O que é 2FA (verificação em duas etapas) e como ativar em cada serviço

Passo a passo — o que fazer

1. 1

   Ative o 2FA no Google (conta Gmail/Workspace)

   Acesse myaccount.google.com → clique em 'Segurança' no menu lateral → localize '2 etapas de verificação' e clique em 'Começar' → siga o assistente para confirmar o número de telefone (SMS como backup) e, em seguida, adicione um aplicativo autenticador como Google Authenticator ou Authy. Após ativar, gere códigos de backup e salve-os em local seguro.

2. 2

   Ative o 2FA no Instagram

   Abra o Instagram → toque no ícone do seu perfil → acesse o menu (três linhas) → 'Configurações e privacidade' → 'Central de Contas' → 'Senha e segurança' → 'Autenticação de dois fatores' → escolha seu perfil e selecione 'App de autenticação'. Escaneie o QR code com seu autenticador (Authy, Google Authenticator) e confirme o código de seis dígitos.

3. 3

   Ative o 2FA no WhatsApp

   Abra o WhatsApp → toque nos três pontos (Android) ou em 'Ajustes' (iPhone) → 'Conta' → 'Verificação em duas etapas' → 'Ativar' → crie um PIN de seis dígitos que só você conhece → adicione um endereço de e-mail de recuperação (altamente recomendado, pois o WhatsApp não usa aplicativos autenticadores).

4. 4

   Ative o 2FA em contas bancárias e financeiras

   A maioria dos bancos brasileiros (Nubank, Itaú, Bradesco, Santander, Inter) já obriga alguma forma de segundo fator no próprio app. Verifique em: app do banco → 'Configurações' ou 'Segurança' → 'Verificação em duas etapas' ou 'Token' → siga as instruções para vincular o dispositivo. Bancos como o Nubank usam o próprio aplicativo como fator de posse (push notification ou biometria).

5. 5

   Ative o 2FA no e-mail (Outlook/Hotmail)

   Acesse account.microsoft.com → 'Segurança' → 'Opções de segurança avançadas' → 'Verificação em duas etapas' → 'Configurar verificação em duas etapas' → siga o assistente e escolha o aplicativo Microsoft Authenticator ou outro compatível com TOTP.

6. 6

   Instale e configure um aplicativo autenticador

   Baixe Authy (recomendado para backup em nuvem criptografado) ou Google Authenticator na loja oficial do seu celular. Ao ativar o 2FA em qualquer serviço, escaneie o QR code exibido na tela com o aplicativo. O app passará a gerar códigos de seis dígitos que se renovam a cada 30 segundos — nunca compartilhe esses códigos com ninguém.

7. 7

   Salve os códigos de backup (imprescindível)

   Todo serviço que oferece 2FA gera entre 8 e 10 códigos de uso único no momento da ativação. Imprima ou anote esses códigos e guarde em local físico seguro (não no mesmo celular). Eles são a única forma de recuperar o acesso caso você perca o dispositivo com o autenticador.

8. 8

   Considere uma chave de segurança física (nível máximo)

   Chaves FIDO2/WebAuthn como YubiKey ou Google Titan são o método mais seguro disponível. Conecte ao computador via USB ou NFC no celular e registre-a nos serviços compatíveis (Google, Microsoft, GitHub, Facebook). Elas são imunes a phishing porque verificam também o domínio do site onde o login está acontecendo.

Como o 2FA funciona: o conceito por trás da proteção

A autenticação de dois fatores baseia-se num princípio simples definido pelo NIST SP 800-63B: um sistema mais seguro exige que o usuário prove sua identidade usando dois fatores de categorias diferentes. Os três tipos de fator são: (1) conhecimento — algo que você sabe, como uma senha ou PIN; (2) posse — algo que você tem, como um celular, um aplicativo autenticador ou uma chave física; e (3) inerência — algo que você é, como sua impressão digital ou reconhecimento facial.

