Duas senhas não são dois fatores
"Ative o 2FA" — é um conselho que você ouve em todo lugar. Mas a maioria das pessoas ativa a versão por SMS — um código de 6 dígitos enviado para o celular — e se considera segura. Mais segura do que sem 2FA, sim. Mas o 2FA por SMS tem fraquezas reais e bem documentadas que você deve conhecer.
O objetivo não é afastá-lo do SMS 2FA. É ajudá-lo a entender o que você realmente obtém, e quando usar algo mais robusto.
O que é autenticação de dois fatores?
Os fatores de autenticação são de três tipos:
- Algo que você sabe — senha, PIN
- Algo que você tem — celular, chave física, app de autenticação
- Algo que você é — impressão digital, Face ID
A autenticação de dois fatores (2FA) significa usar dois tipos diferentes. Senha + código SMS é "algo que você sabe" + "algo que você tem." Isso é 2FA real — e é dramaticamente melhor do que só uma senha.
O problema não é o 2FA em si. O problema é que "algo que você tem (um celular)" pode ser sequestrado sem roubar fisicamente seu telefone.
Por que o SMS 2FA pode ser interceptado
SIM Swapping
O ataque SMS mais comum. Veja como funciona:
- Um atacante liga para sua operadora se passando por você
- Alega ter perdido o celular e precisa do número transferido para um novo SIM
- A operadora transfere seu número para o SIM dele
- Todos os SMS enviados para "seu" número vão agora para o atacante
- Ele solicita redefinições de senha + códigos SMS para suas contas
Isso aconteceu com figuras proeminentes. Contas de exchanges de criptomoedas, contas de email, redes sociais — o SIM swapping é um vetor conhecido porque a verificação de identidade das operadoras é aplicada de forma inconsistente.
Vulnerabilidades do protocolo SS7
O protocolo SS7 é a espinha dorsal técnica de 40 anos que roteia chamadas e SMS no mundo todo. Ele tem vulnerabilidades conhecidas que permitem a atacantes estatais e grupos criminosos sofisticados interceptar SMS em trânsito sem tocar no seu telefone ou operadora.
Para a maioria das pessoas, ataques SS7 são teóricos. Para alvos de alto valor (executivos, jornalistas, ativistas), são uma ameaça real.
Phishing de códigos SMS em tempo real
O ataque mais comum contra usuários comuns: uma página de login falsa captura sua senha E seu código SMS simultaneamente, depois os reproduz no site real antes do código expirar.
Você insere suas credenciais num site falso convincente → eles entram no site real → o site real envia um SMS para você → você insere o SMS no site falso → o atacante tem sua sessão.
Isso se chama "ataque de phishing em tempo real" ou "adversary-in-the-middle" (AiTM). Funciona contra o SMS 2FA mesmo sem você ter entregado seu celular.
O que é mais robusto que o SMS
Apps de autenticação (TOTP)
Apps como Google Authenticator, Authy ou qualquer app compatível com TOTP geram códigos baseados em tempo localmente no seu dispositivo. Sem SMS, sem operadora envolvida.
Por que é melhor: os códigos são gerados no seu dispositivo, não transmitidos por rede. Um SIM swap não ajuda — o código está no seu celular original. O phishing em tempo real ainda funciona (se você inserir o código num site falso), mas ataques SS7 não se aplicam.
Use para: qualquer serviço que ofereça. Prefira isso ao SMS.
Chaves de segurança físicas (FIDO2/WebAuthn)
Dispositivos físicos (YubiKey, Google Titan, etc.) que se conectam por USB ou tocam via NFC. Ao fazer login, você toca fisicamente a chave.
Por que é mais robusto: prova criptográfica, sem códigos para interceptar, resistente a phishing (a chave verifica que está falando com o site real checando o domínio). O phishing em tempo real não funciona — a chave não autenticará um domínio falso.
Use para: suas contas mais críticas — email, banco, contas corporativas.
Passkeys
As passkeys substituem senhas completamente usando criptografia de chave pública armazenada no seu dispositivo. Suportadas por Apple, Google, Microsoft e uma lista crescente de serviços.
Por que é mais robusto: sem senha para roubar, sem código para interceptar, resistente a phishing por design (vinculação criptográfica ao domínio). A chave privada nunca sai do seu dispositivo.
Use para: qualquer serviço que as suporte (Apple ID, Conta Google, GitHub, PayPal, 1Password e mais).
O ranking honesto
Do menos ao mais seguro:
- Sem 2FA — só senha (evitar)
- SMS 2FA — melhor que nada, vulnerável a SIM swap + phishing AiTM
- App de autenticação (TOTP) — imune a SIM swap, ainda vulnerável a phishing AiTM
- Chave física (FIDO2) — resistente a phishing, requer presença física
- Passkeys — resistente a phishing, sem senha, melhor UX das opções robustas
O que fazer na prática
Para a maioria das pessoas:
- Usar app de autenticação (não SMS) onde possível
- Usar SMS se for a única opção — ainda é muito melhor que nada
- Ativar 2FA no email primeiro — é a chave-mestra de todas as outras contas
Para contas de alto valor (banco, cripto, acesso corporativo):
- Chave de segurança física ou passkeys
- Senha única e forte (use um Gerador de senhas)
- Verificar se seu email esteve em uma brecha (Verificador de brechas de email)
Para todos:
- Nunca reutilizar senhas entre sites
- Se ocorrer uma brecha: mudar a senha, verificar se a mesma senha foi usada em outro lugar, ativar 2FA se ainda não o fez
A conclusão
O SMS 2FA é melhor que nenhum 2FA. Se for a única opção, use. Mas se um serviço oferece app de autenticação ou chave física, adote-os — a melhoria de segurança é significativa.
A coisa mais importante: ter 2FA na sua conta de email. O email é o mecanismo de recuperação de tudo o mais — se um atacante controla seu email, ele pode redefinir todas as suas outras senhas.
Verifique se seu email esteve em uma brecha — depois ative o 2FA nele hoje.