O que é a autenticação de dois fatores (2FA)? (2026)
As palavras-passe são alvo de phishing, são divulgadas e reutilizadas — é por isso que uma palavra-passe sozinha já não basta para proteger uma conta. A autenticação de dois fatores (2FA) corrige a maior fragilidade ao exigir uma segunda prova de identidade. Este guia explica o que é a 2FA, os métodos do mais fraco ao mais forte, os limites honestos e como ativá-la.
A definição breve
A autenticação de dois fatores exige dois tipos diferentes de prova para iniciar sessão: a tua palavra-passe, mais um segundo fator que é improvável que um ladrão também possua. Mesmo que alguém roube ou adivinhe a tua palavra-passe, é travado no segundo passo. Por vezes é chamada verificação em dois passos e é a medida individual mais eficaz que a maioria das pessoas pode tomar para proteger as suas contas.
Os três tipos de fator
Os fatores de segurança dividem-se em três categorias, e a 2FA combina dois deles:
- Algo que sabes — uma palavra-passe ou um PIN.
- Algo que tens — o teu telemóvel, uma aplicação de autenticação ou uma chave de segurança de hardware.
- Algo que és — um dado biométrico como uma impressão digital ou uma leitura facial.
Usar dois fatores de tipos diferentes é o que o torna forte. Duas palavras-passe não são dois fatores; uma palavra-passe mais um código do teu telemóvel são.
Como funciona
O fluxo é simples: introduzes a tua palavra-passe como habitualmente e, em seguida, o serviço pede um segundo fator — um código, uma aprovação numa aplicação ou um toque numa chave de segurança. Só quando ambos forem validados é que és autorizado a entrar. Como o segundo fator está associado a um dispositivo que controlas fisicamente, um atacante que tenha apenas a tua palavra-passe fica de fora.
Os métodos, do mais fraco ao mais forte
Nem toda a 2FA é igual:
- Códigos por SMS — um código enviado por mensagem para o teu telemóvel. Melhor do que nada, mas o mais fraco: vulnerável a ataques de SIM-swap, em que um criminoso transfere o teu número para o dispositivo dele.
- Aplicações de autenticação (TOTP) — aplicações que geram offline um código rotativo de 6 dígitos. Muito mais seguras do que o SMS e amplamente suportadas.
- Aprovações por push — o serviço envia para uma aplicação um pedido do tipo “foste tu?”. Conveniente, mas cuidado para não aprovar cegamente pedidos que não desencadeaste (uma verdadeira técnica de ataque).
- Chaves de segurança de hardware — uma chave física (com FIDO2/WebAuthn) que tocas ou ligas. A opção mais forte e resistente ao phishing, porque a chave verifica o site real.
- Biometria — impressão digital ou rosto, que normalmente desbloqueiam uma chave guardada no teu dispositivo.
Se um serviço o permitir, prefere uma aplicação de autenticação ou uma chave de hardware ao SMS.
Os limites honestos
A 2FA é poderosa, mas não é magia. Os códigos por SMS podem ser intercetados através de SIM-swaps; os pedidos por push podem ser explorados se os aprovares sem cuidado; e os códigos de recuperação (os códigos de reserva que um serviço te fornece) têm de ser guardados em segurança, porque contornam a 2FA por conceção. Configura um método de reserva para não te trancares fora e mantém esses códigos de recuperação num local seguro.
Um gestor de palavras-passe torna a 2FA fácil
Muitos gestores de palavras-passe conseguem guardar os teus códigos 2FA juntamente com as credenciais, gerando por ti o código TOTP rotativo — para que palavras-passe fortes e um segundo fator vivam num único local cifrado.
A conclusão honesta
A autenticação de dois fatores é o passo de segurança de maior valor que a maioria das pessoas ainda não usa em todo o lado. Ativa-a primeiro para o teu e-mail e contas financeiras — o e-mail é a chave-mestra que repõe tudo o resto — e prefere uma aplicação de autenticação ou uma chave de hardware ao SMS. Mantém os códigos de reserva em segurança, e uma palavra-passe divulgada deixa de significar uma conta roubada.