Na prática cotidiana, o 2FA combina os fatores de conhecimento e posse. Após digitar a senha correta (conhecimento), o sistema exige um código gerado pelo seu celular (posse) antes de liberar o acesso. Mesmo que um criminoso descubra sua senha — por phishing, por brecha de dados ou por força bruta — ele não consegue entrar sem o segundo fator, que está fisicamente em seu dispositivo.

A eficácia do 2FA é documentada. Relatório do Google de 2019 mostrou que adicionar um número de telefone de recuperação (e, com ele, a verificação em duas etapas) bloqueou 100% dos ataques automatizados de bot, 99% dos ataques de phishing em massa e 66% dos ataques direcionados. O 2FA com aplicativo autenticador ou chave física oferece proteção ainda maior do que o 2FA por SMS.

Tipos de 2FA: do mais fraco ao mais forte

SMS (mensagem de texto): É o método mais comum e também o mais fraco. O código é enviado por mensagem para o número cadastrado. O problema central é o SIM swap: golpistas contatam a operadora de telefonia fingindo ser o titular da linha, solicitam a portabilidade do número para um novo chip e passam a receber todos os SMS direcionados à vítima — incluindo os códigos de verificação. O NIST SP 800-63B desaconselha o uso de SMS como único fator de verificação em sistemas de alta segurança.

Aplicativo autenticador TOTP: Aplicativos como Google Authenticator, Authy, Microsoft Authenticator e Aegis geram códigos TOTP (Time-based One-Time Password, definido pela RFC 6238). Cada código tem seis dígitos e é válido por apenas 30 segundos. Esse método é significativamente mais seguro que o SMS porque o código nunca trafega pela rede — ele é calculado localmente no seu dispositivo a partir de uma chave secreta compartilhada no momento do cadastro. SIM swap não funciona contra TOTP.

Chaves de segurança FIDO2/WebAuthn: São dispositivos físicos (como YubiKey, Google Titan ou Feitian) que implementam o protocolo FIDO2/WebAuthn. Quando você faz login, conecta a chave via USB ou aproxima via NFC e toca no botão. O grande diferencial é que a chave verifica criptograficamente o domínio do site antes de responder — o que a torna imune a phishing: se você cair em um site falso, a chave não responde. A FIDO Alliance define esse protocolo como o padrão-ouro de autenticação resistente a phishing.

Passkeys: São a evolução natural do FIDO2 para o consumidor final. Uma passkey substitui completamente a senha e o segundo fator por um par de chaves criptográficas: a chave pública fica no servidor, a chave privada fica protegida pelo biométrico do seu dispositivo (Face ID, Touch ID, reconhecimento facial Android). Serviços como Google, Apple, Microsoft e dezenas de sites já suportam passkeys. A grande vantagem é a experiência: você autentica com seu rosto ou digital, sem digitar nada.

Por que o SMS é o elo mais fraco: entendendo o SIM swap

SIM swap (ou fraude de portabilidade) é um ataque em que o criminoso convence a operadora de telefonia a transferir o número da vítima para um novo SIM card que ele controla. Para isso, o golpista usa dados pessoais obtidos em vazamentos ou redes sociais — nome completo, CPF, data de nascimento, endereço — e se passa pelo titular da linha no atendimento ao cliente da operadora.

Uma vez com o número em mãos, o atacante solicita redefinição de senha nos serviços que usam SMS como 2FA (e-mail, banco, redes sociais), recebe os códigos de verificação por SMS e assume as contas em minutos. A vítima só percebe quando o celular perde sinal — e muitas vezes já é tarde.

No Brasil, a Anatel regula a portabilidade numérica, mas fraudes de SIM swap continuam sendo relatadas. Em 2020, o Twitter sofreu um ataque de alto perfil em que contas de figuras públicas foram comprometidas parcialmente via engenharia social, evidenciando que até plataformas com bilhões de usuários são vulneráveis quando o SMS é o elo final. A solução é simples: use aplicativos autenticadores ou chaves físicas sempre que o serviço oferecer essa opção.

