Autenticação de dois fatores, em bom português

A autenticação de dois fatores é o ajuste de segurança de maior impacto que a maioria das pessoas não está usando. Os números publicados pela Microsoft dizem que ela bloqueia mais de 99% dos sequestros automatizados de conta. Mesmo assim, ela tem fama de chata — em parte porque os três tipos comuns ("código por SMS", "app autenticador", "chave de segurança") são tratados como se fossem intercambiáveis. Não são. Aqui vai a versão prática.

O que o 2FA realmente faz

Senhas vazam o tempo todo. Dumps de banco de dados, páginas de phishing, malware no navegador, reuso de senha — há jeitos demais para uma das suas senhas ir parar na planilha de alguém. O 2FA adiciona uma segunda checagem amarrada a algo que você tem, não só a algo que sabe. Atacantes que roubam a sua senha também precisam roubar esse segundo fator, em tempo real, no mesmo dispositivo — bem mais difícil.

2FA por SMS

Um código de seis dígitos chega por mensagem. Você digita. É o mais fácil de usar porque todo telefone já tem, e é também por isso que ele é o piso da segurança aceitável: o suficiente para frear bots de credential stuffing, mas vulnerável a ataques de SIM-swap (um atacante convence a operadora a transferir o seu número) e à interceptação silenciosa de SMS em redes mais fracas.

Bom para: contas de baixo valor onde você prefere não instalar outro app. Fóruns, lojas, listas de e-mail.

Ruim para: e-mail, banco, portais do governo, qualquer coisa que controle outras contas.

Apps autenticadores (TOTP)

Apps como Google Authenticator, 1Password, Bitwarden e Authy geram um código novo de seis dígitos a cada 30 segundos, derivado de um segredo guardado só no seu dispositivo. Sem SMS, sem operadora envolvida — os códigos funcionam offline. Ataques de phishing que capturam a sua senha e um único código ainda podem funcionar, mas SIM-swap deixa de ser relevante.

Dica de configuração: quando um site mostrar o QR, salve junto a semente em texto (a maioria dos apps autenticadores exporta). Se perder o telefone sem a semente e sem códigos de recuperação, você vai ter que resetar cada conta do zero.

Bom para: quase tudo. A maioria dos provedores de e-mail, redes sociais, exchanges de cripto e ferramentas de desenvolvimento suporta TOTP, e é de graça.

Chaves de segurança (FIDO2 / WebAuthn / passkeys)

Uma chave USB ou NFC (YubiKey, Titan, e mais recentemente também as "passkeys" embutidas no keychain do iOS e do Android) que assina criptograficamente o desafio de login. O ponto crucial é que ela é vinculada ao domínio do site — uma página de phishing idêntica à real simplesmente não recebe uma assinatura. É o único método 2FA comum que vence phishing bem construído.

Bom para: e-mail principal, gerenciador de senhas, qualquer coisa que você não pode se dar ao luxo de perder. Compre duas chaves; registre as duas; deixe uma guardada na gaveta.

Onde os números temporários se encaixam

Números SMS temporários são ótimos para o passo inicial de cadastro, mas não são adequados para 2FA por SMS contínuo — quando você precisasse receber um código, o número já voltou para o pool. Boa prática: cadastre-se com um número temporário, configure imediatamente o TOTP nas opções de segurança da conta e guarde os códigos de recuperação em lugar seguro. Aí o número temporário pode sumir.

Códigos de recuperação merecem destaque

Quase toda tela de configuração de 2FA te oferece uma lista de códigos de recuperação de uso único. Imprima ou salve no seu gerenciador de senhas. É como você volta a entrar se perder todos os dispositivos. Não passe direto por essa etapa — recuperar uma conta sem eles costuma exigir documentos de identidade e semanas de espera.

Recomendações rápidas

• E-mail e gerenciador de senhas: chave de segurança em primeiro lugar, TOTP como backup.
• Banco, corretora, exchange: o que eles oferecerem de mais forte.
• Redes sociais, ferramentas de dev, SaaS de trabalho: TOTP.
• Fórum aleatório que exige número de telefone: SMS temporário e depois TOTP após o cadastro.