PUBLIEDITOR

Dois fatores – e por que os códigos SMS são o elo mais fraco

25 de junho de 2026 · 3 min de leitura · Comentários

Este artigo contém links afiliados. Se você comprar através deles, poderemos ganhar uma comissão – sem nenhum custo extra para você.

A autenticação de dois fatores é uma das atualizações de segurança mais eficazes que você pode fazer. Mas nem todos os dois fatores são iguais – e a versão mais comum, aquela que a maioria dos serviços usa como padrão, tem uma vulnerabilidade específica e bem documentada que a maioria das pessoas não conhece.

A autenticação de dois fatores exige algo que você sabe (sua senha) e algo que você possui (normalmente um código). Mesmo que alguém roube sua senha, não poderá fazer login sem o segundo fator. É genuinamente bom. A questão é o que significa “algo que você tem”.

O problema com códigos SMS

Os códigos SMS são enviados para o seu número de telefone. Seu número de telefone é controlado pela sua operadora. E as operadoras podem ser manipuladas – às vezes por meio de engenharia social, às vezes por meio de suborno total de funcionários – para transferir seu número para um cartão SIM controlado pelo invasor. Isso é chamado de troca de SIM.

Assim que o seu número for transferido, cada código SMS enviado para “seu” telefone vai para o dispositivo do invasor. Sua senha mais qualquer fator duplo baseado em SMS agora é deles. Alvos de alto valor – pessoas com criptomoedas significativas, executivos, jornalistas – são regularmente comprometidos desta forma.

Métodos de dois fatores — força relativa
Method
Strength
Vulnerable to
SMS code
Weak
SIM swap, SS7 attacks, phishing
Aplicativo autenticador (TOTP)
Good
Phishing em tempo real (se o invasor agir rapidamente)
Chave de hardware (senha)
Strong
Roubo físico da chave

O que usar em vez disso

Um aplicativo autenticador gera códigos baseados em tempo no seu dispositivo. Eles não são transmitidos pela rede telefônica – nenhuma troca de SIM pode interceptá-los. Aplicativos como Google Authenticator ou Authy funcionam dessa maneira. NordPass também inclui um autenticador integrado, o que significa que seus códigos 2FA e senhas ficam no mesmo cofre seguro.

Vale a pena ter dois fatores, mesmo em sua forma mais fraca. SMS 2FA é muito melhor do que nenhum 2FA. Mas se você for usá-lo, leva cerca de dois minutos por conta para atualizar do SMS para um aplicativo autenticador – e a lacuna na proteção é significativa.

Perguntas frequentes

What is credential stuffing?+

O preenchimento de credenciais ocorre quando os invasores pegam combinações de e-mail e senha expostas em uma violação e as testam automaticamente em outros serviços. Se você reutilizar senhas, uma violação em um site dará aos invasores acesso a todas as contas com as mesmas credenciais.

Is it safe to store all your passwords in one place?+

Sim, ao usar um gerenciador de senhas confiável. O cofre criptografado é muito mais seguro do que senhas reutilizadas ou fracas. Gerenciadores de senhas como o NordPass usam arquitetura de conhecimento zero – o que significa que nem mesmo a empresa pode ver suas senhas armazenadas.

What is two-factor authentication and should I use it?+

A autenticação de dois fatores (2FA) requer uma segunda etapa de verificação além da sua senha – normalmente um código de um aplicativo. Use um aplicativo autenticador (Google Authenticator, Authy) em vez de códigos SMS, que são vulneráveis ​​a ataques de troca de SIM.

Senhas e códigos 2FA em um cofre seguro
NordPass armazena suas senhas e gera seus códigos autenticadores. Um aplicativo, uma senha mestra, tudo sincronizado em seus dispositivos.
⭐ 4,5/5 · milhões de senhas protegidas
Try NordPass →

Sam Feldman
Sam Feldman
"Um bom banner não tem forma fixa nem significado inerente."
Austin, TX · https://sams.blog/weekly
RELATED READING
A catástrofe da senha em que ninguém pensa
Você reutiliza uma senha. Os hackers estão contando com isso.
Gerenciadores de senhas, explicados para pessoas normais
Você está prestes a obter a configuração de segurança exata que criei para meus próprios pais – aquela que realmente funciona

A maioria das pessoas tem uma camada de proteção. Eles estão faltando três.

  • The 3-layer setup I’d never skip — stripped to what matters.
  • Who’s really watching you — your browser, your provider, and the “free” tools selling your data. How to shut them out.
  • A 30-second leak check — most people’s passwords are already out there. See if yours are, and what to do.
  • Pull your info back — data brokers are selling your address and number right now. Here’s how to get removed.

20 minutos, do início ao fim – depois é executado em segundo plano. Digite seu e-mail e eu enviarei.

Algo deu errado. Tente novamente.
Você está dentro - verifique sua caixa de entrada em breve.
100% confidencial. Cancele a inscrição a qualquer momento.