Capa do Ebook gratuito Segurança Digital Básica: Senhas, Golpes e Proteção de Dados no Dia a Dia

Segurança Digital Básica: Senhas, Golpes e Proteção de Dados no Dia a Dia

Novo curso

14 páginas
Todos os cursos > Informática ( TI ) > Segurança da informação ::

Autenticação em Dois Fatores e Proteção de Contas

Capítulo 4

Tempo estimado de leitura: 14 minutos

+ Exercício

O que é Autenticação em Dois Fatores (2FA) e por que ela protege sua conta

Autenticação em Dois Fatores (2FA) é um método de segurança que adiciona uma segunda verificação além da senha para confirmar que você é realmente a pessoa tentando entrar na conta. Na prática, mesmo que alguém descubra sua senha, ainda precisará passar por uma segunda etapa (por exemplo, um código temporário no celular) para conseguir acessar.

Pense na senha como a “chave” e o segundo fator como uma “trava extra”. A senha pode vazar em um golpe, em um vazamento de dados ou ser adivinhada; a segunda etapa reduz muito a chance de invasão porque exige algo adicional que o atacante normalmente não tem.

Em geral, os fatores de autenticação se encaixam em três categorias: algo que você sabe (senha), algo que você tem (celular, token, chave física) e algo que você é (biometria). O 2FA combina dois desses tipos. Quando a conta usa apenas senha, ela depende de um único fator. Quando usa senha + código temporário, por exemplo, ela passa a exigir dois fatores.

2FA, verificação em duas etapas e MFA: termos comuns

Você pode ver nomes diferentes nas configurações: “Autenticação em Dois Fatores”, “Verificação em duas etapas”, “2SV” ou “MFA” (autenticação multifator). Na prática, todos indicam a mesma ideia: exigir mais de uma prova para entrar. MFA pode incluir mais de dois fatores, mas no dia a dia a maioria das pessoas usa 2FA.

Tipos de 2FA: vantagens, limitações e quando usar

Nem todo 2FA oferece o mesmo nível de proteção. A escolha do método importa, porque alguns são mais resistentes a golpes e interceptações do que outros.

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...
Download App

Baixar o aplicativo

1) Aplicativo autenticador (códigos temporários TOTP)

É um aplicativo no celular que gera códigos que mudam a cada poucos segundos. Você digita o código na hora do login. Esse método é amplamente aceito e costuma ser uma boa opção para a maioria das contas.

  • Vantagens: funciona mesmo sem sinal de celular; não depende de SMS; é relativamente simples.

  • Limitações: se você perder o celular sem ter preparado recuperação, pode ficar sem acesso; pode ser alvo de golpes de “phishing em tempo real” (o golpista pede o código e usa imediatamente).

2) Notificação de aprovação (push) no app

Em vez de digitar um código, você recebe uma notificação no celular perguntando se deseja aprovar o login. Em alguns casos, aparece um número para confirmar (ex.: “Digite 42 no computador”).

  • Vantagens: mais prático; reduz erros de digitação; quando há “número de confirmação”, dificulta golpes.

  • Limitações: pode ser vulnerável a “fadiga de push” (muitas solicitações até você aprovar por engano); depende do celular estar com internet.

3) SMS (código por mensagem de texto)

O serviço envia um código por SMS. É melhor do que não ter 2FA, mas é considerado mais fraco do que app autenticador ou chave física.

  • Vantagens: fácil de ativar; não exige instalar app.

  • Limitações: pode ser interceptado por ataques à linha telefônica (como transferência indevida de chip) ou por acesso ao SMS em outros dispositivos; depende de sinal.

4) Chave de segurança (hardware key, padrão FIDO2/WebAuthn)

É um dispositivo físico (geralmente USB ou NFC) que você conecta ou aproxima do aparelho para confirmar o login. É um dos métodos mais fortes contra golpes de página falsa, porque a chave verifica o site correto antes de autenticar.

  • Vantagens: alta proteção contra phishing; não depende de operadora; muito robusto.

  • Limitações: tem custo; exige compatibilidade do serviço; você precisa guardar bem e, idealmente, ter uma chave reserva.

5) Biometria (impressão digital/rosto) como segundo fator

Em alguns cenários, a biometria é usada para desbloquear o aplicativo autenticador, aprovar um push ou liberar uma chave passkey. Ela é útil para impedir que alguém com seu celular desbloqueado aprove logins.

