Dois fatores – e por que os códigos SMS são o elo mais fraco
25 de junho de 2026 · 3 min de leitura · Comentários
Este artigo contém links afiliados. Se você comprar através deles, poderemos ganhar uma comissão – sem nenhum custo extra para você.
A autenticação de dois fatores é uma das atualizações de segurança mais eficazes que você pode fazer. Mas nem todos os dois fatores são iguais – e a versão mais comum, aquela que a maioria dos serviços usa como padrão, tem uma vulnerabilidade específica e bem documentada que a maioria das pessoas não conhece.
A autenticação de dois fatores exige algo que você sabe (sua senha) e algo que você possui (normalmente um código). Mesmo que alguém roube sua senha, não poderá fazer login sem o segundo fator. É genuinamente bom. A questão é o que significa “algo que você tem”.
O problema com códigos SMS
Os códigos SMS são enviados para o seu número de telefone. Seu número de telefone é controlado pela sua operadora. E as operadoras podem ser manipuladas – às vezes por meio de engenharia social, às vezes por meio de suborno total de funcionários – para transferir seu número para um cartão SIM controlado pelo invasor. Isso é chamado de troca de SIM.
Assim que o seu número for transferido, cada código SMS enviado para “seu” telefone vai para o dispositivo do invasor. Sua senha mais qualquer fator duplo baseado em SMS agora é deles. Alvos de alto valor – pessoas com criptomoedas significativas, executivos, jornalistas – são regularmente comprometidos desta forma.
O que usar em vez disso
Um aplicativo autenticador gera códigos baseados em tempo no seu dispositivo. Eles não são transmitidos pela rede telefônica – nenhuma troca de SIM pode interceptá-los. Aplicativos como Google Authenticator ou Authy funcionam dessa maneira. NordPass também inclui um autenticador integrado, o que significa que seus códigos 2FA e senhas ficam no mesmo cofre seguro.
- Switch SMS 2FA to an authenticator app wherever the service allows it
- Prioritise accounts with the most at stake: email, banking, primary social
- NordPass generates and stores your TOTP codes alongside your passwords
- Passkeys — where offered — are better still: no code to phish at all
Vale a pena ter dois fatores, mesmo em sua forma mais fraca. SMS 2FA é muito melhor do que nenhum 2FA. Mas se você for usá-lo, leva cerca de dois minutos por conta para atualizar do SMS para um aplicativo autenticador – e a lacuna na proteção é significativa.
Perguntas frequentes
What is credential stuffing?+
O preenchimento de credenciais ocorre quando os invasores pegam combinações de e-mail e senha expostas em uma violação e as testam automaticamente em outros serviços. Se você reutilizar senhas, uma violação em um site dará aos invasores acesso a todas as contas com as mesmas credenciais.
Is it safe to store all your passwords in one place?+
Sim, ao usar um gerenciador de senhas confiável. O cofre criptografado é muito mais seguro do que senhas reutilizadas ou fracas. Gerenciadores de senhas como o NordPass usam arquitetura de conhecimento zero – o que significa que nem mesmo a empresa pode ver suas senhas armazenadas.
What is two-factor authentication and should I use it?+
A autenticação de dois fatores (2FA) requer uma segunda etapa de verificação além da sua senha – normalmente um código de um aplicativo. Use um aplicativo autenticador (Google Authenticator, Authy) em vez de códigos SMS, que são vulneráveis a ataques de troca de SIM.
