Guias de Segurança
Escolhendo MFA do jeito certo: o que significa 'resistente a phishing' e por que o SMS é fraco
SMS, apps autenticadores e passkeys formam uma escada de força de MFA. Por que o SMS cai diante de phishing e SIM-swap, o que 'resistente a phishing' realmente significa e qual fator colocar em qual conta.
Para: qualquer pessoa prestes a ativar MFA (verificação em dois fatores / duas etapas), ou que já a tem mas se pergunta "o SMS é bom o suficiente?" Sem mecânica de ataque aqui — apenas quais métodos são fortes e o que colocar onde.
A visão deste site: 'tem MFA' não é uma caixinha de marcar
A "autenticação de dois fatores: ativada" que você vê nas configurações na verdade carrega quase nenhuma informação sobre força. O mesmo "ativada" defende contra ataques radicalmente diferentes para SMS versus um passkey. A maioria das tomadas de conta acontece não porque "não havia MFA", mas porque era MFA fraca. Então, para contas importantes, recomendamos classificar por "é resistente a phishing ou não", nunca por "MFA: ligada/desligada".
Por que você precisa de MFA
Uma senha deve ser tratada como "vai vazar uma hora" por si só. Reutilização, dumps de vazamento, adivinhação, phishing — há muitos caminhos. A MFA é o seguro que detém as coisas na segunda camada mesmo quando a primeira é quebrada.
A conta de e-mail importa mais que tudo. Muitos serviços recuperam o "esqueci a senha" por e-mail, então no momento em que seu e-mail é tomado, outras contas são resetadas em cadeia. Por isso o e-mail é a "chave do reino" a guardar com a MFA mais forte (→ Tier 0 do checklist de baseline).
A escada de força (esta é a essência)
Mesmo chamados de "dois fatores", os métodos diferem enormemente em força. À esquerda, fraco; à direita, forte. A linha divisória é "pode ser apresentado a um site falso?"
✗ SMS / e-mail
digitar um número à mão; phishing por relay & SIM-swap o quebram
△ autenticador (TOTP)
mais forte que SMS, mas o código pode ser repassado a um site falso
○ passkey
biometria do dispositivo; vinculado ao domínio = resistente a phishing
◎ chave de segurança
uma chave de hardware FIDO2; a mais robusta; tenha uma reserva
Códigos por SMS / e-mail
- o código são só dígitos — pode ser colado num site falso
- SIM-swap (sequestro do seu número) rouba o recebimento
- phishing por relay o reencaminha ao site real, derrotando-o
- melhor que nada, mas não é uma última linha de defesa
Passkey / chave de segurança (FIDO2)
- a chave é vinculada ao domínio de destino — nenhuma assinatura num site falso
- resistente a phishing por design (não depende do julgamento humano)
- biometria do dispositivo ou uma chave de hardware = nenhuma "string" para roubar
- use isto para as chaves do reino
O que "resistente a phishing" realmente significa
Este é o conceito-chave. Com SMS ou um código de autenticador, no fim um humano tem de julgar com os olhos se está digitando no site certo — mas as pessoas não conseguem diferenciar um domínio clone perfeito. Um passkey ou chave de segurança (FIDO2), por outro lado, sabe para qual domínio ele é, então não retorna assinatura alguma a um site falso. Em outras palavras, mesmo que o humano seja enganado, a chave não é. Essa é a "resistência a phishing", e é a diferença decisiva entre métodos fracos e fortes.
Como configurar (a ordem importa)
Comece pelas chaves do reino
MFA no próprio gerenciador de senhas
Sem suporte, use um autenticador (TOTP)
Guarde os códigos de recuperação com segurança
Tenha um fator de backup
Mesmo com MFA, pare de reutilizar senhas
A MFA é seguro, não desculpa para senhas fracas. Em serviços onde só há MFA não resistente a phishing (como SMS), a força e a unicidade da senha ainda são sua última linha. Avalie-a com o verificador de força de senha.
O que este site faz
Este site blinda suas contas importantes — especialmente e-mail, domínios, admin de servidor e pagamentos — com MFA resistente a phishing sempre que possível. A razão é simples: estas são as chaves do reino onde "perca uma e você perde todas". Logins diários vivem num gerenciador de senhas, e o próprio gerenciador carrega MFA. E não paramos em "a MFA está ativada" — revisamos periodicamente qual método está no lugar. Quando encontramos uma conta importante com só SMS, tratamos isso como um buraco e priorizamos elevá-la a um passkey/chave de segurança. Gerenciar por força, não por presença — essa é nossa política.
Leia a seguir
- Base: o checklist de baseline de segurança (chaves do reino primeiro)
- Armazenamento: como armazenar senhas com segurança
- Glossário: SPF/DKIM/DMARC (autenticação de e-mail anti-spoofing)
- Glossário: o que é phishing (a ameaça para a qual a MFA resistente a phishing foi feita)
- Sem senha: o que é um passkey (login sem senha, sem nada para roubar)
- Ferramenta: verificador de força de senha
FAQ
QSe eu ativar MFA, estou seguro?
Muito mais seguro do que sem, mas 'ativado' não é o mesmo que 'seguro'. O método muda a força em três níveis: códigos por SMS e e-mail caem diante de phishing (um ataque de relay que atrai seu código para um site falso) e SIM-swap. Para contas importantes, use um passkey ou chave de segurança (MFA resistente a phishing) que não pode ser apresentado a um site falso.
QPor que o SMS é chamado de fraco?
Porque o código é só uma sequência de dígitos, e um humano tem de julgar se o lugar onde está digitando é real ou falso. Phishing por relay (você digita o código num clone perfeito) e SIM-swap (seu número de telefone é sequestrado) o derrotam. É melhor que nada, mas não é uma última linha de defesa.
QQual método devo de fato escolher?
Os mais fortes são passkeys (a biometria do seu dispositivo) e chaves de segurança físicas (FIDO2). A chave é vinculada ao domínio de destino, então num site falso nenhuma assinatura é produzida — essa é a resistência a phishing. Onde não houver suporte, use um app autenticador (TOTP); mantenha o SMS como último recurso quando nada mais for oferecido.