RUNWEBTOOLS
Português
Segurança & privacidade

A autenticação de dois fatores (2FA) explicada

Atualizado 2026-07-06

A autenticação de dois fatores é a coisa mais eficaz que você pode fazer para proteger suas contas — e configurá-la leva alguns minutos. Este guia explica o que é, por que uma senha sozinha não basta e como escolher entre os diferentes métodos.

O que é a 2FA

A autenticação de dois fatores (2FA), às vezes chamada de verificação em duas etapas, significa provar sua identidade com dois tipos diferentes de evidência em vez de um. As três categorias clássicas são:

  • Algo que você sabe — uma senha ou PIN.
  • Algo que você tem — seu celular ou uma chave de hardware.
  • Algo que você é — uma impressão digital ou leitura facial.

Uma senha é um fator. A 2FA acrescenta um segundo, então uma senha roubada não basta por si só para entrar.

Por que uma senha não basta

Senhas vazam — por vazamentos de dados, reuso entre sites e phishing. Como abordado no nosso guia de senhas fortes, quando um site é violado, os atacantes tentam essas mesmas credenciais em todos os outros lugares. A 2FA rompe essa corrente: mesmo com sua senha exata, um atacante ainda não consegue entrar sem seu segundo fator.

Os métodos, do pior ao melhor

Códigos por SMS

Um código enviado por mensagem ao seu celular. Muito melhor que nada, mas a opção mais fraca — os códigos podem ser interceptados, e ataques de “troca de SIM” permitem que criminosos sequestrem seu número. Use apenas se for a única escolha.

Apps autenticadores

Um app no seu celular gera um novo código de 6 dígitos a cada 30 segundos (isso se chama TOTP). Os códigos são criados no seu dispositivo e nunca enviados pela rede, então não podem ser interceptados como o SMS. Configurar geralmente significa escanear um código QR que carrega o segredo compartilhado. Este é o ponto ideal para a maioria — gratuito, fácil e muito mais forte que o SMS.

Chaves de segurança de hardware

Um pequeno dispositivo físico (como uma YubiKey) que você toca ou conecta. Baseadas em padrões modernos (FIDO2/WebAuthn), são o padrão-ouro — praticamente imunes a phishing, porque a chave verifica o site real antes de responder. Ideais para suas contas mais importantes.

Não pule os códigos de backup

Quando você ativa a 2FA, o serviço te dá um conjunto de códigos de backup de uso único. Guarde-os em lugar seguro (um gerenciador de senhas, ou impressos e guardados). Eles são seu caminho de volta se você perder o celular — sem eles, perder seu segundo fator pode significar perder a conta.

Onde ativar primeiro

Comece pelas contas que podem desbloquear as outras: seu e-mail primeiro (ele pode redefinir a maioria das suas outras senhas), depois o banco e qualquer conta ligada à sua identidade ou ao seu dinheiro. Combinada com uma senha forte única por site, a 2FA te coloca à frente da esmagadora maioria das contas online. Para proteger seus dados de outras formas, veja nosso guia sobre metadados de fotos e privacidade.

Mais de Segurança & privacidade

Ver todos os guias de Segurança & privacidade →

Ferramentas mencionadas neste guia