uma notificação push para seu telefone pedindo para você aprovar ou negar uma tentativa de login. Você toca “Aprovar” e entra. Microsoft Authenticator e Duo usam essa abordagem.

É conveniente, mas 2FA baseado em push tem sido alvo de ataques de “fadiga MFA”, onde um atacante dispara repetidamente tentativas de login até o usuário aprovar uma só para parar as notificações. Algumas implementações agora exigem que você digite um número mostrado na tela para mitigar isso.

Por que o 2FA importa

Os números fazem um caso bastante claro. O Google relatou que adicionar qualquer forma de 2FA bloqueia 100% dos ataques automatizados de bots, 99% dos ataques de phishing em massa e 66% dos ataques direcionados. A Microsoft encontrou resultados semelhantes: contas com 2FA ativado têm 99,9% menos chances de serem comprometidas.

Essas não são alegações de marketing de empresas de segurança. São baseadas em dados de bilhões de tentativas de login em contas reais.

Mesmo que você use uma senha forte e única para cada conta (e a maioria das pessoas não usa), o 2FA fornece uma rede de segurança. Sua senha pode aparecer em um vazamento, ser capturada por um keylogger ou vazar através de um site de phishing. O segundo fator impede que o atacante realmente entre.

Como configurar

Configurar 2FA varia ligeiramente por serviço, mas o processo geral é o mesmo:

  1. Vá para as configurações de segurança da sua conta
  2. Procure por “Autenticação de dois fatores”, “Verificação em duas etapas” ou “Autenticação multifatorial”
  3. Escolha seu método (aplicativo autenticador é recomendado)
  4. Se estiver usando um aplicativo autenticador, escaneie o QR code que o serviço mostra
  5. Digite o código do seu aplicativo para confirmar que está funcionando
  6. Guarde os códigos de backup que o serviço fornece, em algum lugar seguro e separado de sua senha

Tudo leva cerca de um minuto por conta.

Quais contas priorizar

Você provavelmente tem dezenas de contas online. Comece com as que mais importam:

  • Email (se alguém entrar no seu email, pode redefinir senhas de tudo o mais)
  • Bancos e serviços financeiros
  • Armazenamento na nuvem (Google Drive, iCloud, Dropbox)
  • Contas de redes sociais
  • Gerenciador de senhas (se o seu suporta 2FA, e deveria)

Preocupações comuns

“E se eu perder meu telefone?” Essa é a preocupação mais comum. É para isso que servem os códigos de backup. Quando você configura 2FA, o serviço te dá um conjunto de códigos de recuperação de uso único. Imprima-os ou guarde em um local seguro. Alguns aplicativos autenticadores também oferecem backup na nuvem.

“Não é chato?” Um pouco. Fazer login leva mais 10 segundos. A maioria dos serviços lembra seu dispositivo por 30 dias, então você não precisará do código toda vez. O inconveniente é pequeno comparado a lidar com uma conta comprometida.

“Não sou importante o suficiente para ser alvo.” A maioria dos vazamentos de conta não são direcionados. São automatizados. Atacantes compram listas de credenciais vazadas e as tentam em milhares de sites. O 2FA para esses ataques em massa friamente.

Comece agora

Se você vem adiando isso, escolha uma conta agora mesmo, seu email é um bom lugar para começar, e ative o 2FA. O processo é rápido e você reduzirá significativamente seu risco.

Se quiser experimentar gerar códigos TOTP antes de configurar qualquer coisa, você pode testar em 2fa.zip. Funciona no seu navegador, não armazena nada em um servidor e te dá uma ideia de como os códigos de autenticador funcionam.

Proteja suas contas com autenticação de dois fatores

Gere códigos TOTP instantaneamente, direto no seu navegador.

Experimente nosso Gerador de Códigos 2FA Gratuito

Postagens Relacionadas

Como Armazenar Códigos de Backup 2FA com Segurança

Seus códigos de backup são sua rede de segurança. Veja como armazená-los para que estejam disponíveis quando você precisar e seguros de qualquer outro.

Ler mais