Quais são os 3 Fatores de Autenticação?

1. O que você sabe (Senha, PIN). 2. O que você tem (Token, Celular, Chave de Segurança). 3. Quem você é (Biometria, Reconhecimento Facial). A Autenticação de Múltiplos Fatores (MFA) exige no mínimo dois desses fatores.

Por que o SMS 2FA não é seguro?

O SMS é vulnerável a ataques de 'SIM Swapping', onde o invasor transfere seu número de telefone para outro chip, recebendo seus códigos de verificação. Use sempre Apps de TOTP (Ex: Google Authenticator) em vez de SMS.

Segurança & Privacidade Tech Business & Carreira

2FA (MFA): O Guia Definitivo da Autenticação de Múltiplos Fatores

ativesitedezembro 4, 2025

0 49 4 minutos de leitura

2FA (MFA): O Guia Definitivo da Autenticação de Múltiplos Fatores

Mais de 80% dos vazamentos de dados empresariais e roubos de contas pessoais acontecem por senhas fracas ou reutilizadas. O Login de Fator Único (apenas a senha) é uma aposta arriscada.

Na AtiveSite, o padrão de segurança é a **Autenticação de Múltiplos Fatores (MFA)**. O 2FA (Two-Factor Authentication) é o termo mais comum, exigindo uma senha *e* algo mais.

Os 4 Tipos de 2FA (Do Inseguro ao Ouro)

Tipo	Protocolo/Exemplo	Segurança	Observação
SMS	Token de 6 dígitos via Mensagem.	❌ Baixa	Vulnerável a SIM Swapping.
TOTP	Google/Microsoft Authenticator.	✅ Alta	Chave gerada no celular (o que você tem).
Push Notification	Aprovação com ‘Sim/Não’ no celular.	✅ Alta	Mais conveniente, mas depende do servidor.
Chave Física (FIDO2)	YubiKey, Titan Key (Biometria).	🥇 Padrão Ouro	Imune a Phishing. Exige toque físico (o que você tem).

O Padrão Ouro: FIDO2 e Chaves Físicas

As chaves de segurança USB (como YubiKey) usam o protocolo **FIDO2/WebAuthn**. Esta é a única forma de 2FA que é totalmente resistente a Phishing. Veja por quê:

**Phishing-Resistente:** Quando você insere sua chave de segurança, ela verifica o endereço do site (o domínio). Se o site não for o domínio real (ex: ‘facebook.com’), a chave se recusa a liberar a autenticação, frustrando a fraude.
**Hardware-Backed:** A chave privada é armazenada no hardware (o que você tem), e não em um aplicativo ou SMS (o que é facilmente clonável).
Aplicações: Use sua YubiKey como Chave de Segurança para contas de Google, AWS e acesso SSH.

Implementação Prática: TOTP (O Mais Acessível)

Se você não tem uma chave física, o **TOTP (Time-Based One-Time Password)** é o melhor substituto. É a base do Google Authenticator, Authy e Microsoft Authenticator.

O site te fornece uma chave secreta (Seed) ou um código QR.
Seu aplicativo TOTP usa essa chave + a hora atual para gerar um código de 6 dígitos que muda a cada 30 segundos.
O servidor faz o mesmo cálculo: se o código for igual, o acesso é liberado.

Regra de Ouro: Salve o código de backup (Recovery Code) em um lugar seguro, como um Gerenciador de Senhas criptografado.

FAQ: Dúvidas Cruciais sobre 2FA

1. Qual o maior risco do 2FA de Push Notification?

O maior risco é o ‘MFA Fatigue’ (Fadiga de MFA). O atacante envia centenas de solicitações Push no seu celular até você aceitar por engano ou exaustão. Ele é mais seguro que o TOTP, mas o Push não verifica o domínio (como o FIDO2).

2. Onde devo usar o 2FA (Prioridades)?

Priorize as contas que são a ‘chave mestra’ de tudo: E-mail Principal, Gerenciador de Senhas, Contas de Desenvolvedor (GitHub, AWS, Azure), e Contas Bancárias/Financeiras.

3. Posso usar a Biometria (Impressão Digital) como 2FA?

A biometria é o terceiro fator (‘Quem você é’). Se você loga com Senha (Fator 1) e depois usa o toque do dedo (Fator 3), isso é MFA. É altamente seguro, mas exige que o dispositivo tenha a tecnologia (como o Touch ID em Macs).

4. O que é um ‘Código de Backup’ (Recovery Code)?

É um conjunto de códigos de uso único fornecidos pelo site. Eles permitem que você recupere sua conta caso perca seu celular ou chave de segurança. Se você esquecer sua senha E perder o acesso ao seu 2FA, o código de backup é sua última chance.

5. E se o servidor do Google Authenticator cair?

Não há problema. O TOTP é um sistema sem servidor. Ele só precisa do tempo do seu celular (Sincronização de Tempo) e da chave secreta. O Google Authenticator apenas faz o cálculo e exibe o código.

6. Como o Microsserviços lida com o 2FA?

Em uma arquitetura de Microsserviços, o 2FA deve ser delegado a um serviço de identidade central (como o Auth0 ou Okta), para que o usuário não precise logar em cada serviço separadamente. Isso garante a padronização.

7. O que é ‘Passkeys’ (Chaves de Acesso)?

É a próxima evolução do FIDO2, patrocinada por Google, Apple e Microsoft. As Passkeys eliminam a senha totalmente, substituindo-a por uma credencial criptográfica armazenada no seu dispositivo. É o futuro da autenticação.

8. Onde a IA entra na autenticação?

A IA é usada em ‘Risk-Based Authentication’ (Autenticação Baseada em Risco). O sistema de login usa IA para analisar seu comportamento (Ex: Você está logando de um país novo? Seu padrão de digitação mudou?) e só pede o 2FA se o risco for alto.

Conclusão

O 2FA não é opcional; é uma obrigação na era digital. Largue o SMS, adote o TOTP e, para suas contas mais valiosas, invista em uma chave física **FIDO2**. Sua segurança vale o investimento de 30 segundos no login.