Proteger

Escreve a sua palavra-passe e já está dentro. Isso é a autenticação de um só fator, e tem uma fraqueza evidente: se outra pessoa descobrir a sua palavra-passe — através de uma fuga de dados, de um e-mail de phishing ou de um início de sessão reutilizado —, entra também. A autenticação de dois fatores, normalmente abreviada para 2FA, acrescenta uma segunda fechadura, de modo que uma palavra-passe roubada, por si só, já não chegue para abrir a sua conta.

A autenticação de dois fatores consiste em provar quem é com dois tipos de provas diferentes antes de ser autorizado a entrar. Os profissionais de segurança agrupam estas provas em três categorias, ou fatores: algo que sabe (uma palavra-passe ou um PIN), algo que tem (um telemóvel, uma chave de segurança física ou uma aplicação que gera códigos) e algo que é (uma impressão digital, o rosto ou outro dado biométrico). A 2FA combina duas destas categorias — por isso um código enviado para o seu telemóvel conta, mas duas palavras-passe não: duas palavras-passe são o mesmo fator.

Como funciona a autenticação de dois fatores

Na prática costuma funcionar assim. Introduz o nome de utilizador e a palavra-passe como de costume. O serviço pede então uma segunda prova: um código de seis dígitos de uma aplicação de autenticação, um toque numa notificação, um código por SMS ou uma pressão numa chave física. Só fica dentro quando ambas as verificações passam. Como o segundo fator muda constantemente ou está fisicamente ligado a um dispositivo que tem consigo, um atacante que só possui a sua palavra-passe é travado no segundo passo.

Nem todos os segundos fatores são igualmente robustos. Os códigos enviados por SMS são os mais comuns e muito melhores do que nada, mas as mensagens de texto podem ser intercetadas ou desviadas através de uma técnica chamada SIM swapping, em que um atacante leva o seu operador a transferir o seu número para o dispositivo dele. As aplicações de autenticação — integradas nos gestores de palavras-passe ou autónomas — geram os códigos no seu próprio dispositivo usando uma norma aberta (TOTP), pelo que não há qualquer mensagem para intercetar. As chaves de segurança físicas e as passkeys, baseadas nas normas FIDO2 e WebAuthn, vão mais longe: são concebidas para resistir ao phishing, porque a chave verifica o endereço real do site antes de responder.

Quais segundos fatores são os mais fortes

O phishing é precisamente a falha que os segundos fatores mais robustos foram feitos para fechar. Uma página de início de sessão falsa e convincente pode capturar tanto a sua palavra-passe como um código digitado se for enganado a introduzi-los. Uma chave física ou uma passkey está ligada ao site autêntico, por isso nem uma cópia de aspeto perfeito a consegue usar. É por isso que muitas equipas de segurança recomendam agora abandonar os códigos SMS a favor de, no mínimo, uma aplicação de autenticação, e de chaves ou passkeys para as contas mais importantes.

• Ative a 2FA primeiro nas suas contas mais importantes: e-mail principal, banca e gestor de palavras-passe
• Prefira uma aplicação de autenticação (TOTP) ou uma chave de segurança física aos códigos SMS, que podem ser intercetados via SIM swapping
• Use chaves físicas ou passkeys (FIDO2/WebAuthn) para contas sensíveis — resistem ao phishing ao verificar o site real
• Guarde os códigos de recuperação de uso único offline para poder voltar a entrar se perder o telemóvel
• Combine a 2FA com um gestor de palavras-passe: cada palavra-passe é única e robusta, e uma única fuga não abre nada

O argumento para ativar a 2FA é simples: as palavras-passe vazam constantemente. Milhares de milhões de credenciais roubadas circulam online a partir de fugas passadas, e as pessoas reutilizam a mesma palavra-passe em muitos sites, de modo que uma única fuga pode desbloquear várias contas. Um segundo fator quebra essa cadeia. Mesmo que a sua palavra-passe apareça numa fuga, um atacante continua sem conseguir entrar sem o código ou o dispositivo que só você possui. Também por isso um gestor de palavras-passe e a 2FA funcionam bem juntos: o gestor mantém cada palavra-passe única e robusta, e a 2FA protege as contas que importam mesmo que uma palavra-passe fique exposta.

Porque deve ativá-la, e como

Configurar a 2FA leva alguns minutos por conta e encontra-se nas definições de segurança ou de início de sessão da maioria dos serviços. Comece pelas contas cuja perda doeria mais: o seu e-mail principal (porque pode repor tudo o resto), as suas aplicações bancárias e de pagamento e o próprio gestor de palavras-passe. Quando puder escolher, prefira uma aplicação de autenticação ou uma chave física ao SMS. Ao ativar a 2FA, o serviço costuma mostrar um conjunto de códigos de recuperação de uso único — guarde-os num local seguro e offline, porque são a forma de voltar a entrar se perder o telemóvel.

Perder o acesso ao segundo fator é o receio que trava muita gente, e vale a pena planeá-lo em vez de o evitar. Guarde os seus códigos de recuperação, registe um segundo método quando o serviço o permitir (por exemplo uma chave de reserva ou um segundo dispositivo), e algumas aplicações de autenticação podem sincronizar os seus códigos em segurança entre os seus próprios dispositivos, de modo que um telemóvel perdido não o deixe de fora. Os poucos minutos dedicados às opções de recuperação são muito menos dolorosos do que perder uma conta para alguém que adivinhou ou roubou uma única palavra-passe.

E se perder o seu segundo fator?

A autenticação de dois fatores é um dos passos de privacidade e segurança de maior valor que pode dar, e é em grande parte gratuita. Não corrige uma palavra-passe fraca ou reutilizada, e os códigos SMS não são infalíveis, mas acrescentar qualquer segundo fator transforma a sua palavra-passe de um único ponto de falha numa fechadura entre duas. Para as contas que guardam a sua identidade, o seu dinheiro e as suas mensagens, essa segunda fechadura vale bem os poucos minutos que demora a configurar.