  • Vantagens: prática; reduz risco de alguém usar seu aparelho sem permissão.

  • Limitações: nem sempre é um “fator remoto” por si só; depende da implementação do serviço e do dispositivo.

Passkeys: uma alternativa moderna que pode substituir senha + 2FA

Alguns serviços oferecem “passkeys” (chaves de acesso) baseadas em padrões como FIDO2/WebAuthn. Em vez de senha, você usa um método criptográfico vinculado ao seu dispositivo, liberado por biometria ou PIN. Em muitos casos, isso já fornece proteção equivalente (ou superior) a senha + 2FA, com forte resistência a phishing.

Se o serviço oferecer passkey, considere ativar. Ainda assim, é importante entender as opções de recuperação e como seus dispositivos sincronizam ou armazenam essas chaves.

Como escolher o melhor método para cada conta (priorização prática)

Como nem todo serviço oferece todas as opções, vale seguir uma ordem de preferência baseada em segurança e praticidade:

  • Preferencial: passkey ou chave de segurança (FIDO2/WebAuthn).

  • Muito bom: aplicativo autenticador (TOTP) ou push com número de confirmação.

  • Aceitável quando não há alternativa: SMS.

Também ajuda priorizar quais contas devem receber 2FA primeiro. Comece por contas que, se invadidas, permitem “abrir portas” para outras: e-mail principal, contas de mensagens, armazenamento em nuvem, redes sociais (por risco de golpes a contatos), contas de compras e qualquer serviço que guarde dados pessoais.

Ativando 2FA: passo a passo genérico (serve para a maioria dos serviços)

Os nomes dos menus variam, mas o caminho costuma ser parecido. Use este roteiro como referência:

Passo 1: encontre a área de segurança

  • Acesse as configurações da conta.

  • Procure por “Segurança”, “Login”, “Privacidade” ou “Autenticação”.

  • Localize “Autenticação em dois fatores”, “Verificação em duas etapas” ou “MFA”.

Passo 2: escolha o método

  • Se houver passkey ou chave de segurança, avalie usar.

  • Se houver aplicativo autenticador, selecione essa opção.

  • Se só houver SMS, ative SMS, mas planeje migrar para um método mais forte quando possível.

Passo 3: configure o aplicativo autenticador (quando aplicável)

Ao escolher “aplicativo autenticador”, o serviço geralmente mostra um QR code e/ou uma chave secreta (uma sequência de letras e números). O procedimento típico é:

  • Instale um aplicativo autenticador confiável no celular.

  • No app, escolha “Adicionar conta” e escaneie o QR code.

  • O app começará a gerar códigos temporários.

  • Volte ao site/app do serviço e digite o código atual para confirmar.

Se você não puder escanear o QR code, muitos serviços permitem digitar a chave secreta manualmente no app autenticador. Faça isso com cuidado, sem compartilhar essa chave com ninguém.

Passo 4: configure um método alternativo (backup)

Um erro comum é ativar 2FA e parar por aí. O ideal é ter pelo menos um caminho de recuperação caso você perca o celular ou troque de aparelho.

  • Se o serviço permitir, adicione um segundo método (por exemplo, app autenticador + chave de segurança, ou app autenticador + códigos de backup).

  • Cadastre um dispositivo confiável adicional quando o serviço oferecer essa opção (por exemplo, um segundo celular ou tablet).

Passo 5: salve os códigos de backup (muito importante)

Muitos serviços fornecem “códigos de backup” (geralmente 8 a 12 códigos de uso único). Eles servem para entrar caso você não consiga receber o segundo fator.

  • Baixe ou copie os códigos de backup.

  • Guarde em local seguro: idealmente em um gerenciador de senhas, em um cofre digital criptografado ou impresso e guardado em local físico protegido.

  • Não salve em notas desprotegidas, galeria de fotos ou mensagens.

Passo 6: teste antes de sair

Depois de ativar, faça um teste controlado:

  • Saia da conta (logout) em um dispositivo.

  • Tente entrar novamente e confirme que o 2FA está sendo solicitado.

  • Verifique se o método de backup funciona (por exemplo, confirme que você consegue localizar os códigos de backup, sem necessariamente consumi-los).

