1 Porque é que o MFA é importante
A reutilização de palavras-passe e as fugas de credenciais são inevitáveis. Adicionar uma verificação em tempo real (código temporário, notificação push, chave física ou biometria) reduz drasticamente o risco, sobretudo para contas de administração, finanças e email.
2 Métodos comuns de 2FA
SMS (menos seguro)
Amplamente suportado, mas vulnerável a clonagem de cartão SIM, interceção SS7 e phishing. Use SMS apenas quando não existir uma opção mais forte.
Apps de mensagens (WhatsApp, Telegram, etc.)
Uma ligeira melhoria face ao SMS porque a mensagem é cifrada, mas continua a depender do número de telefone e pode ser comprometida se essa conta for invadida.
Apps autenticadoras (TOTP)
Geram códigos offline a cada 30 segundos a partir de um segredo partilhado. São altamente recomendadas para a maioria dos serviços. Opções populares:
- Google Authenticator
- Microsoft Authenticator
- Authy
- 1Password/Bitwarden com TOTP integrado
- Duo Mobile, Aegis, 2FAS
Autenticadores por push
Alguns serviços (Okta, Duo, Microsoft, Google) enviam uma notificação push para aprovar o login. Prático, mas atento aos ataques de fadiga: recuse sempre pedidos inesperados.
Chaves físicas de segurança
Dispositivos FIDO2/WebAuthn como YubiKey, Feitian ou SoloKeys oferecem 2FA resistente a phishing. Validam o domínio antes de aprovar o login e podem também suportar passkeys e PGP.
Autenticadores de plataforma e passkeys
Integrados nos dispositivos (Windows Hello, Touch ID, Face ID, passkeys Android). Baseiam-se no WebAuthn e são muito convenientes, mantendo resistência a phishing.
3 Segurança vs. conveniência
| Método | Segurança | Facilidade de uso | Principais riscos |
|---|---|---|---|
| SMS | Baixa | Muito alta | Clonagem de SIM, interceção, emails falsos de reposição |
| App autenticadora | Alta | Média | Perda do dispositivo, falta de cópias de segurança |
| Notificação push | Alta | Alta | Ataques de bombardeio push/fadiga |
| Chave física | Muito alta | Média | Perda física, custo, disponibilidade de portas |
| Passkeys/biometria | Muito alta | Muito alta | Compatibilidade dos serviços ainda em expansão |
4 Boas práticas
- Prefira apps autenticadoras ou chaves físicas ao SMS.
- Registe pelo menos dois fatores (dispositivo de cópia + códigos de recuperação).
- Guarde os códigos de recuperação offline de forma segura.
- Para contas partilhadas ou de administração, exija chaves físicas sempre que possível.
- Ative passkeys sempre que suportadas — simplificam logins seguros.
FAQ
E se eu perder a chave física?
Use a chave de reserva ou os códigos de recuperação. Registe sempre múltiplas chaves durante a configuração para não ficar bloqueado.
Como migro os códigos autenticadores para um novo telemóvel?
O Authy sincroniza com a nuvem; outras apps permitem exportar ou redigitalizar códigos QR. Mantenha o dispositivo original até o novo estar confirmado.
Os atacantes podem roubar os meus códigos TOTP?
Sim, através de ataques de phishing em tempo real. As chaves físicas e passkeys oferecem resistência a phishing porque verificam a origem antes de autorizar a sessão.
Checklist multifator
- Ative o 2FA em toda a parte, começando pelo email, banca e consolas de administração na nuvem.
- Use palavras-passe únicas e fortes guardadas num gestor zero knowledge.
- Exija fatores resistentes a phishing (chaves FIDO2) para funções críticas.
- Forme a sua equipa para rejeitar pedidos MFA inesperados ou solicitações de códigos.
- Reveja e renove os códigos de reserva após qualquer incidente de segurança.
Limitação de garantias
password.es é fornecido «tal como está». Não garantimos a disponibilidade do serviço, a precisão da informação nem a segurança das palavras-passe geradas. O utilizador é responsável por combinar o 2FA com boas práticas de palavras-passe e segurança dos dispositivos.