Glossário
O que é autenticação de dois fatores (2FA)? vs duas etapas, e a força de cada método
A autenticação de dois fatores (2FA) acrescenta um tipo diferente de prova além da sua senha. Como difere da verificação em duas etapas, a força de cada método (SMS, aplicativo autenticador / TOTP, passkey) e como escolher. Defensivo, sem passos de ataque.
"Mesmo que minha senha vaze, só isso não deixa ninguém entrar" — é isso que a autenticação de dois fatores (2FA) lhe garante. Veja como ela difere da verificação em duas etapas, frequentemente confundida com ela, e como os métodos se comparam (sem passos de ataque).
"Dois fatores" vs "duas etapas" — qual é a diferença?
As palavras se parecem, mas fica simples quando você tem o objetivo em mente. Os fatores de autenticação caem em três categorias:
A autenticação de dois fatores (2FA) mistura duas categorias diferentes (por exemplo, senha = conhecimento + um aplicativo autenticador = posse). O ponto: se uma é quebrada, uma categoria diferente ainda resiste, então um invasor não consegue entrar. A verificação em duas etapas (2SV), por outro lado, significa apenas "verificar duas vezes", e ambas as etapas podem ser da mesma categoria (senha + pergunta de segurança são duas etapas, mas não dois fatores). Então, se você realmente quer força, a chave é misturar categorias diferentes.
Força do método: tudo se resume a "você consegue entregá-lo a um site de phishing?"
Mesmo com o 2FA ligado, a força varia muito conforme o método. O fator decisivo é se você poderia entregar acidentalmente a "prova" a um site falso.
Forte ── Passkey / chave de segurança (FIDO2)
Assinatura vinculada ao domínio — estruturalmente não pode ser apresentada a um site falso (resistente a phishing)
Médio ── Aplicativo autenticador (TOTP)
Mais forte que SMS, mas um humano lê o código — então ele pode ser entregue a um site falso
Fraco ── Códigos por SMS / e-mail
Fraco diante de SIM-swap e retransmissão; ainda assim mais forte que só uma senha
Fraco: códigos por SMS / e-mail
- um humano lê e digita o código — então ele pode ser entregue direto a um site falso
- exposto a SIM-swap e phishing de intermediário (AiTM)
- ainda assim claramente mais forte que só uma senha (muito melhor que nada)
Forte: passkey / chave de segurança (FIDO2)
- a assinatura é vinculada ao domínio do site — impossível de apresentar a um site falso
- resistente até ao phishing de intermediário (MFA resistente a phishing)
- um aplicativo autenticador (TOTP) fica no meio — mais forte que SMS, mas ainda apresentável a um site falso
A visão deste site: ligue primeiro, depois migre para métodos que você 'não consegue entregar'
A falha de 2FA mais comum é pensar demais em "qual é o mais forte" e acabar sem nenhum. A prioridade é clara — primeiro ligue algum 2FA em todas as contas, depois eleve suas contas chaves do reino (e-mail, domínio, pagamentos) a um método que você não consegue entregar a um site de phishing (passkeys). Este site não conta "identificar o site falso prestando atenção" como estratégia de defesa. Em vez de vigilância humana, apoie-se em métodos onde a prova estruturalmente não pode ser entregue a um site falso.
Leia a seguir
- Glossário: o que é uma senha de uso único (OTP) (o que o código do aplicativo autenticador realmente é — TOTP/HOTP/SMS) · o que é uma passkey (o nível mais alto, que você não consegue entregar)
- Glossário: o que é phishing (entenda os ataques AiTM que miram o 2FA)
- Aprenda: escolhendo MFA do jeito certo (seleção de método na prática)
FAQ
QAutenticação de dois fatores e verificação em duas etapas são a mesma coisa?
Estritamente, não. A autenticação de dois fatores (2FA) combina dois 'fatores' diferentes — conhecimento (senha), posse (telefone, chave) ou inerência (impressão digital, rosto). A verificação em duas etapas (2SV) significa apenas 'verificar duas vezes', e as duas etapas não são necessariamente fatores diferentes (por exemplo, uma senha mais uma pergunta de segurança são ambas conhecimento — duas etapas, mas não dois fatores). Na prática elas se sobrepõem bastante, mas o objetivo é misturar categorias diferentes para que quebrar uma não deixe ninguém entrar.
QO 2FA baseado em SMS ainda vale a pena?
Sim. É claramente mais forte que só uma senha e barra a maioria dos sequestros por reuso ou vazamento de senha. Mas o SMS é um alvo principal para SIM-swap e phishing de intermediário (adversary-in-the-middle), então, como método, é o nível mais fraco. A leitura certa é 'muito melhor que nada, mas não a linha de chegada'. Migre para um aplicativo autenticador (TOTP) ou uma passkey onde puder.
QQual método devo escolher?
A regra geral: quanto mais difícil for entregar um método a um site de phishing, mais forte ele é. Do mais forte ao mais fraco: passkey / chave de segurança física (FIDO2) > código de aplicativo autenticador (TOTP) > SMS/e-mail. Para contas que são as 'chaves do reino' — e-mail, seu domínio, pagamentos — prefira um método resistente a phishing, como passkeys. De forma realista: primeiro ligue algum 2FA em toda parte, depois eleve suas contas mais importantes ao método mais forte.