Protegendo o 2FA: erros comuns que enfraquecem a segurança

Aprovar solicitações que você não iniciou

Se você receber um pedido de aprovação (push) sem estar tentando entrar, trate como sinal de risco. Pode ser alguém com sua senha tentando acessar. Nessa situação, não aprove. Em seguida, mude a senha e revise a segurança da conta (sessões ativas, dispositivos conectados e métodos de recuperação).

Digitar códigos em páginas falsas

Um golpe comum é levar você a uma página de login falsa e pedir senha e código 2FA. O golpista usa o código imediatamente no site real. Para reduzir esse risco:

  • Confira o endereço do site/app antes de digitar.

  • Prefira métodos resistentes a phishing (passkeys ou chaves de segurança).

  • Desconfie de links recebidos por mensagem; prefira digitar o endereço manualmente ou usar favoritos.

Depender apenas de SMS quando há opções melhores

Se o serviço permitir app autenticador ou chave de segurança, considere migrar. SMS é melhor do que nada, mas não é o método mais robusto.

Não atualizar o 2FA ao trocar de celular

Trocar de aparelho sem planejar a migração pode causar bloqueio. Antes de trocar:

  • Garanta acesso aos códigos de backup.

  • Adicione um segundo método (como chave de segurança) se possível.

  • Verifique se o app autenticador tem opção de transferência segura ou se você precisará reconfigurar conta por conta.

Passo a passo: migrando 2FA para um novo celular (sem perder acesso)

O procedimento exato depende do método de 2FA e do serviço, mas este roteiro reduz riscos:

1) Prepare a migração antes de trocar

  • Em cada conta importante, verifique se há códigos de backup disponíveis e atualizados.

  • Se possível, adicione um método alternativo (ex.: chave de segurança ou segundo autenticador).

  • Confirme que seu e-mail e telefone de recuperação (se usados) estão corretos.

2) Mantenha o celular antigo funcional durante a transição

  • Não apague o app autenticador do celular antigo até terminar.

  • Evite formatar o aparelho antigo antes de confirmar o acesso em todas as contas.

3) No novo celular, configure o método escolhido

  • Instale o app autenticador (se for o caso).

  • Para cada serviço, reconfigure o 2FA escaneando um novo QR code gerado nas configurações de segurança do serviço.

  • Se o serviço permitir, registre o novo dispositivo como confiável.

4) Revise e limpe acessos antigos

  • Remova dispositivos antigos que não usa mais.

  • Revogue sessões ativas desconhecidas.

  • Gere novos códigos de backup se houver suspeita de exposição.

Chaves de segurança e passkeys: passo a passo de configuração (quando disponíveis)

Configurando uma chave de segurança (hardware)

Quando o serviço oferece “chave de segurança”, o fluxo típico é:

  • Abra as configurações de segurança e escolha “Adicionar chave de segurança”.

  • Conecte a chave via USB ou aproxime via NFC, conforme o modelo.

  • Confirme no navegador/dispositivo a criação do registro.

  • Dê um nome para identificar (ex.: “Chave USB principal”).

  • Se possível, cadastre uma segunda chave como reserva e guarde em local separado.

Configurando uma passkey

Quando o serviço oferece passkey, o fluxo típico é:

  • Vá em segurança e selecione “Criar passkey” ou “Adicionar chave de acesso”.

  • Escolha onde a passkey ficará (no dispositivo atual ou em um gerenciador compatível).

  • Confirme com biometria ou PIN do dispositivo.

  • Teste o login saindo e entrando novamente.

Ao usar passkeys, preste atenção em como você recupera acesso caso perca o dispositivo. Alguns ecossistemas sincronizam passkeys entre dispositivos; outros exigem reconfiguração.

Proteção de conta além do 2FA: configurações que andam juntas

2FA é uma camada importante, mas a proteção de conta fica mais forte quando você combina com outras medidas de controle de acesso e monitoramento.

1) Alertas de login e atividades suspeitas

Muitos serviços permitem ativar notificações para logins em novos dispositivos, alterações de senha e mudanças em configurações de segurança. Ative esses alertas para detectar tentativas de invasão cedo.

  • Se receber alerta de login que não reconhece, troque a senha e revise sessões ativas.

  • Verifique se o 2FA continua habilitado e se não foi alterado.

2) Revisão de dispositivos conectados e sessões ativas

Em configurações de segurança, procure por “Dispositivos”, “Sessões”, “Onde você está conectado”. Revise periodicamente:

  • Desconecte sessões antigas (computadores públicos, aparelhos vendidos, navegadores que não usa).

