Pular para o conteúdo
>_ITDITDPlataforma de Segurança Web

Glossário

O que é uma senha de uso único (OTP)? TOTP vs HOTP vs SMS, e seus limites

Uma senha de uso único (OTP) é um código descartável válido só uma vez e por pouco tempo. As diferenças entre TOTP, HOTP e SMS, por que é forte contra senhas vazadas, e seu limite — o phishing de intermediário (AiTM) ainda pode derrotá-la. Defensivo, sem passos de ataque.

Publicado 2026-07-02 Atualizado 2026-07-02 4 min de leitura

De uso único e descartável — é isso que é uma senha de uso único (OTP). Veja os tipos e um limite que as pessoas costumam ignorar: o phishing ainda pode derrotá-la (sem passos de ataque).

Os tipos: TOTP / HOTP / SMS-OTP

Todos são agrupados como "códigos descartáveis", mas se dividem em três conforme a forma como são gerados.

TOTP (baseado em tempo)

O aplicativo o calcula a partir de um segredo compartilhado + o horário atual. Muda a cada 30s, mais ou menos. Funciona offline.

HOTP (contador)

Avança por uma contagem, não pelo tempo. Cada acionamento dá o próximo código. Usado por tokens de hardware.

SMS-OTP

Envia o código por SMS. Conveniente, mas fraco diante de SIM-swap e retransmissão — o método mais frágil.

Os três principais métodos de OTP. A força se resume a 'você consegue entregá-la a um site falso?'

Todos compartilham a natureza "uso único, curta duração", então, mesmo que uma senha fixa vaze, o próprio código é difícil de reutilizar. O TOTP, em especial, é calculado dentro do aplicativo sem nenhuma ida e volta pela rede, então não tem uma via de interceptação como o SMS tem.

Forças e limites: você ainda pode "entregá-la" ao phishing

A OTP corrige as fraquezas das senhas fixas, mas não é uma bala de prata. O limite decisivo é que um humano lê e digita o código.

Onde a OTP funciona

  • barra sequestros por senhas vazadas / reutilizadas
  • mesmo que vista, ela é inválida rapidamente e difícil de reutilizar
  • o TOTP do aplicativo autenticador funciona offline e resiste melhor à interceptação que o SMS

Onde a OTP falha

  • phishing de intermediário (AiTM): um site falso retransmite a OTP para o verdadeiro e faz login
  • SIM-swap: sequestra o número de telefone e desvia a SMS-OTP
  • causa raiz = um humano pode entregar o código a um site falso (ela não está vinculada ao domínio)

A visão deste site: a OTP é um ponto de passagem; o destino são as passkeys

A OTP é um excelente primeiro passo para sair do "só senha". Na verdade, seja SMS ou TOTP, apenas ligá-la barra a maioria dos sequestros. Mas este site trata a OTP como um ponto de passagem, não o destino. Enquanto o phishing de intermediário for uma ameaça real, o estado final é uma passkey (FIDO2), cuja assinatura está vinculada ao domínio e estruturalmente não pode ser apresentada a um site falso. A prioridade é clara: primeiro ligue a OTP em toda parte, depois eleve suas contas chaves do reino (e-mail, domínio, pagamentos) a passkeys. O ponto é não depender de "identificar o site falso prestando atenção".

Leia a seguir

FAQ

QComo uma senha de uso único difere de uma senha comum?
A

Uma senha comum permanece a mesma (fixa) até você trocá-la, então, uma vez que vaza, pode ser abusada até você renová-la. Uma senha de uso único (OTP) é descartável — válida só uma vez e só por pouco tempo — e se torna inválida no momento em que é usada. Isso a torna difícil de reutilizar mesmo se vista, cobrindo as fraquezas das senhas fixas (vazamentos e reuso). Muitos serviços a usam como uma segunda prova além da sua senha, como um método de autenticação de dois fatores.

QUma senha de uso único por SMS é segura?
A

É claramente mais forte que só uma senha, mas é o tipo mais fraco de OTP. O SMS pode ser interceptado via SIM-swap (sequestro do seu número de telefone) ou desviado por phishing de intermediário, em que um site falso a retransmite. Onde puder, migre para o TOTP de um aplicativo autenticador e, para contas importantes, para uma passkey.

QPor que o código do aplicativo autenticador muda a cada 30 segundos, mais ou menos?
A

Porque é um TOTP (senha de uso único baseada em tempo). O aplicativo e o serviço calculam o mesmo código, cada um a partir de um segredo compartilhado e do horário atual, em um intervalo fixo (muitas vezes 30 segundos). Quando o intervalo passa, o código antigo se torna inválido e um novo assume. Mantê-lo de curta duração estreita a janela em que um código roubado é utilizável.