MFA corporativo: o que muda quando o risco é da empresa

Para pessoas físicas, o 2FA é uma escolha inteligente. Para empresas, é uma necessidade operacional e, em muitos setores, uma obrigação regulatória. A LGPD (Lei Geral de Proteção de Dados) exige medidas técnicas adequadas para proteger dados pessoais — e o MFA (autenticação multifator, o equivalente corporativo do 2FA) é citado repetidamente em frameworks de conformidade como o ISO 27001 e o NIST Cybersecurity Framework como controle essencial.

No ambiente corporativo, o MFA protege não só contas individuais, mas sistemas inteiros: VPNs, painéis de administração, plataformas de e-mail, ERPs, repositórios de código, buckets de armazenamento. Uma única conta sem MFA que seja comprometida pode ser o ponto de entrada para um ransomware que paralise toda a operação.

O padrão corporativo recomendado é o FIDO2 com chaves de segurança físicas ou passkeys gerenciadas via MDM (Mobile Device Management). Para ambientes Microsoft, o Microsoft Entra ID (antigo Azure AD) oferece MFA nativo com políticas de Acesso Condicional. Para ambientes Google, o Google Workspace permite forçar o uso de chaves de segurança para todos os usuários da organização.

Empresas que sofreram invasão por credenciais comprometidas sem MFA figuram entre os casos mais custosos de segurança cibernética no Brasil e no mundo. O relatório IBM Cost of a Data Breach 2023 aponta o custo médio de uma violação de dados em US$ 4,45 milhões globalmente — e boa parte desses incidentes começa exatamente pela ausência de MFA em contas privilegiadas.

A Decripte pode ajudar sua empresa a implementar MFA corretamente

A Decripte é uma empresa brasileira de cibersegurança especializada em proteger organizações de 1 a mais de 100 mil funcionários. Nosso trabalho vai além de instalar ferramentas: avaliamos a postura de segurança real da sua empresa, identificamos quais contas e sistemas estão expostos e implementamos controles como MFA de forma que faça sentido para o seu ambiente — sem interromper a operação.

Para empresas que ainda não têm qualquer programa de segurança estruturado, oferecemos um plano gratuito que inclui varredura de ameaças e diagnóstico inicial. Para organizações que precisam de implementação completa de MFA, políticas de acesso, resposta a incidentes e conformidade regulatória, nossos planos pagos cobrem toda a jornada de maturidade em cibersegurança.

Se sua empresa sofreu um incidente ou quer saber exatamente onde está vulnerável antes que algo aconteça, entre em contato com a Decripte em decripte.io. O primeiro passo é gratuito e leva menos de cinco minutos.

Termos importantes

2FA (Autenticação de Dois Fatores)

Mecanismo de segurança que exige duas provas de identidade de categorias distintas — tipicamente algo que você sabe (senha) e algo que você possui (celular ou chave física) — antes de conceder acesso a uma conta. Definido e padronizado pelo NIST SP 800-63B como controle essencial de autenticação.

TOTP (Time-based One-Time Password)

Algoritmo definido pela RFC 6238 que gera senhas de uso único com validade de 30 segundos, calculadas a partir de uma chave secreta compartilhada e do horário atual. É a base técnica dos códigos de seis dígitos gerados por aplicativos autenticadores como Google Authenticator e Authy.

Aplicativo autenticador

Software instalado no celular que implementa o algoritmo TOTP para gerar códigos de verificação temporários. Exemplos populares incluem Google Authenticator, Authy, Microsoft Authenticator e Aegis. É significativamente mais seguro do que o 2FA por SMS porque os códigos são gerados localmente, sem trafegar pela rede de telefonia.

Passkey

Credencial criptográfica baseada no padrão FIDO2/WebAuthn que substitui simultaneamente a senha e o segundo fator. A chave privada fica protegida pelo biométrico do dispositivo do usuário (digital ou rosto), enquanto a chave pública fica no servidor. Passkeys são resistentes a phishing e eliminam a necessidade de memorizar senhas.

Perguntas frequentes