  • Remova dispositivos desconhecidos imediatamente.

3) Controle de aplicativos conectados (acessos de terceiros)

Algumas contas permitem que aplicativos de terceiros acessem dados (por exemplo, “entrar com a conta X” ou integrações). Revise a lista de apps conectados:

  • Remova permissões de apps que você não reconhece ou não usa mais.

  • Prefira conceder apenas o mínimo de acesso necessário.

4) Proteção do e-mail principal (conta “chave”)

O e-mail principal costuma ser o ponto de recuperação de várias contas. Se alguém invadir seu e-mail, pode redefinir acessos em outros serviços. Por isso:

  • Ative 2FA forte no e-mail (idealmente passkey, chave de segurança ou app autenticador).

  • Revise métodos de recuperação e garanta que não há e-mails/telefones desconhecidos cadastrados.

  • Ative alertas de login e revise sessões.

5) Cuidado com “lembrar deste dispositivo”

Muitos serviços oferecem a opção “Não pedir novamente neste dispositivo”. Isso aumenta a praticidade, mas reduz a proteção se o dispositivo for compartilhado, perdido ou comprometido.

  • Use “lembrar dispositivo” apenas em aparelhos pessoais com bloqueio de tela.

  • Evite em computadores públicos, de trabalho compartilhado ou de terceiros.

Exemplos práticos de cenários e como o 2FA ajuda

Cenário 1: senha vazada em um incidente

Você tenta entrar e percebe um alerta de tentativa de login. Com 2FA ativo, o invasor até pode ter a senha, mas esbarra no segundo fator. Se você recebe uma notificação de 2FA sem ter tentado entrar, isso é um sinal para agir: trocar a senha, revisar sessões e checar métodos de recuperação.

Cenário 2: golpe pedindo “código de verificação”

Alguém se passa por suporte e pede o código 2FA “para confirmar sua identidade”. Esse pedido é um sinal claro de golpe: códigos 2FA servem para confirmar login e não devem ser compartilhados. A ação correta é encerrar o contato e acessar a conta apenas pelos canais oficiais, sem usar links enviados.

Cenário 3: roubo ou perda do celular

Se o 2FA depende do celular, perder o aparelho pode virar um problema. Por isso, códigos de backup e métodos alternativos são essenciais. Além disso, manter o celular com bloqueio de tela e biometria dificulta que alguém aprove logins ou acesse o app autenticador.

Checklist prático de implementação (para aplicar hoje)

  • Ativar 2FA nas contas mais críticas (e-mail, mensagens, nuvem, redes sociais, compras).

  • Preferir passkey/chave de segurança; se não houver, usar app autenticador; deixar SMS como última opção.

  • Salvar códigos de backup em local seguro e acessível em emergência.

  • Adicionar método alternativo (quando possível) e registrar um segundo dispositivo confiável.

  • Ativar alertas de login e revisar sessões/dispositivos conectados.

  • Revisar aplicativos de terceiros com acesso à conta e remover os desnecessários.

  • Não aprovar solicitações 2FA que você não iniciou e não compartilhar códigos com ninguém.

Comandos e anotações úteis (para referência rápida)

Regras rápidas do 2FA no dia a dia: 1) Código 2FA é como uma chave temporária: nunca compartilhe. 2) Notificação de login sem você pedir = sinal de risco: negue e revise a conta. 3) Tenha sempre um plano de recuperação: códigos de backup + método alternativo. 4) Prefira métodos resistentes a phishing: passkeys ou chave de segurança.

Agora responda o exercício sobre o conteúdo:

Qual prática melhora a segurança ao ativar a autenticação em dois fatores (2FA) e ajuda a evitar perda de acesso?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

Correta: códigos de backup e um método alternativo permitem recuperar o acesso se você perder o celular ou trocar de aparelho, reduzindo o risco de ficar bloqueado após ativar o 2FA.

Próximo capitúlo

Reconhecimento de Phishing e Engenharia Social

Arrow Right Icon
Aprenda Segurança da informação

AprendaSegurança da informação

Proteja todo conteúdo importante, descubra como utilizar a segurança da informação a seu favor e para que serve. Cursa.app separou um curso grátis pra você

 Aprenda Informática ( TI )

AprendaInformática ( TI )

Cursos online gratuitos de Informática, TI e programação com certificação gratuita. Oferecemos cursos de Excel, programação e muito mais. Aproveite agora!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store