Glossário
O que é uma senha de uso único (OTP)? TOTP vs HOTP vs SMS, e seus limites
Uma senha de uso único (OTP) é um código descartável válido só uma vez e por pouco tempo. As diferenças entre TOTP, HOTP e SMS, por que é forte contra senhas vazadas, e seu limite — o phishing de intermediário (AiTM) ainda pode derrotá-la. Defensivo, sem passos de ataque.
De uso único e descartável — é isso que é uma senha de uso único (OTP). Veja os tipos e um limite que as pessoas costumam ignorar: o phishing ainda pode derrotá-la (sem passos de ataque).
Os tipos: TOTP / HOTP / SMS-OTP
Todos são agrupados como "códigos descartáveis", mas se dividem em três conforme a forma como são gerados.
TOTP (baseado em tempo)
O aplicativo o calcula a partir de um segredo compartilhado + o horário atual. Muda a cada 30s, mais ou menos. Funciona offline.
HOTP (contador)
Avança por uma contagem, não pelo tempo. Cada acionamento dá o próximo código. Usado por tokens de hardware.
SMS-OTP
Envia o código por SMS. Conveniente, mas fraco diante de SIM-swap e retransmissão — o método mais frágil.
Todos compartilham a natureza "uso único, curta duração", então, mesmo que uma senha fixa vaze, o próprio código é difícil de reutilizar. O TOTP, em especial, é calculado dentro do aplicativo sem nenhuma ida e volta pela rede, então não tem uma via de interceptação como o SMS tem.
Forças e limites: você ainda pode "entregá-la" ao phishing
A OTP corrige as fraquezas das senhas fixas, mas não é uma bala de prata. O limite decisivo é que um humano lê e digita o código.
Onde a OTP funciona
- barra sequestros por senhas vazadas / reutilizadas
- mesmo que vista, ela é inválida rapidamente e difícil de reutilizar
- o TOTP do aplicativo autenticador funciona offline e resiste melhor à interceptação que o SMS
Onde a OTP falha
- phishing de intermediário (AiTM): um site falso retransmite a OTP para o verdadeiro e faz login
- SIM-swap: sequestra o número de telefone e desvia a SMS-OTP
- causa raiz = um humano pode entregar o código a um site falso (ela não está vinculada ao domínio)
A visão deste site: a OTP é um ponto de passagem; o destino são as passkeys
A OTP é um excelente primeiro passo para sair do "só senha". Na verdade, seja SMS ou TOTP, apenas ligá-la barra a maioria dos sequestros. Mas este site trata a OTP como um ponto de passagem, não o destino. Enquanto o phishing de intermediário for uma ameaça real, o estado final é uma passkey (FIDO2), cuja assinatura está vinculada ao domínio e estruturalmente não pode ser apresentada a um site falso. A prioridade é clara: primeiro ligue a OTP em toda parte, depois eleve suas contas chaves do reino (e-mail, domínio, pagamentos) a passkeys. O ponto é não depender de "identificar o site falso prestando atenção".
Leia a seguir
- Glossário: o que é autenticação de dois fatores (2FA) (o contexto em que a OTP é a "segunda prova") · o que é uma passkey (resistência a phishing além do limite da OTP)
- Glossário: o que é phishing (entenda os ataques AiTM que retransmitem uma OTP)
- Aprenda: escolhendo MFA do jeito certo (seleção de método na prática)
FAQ
QComo uma senha de uso único difere de uma senha comum?
Uma senha comum permanece a mesma (fixa) até você trocá-la, então, uma vez que vaza, pode ser abusada até você renová-la. Uma senha de uso único (OTP) é descartável — válida só uma vez e só por pouco tempo — e se torna inválida no momento em que é usada. Isso a torna difícil de reutilizar mesmo se vista, cobrindo as fraquezas das senhas fixas (vazamentos e reuso). Muitos serviços a usam como uma segunda prova além da sua senha, como um método de autenticação de dois fatores.
QUma senha de uso único por SMS é segura?
É claramente mais forte que só uma senha, mas é o tipo mais fraco de OTP. O SMS pode ser interceptado via SIM-swap (sequestro do seu número de telefone) ou desviado por phishing de intermediário, em que um site falso a retransmite. Onde puder, migre para o TOTP de um aplicativo autenticador e, para contas importantes, para uma passkey.
QPor que o código do aplicativo autenticador muda a cada 30 segundos, mais ou menos?
Porque é um TOTP (senha de uso único baseada em tempo). O aplicativo e o serviço calculam o mesmo código, cada um a partir de um segredo compartilhado e do horário atual, em um intervalo fixo (muitas vezes 30 segundos). Quando o intervalo passa, o código antigo se torna inválido e um novo assume. Mantê-lo de curta duração estreita a janela em que um código roubado é utilizável.