SSP Editorial Team

2FA no celular: o jeito certo e o errado

·8 min de leitura·Por SSP Editorial Team
Capa da SSP Academy para um guia sobre autenticação de dois fatores no celular, com ícones de carteira, chave e escudo em fundo escuro.

A autenticação de dois fatores (2FA) é uma das melhorias de segurança de maior impacto que você pode adotar — mas só se você usar o tipo certo. Para quem usa cripto, a diferença entre uma 2FA forte e uma fraca é a diferença entre uma conta que resiste a um atacante determinado e outra que não. O detalhe é que a forma mais comum de 2FA — um código de uso único enviado por SMS — também é a mais fraca. Este guia ordena as opções da pior para a melhor, explica o porquê e dá a você um plano concreto para reforçar as contas que cercam a sua carteira.

Um esclarecimento antes de começar: o próprio modelo de segurança da SSP não é "2FA" no sentido de códigos de uso único. A SSP usa multisig — duas chaves de assinatura independentes em dois dispositivos. Voltaremos ao porquê de essa distinção importar. Primeiro, os códigos.

Por que a 2FA por SMS falha com quem usa cripto

Um código de uso único por SMS parece seguro: você digita a senha, chega um número de seis dígitos e você o insere. O problema é que o segundo fator — o controle do seu número de telefone — é muito mais fácil de roubar do que a maioria imagina.

Dois tipos de ataque causam o estrago:

  • Troca de SIM (SIM swapping). Um atacante convence (ou suborna) a sua operadora a portar o seu número para um SIM que ele controla. Quando tem o número, todos os códigos SMS vão para ele. Quem guarda cripto é alvo preferido justamente porque o prêmio é alto e as transações são irreversíveis.
  • Interceptação por SS7. O SS7 é o protocolo de sinalização, com décadas de uso, que as redes de telecom usam para encaminhar chamadas e mensagens. Falhas conhecidas permitem que atacantes com muitos recursos interceptem mensagens SMS sem sequer tocar no seu SIM.

Isso não é uma preocupação marginal. O Instituto Nacional de Padrões e Tecnologia dos EUA classifica o SMS como um autenticador "restrito" na NIST SP 800-63B e desaconselha explicitamente o seu uso em sistemas novos. Quando o órgão que define identidade digital diz que um método está de saída, encare isso como um sinal.

A 2FA por SMS ainda é melhor do que nenhuma 2FA. Mas, para qualquer conta que toque no seu dinheiro, ela deve ser a sua última escolha, não a padrão.

Apps autenticadoras TOTP: a base prática

A base prática para quem usa cripto é um app autenticador TOTP — daqueles que mostram um código rotativo de seis dígitos que muda a cada 30 segundos. O TOTP é definido pela RFC 6238, e é um avanço real em relação ao SMS por um motivo estrutural: não há número de telefone para sequestrar. O código é gerado no seu dispositivo a partir de um segredo compartilhado, então a troca de SIM e a interceptação por SS7 simplesmente não se aplicam.

Algumas regras tornam o TOTP bem mais forte:

  • Use um app, não SMS, sempre que um serviço oferecer os dois. A maioria das corretoras e provedores de e-mail aceita apps autenticadores.
  • Faça backup do segredo de configuração, não só dos códigos. Ao se cadastrar, guarde a exportação de recuperação do mesmo jeito que você protege qualquer outra credencial sensível.
  • Mantenha-o fora do mesmo dispositivo de onde você faz login quando for prático, para que uma única máquina comprometida não fique com os dois fatores.

O TOTP não é perfeito. O segredo compartilhado fica no telefone, então um dispositivo comprometido — ou um backup mal protegido dele na nuvem — pode vazar esse segredo. E, principalmente, um código TOTP ainda pode sofrer phishing em tempo real: uma página de login falsa e convincente repassa a sua senha e o seu código recém-gerado direto para a sessão do atacante antes de o código expirar. É exatamente essa brecha que o próximo nível fecha. Se quiser reconhecer essas páginas falsas, leia nosso passo a passo sobre ataques de phishing direcionados a quem usa cripto.

Passkeys e chaves de hardware: resistentes a phishing

As passkeys FIDO2/WebAuthn e as chaves de segurança de hardware são o primeiro nível genuinamente resistente a phishing, e o motivo é elegante: a credencial é vinculada criptograficamente à origem do site. O seu autenticador só faz login no domínio real em que foi registrado. Um site de phishing parecido tem uma origem diferente, então a passkey simplesmente se recusa a responder — não há código de seis dígitos para repassar, porque não há código nenhum.

Essa propriedade importa mais do que qualquer outra da lista. Tanto o SMS quanto o TOTP dependem de uma pessoa ler um número e digitá-lo em algum lugar; as passkeys eliminam por completo o segredo que um humano pode copiar. Um atacante que monte um clone perfeito do login da sua corretora não consegue nada, porque o desafio criptográfico é respondido por um hardware que verifica a origem por você.

As chaves de segurança de hardware — as físicas que você toca ou conecta — e as passkeys de plataforma guardadas no elemento seguro do seu telefone ou computador implementam isso. Para contas de alto valor, uma chave de hardware é o segundo fator mais forte e de uso amplo que você pode comprar.

A SSP Key é uma cossignatária, não um código

Aqui está a distinção que confunde as pessoas: a segurança da SSP não é "2FA" no sentido de códigos de uso único. É multisig.

Uma configuração padrão de 2FA protege o login da conta. A SSP protege a própria transação. A SSP usa um esquema 2 de 2: uma chave fica na extensão do navegador, a outra é a SSP Key no seu telefone. As duas precisam assinar de forma independente antes que os fundos possam se mover. A SSP Key é uma cossignatária criptográfica — não um número de seis dígitos que você digita, mas um dispositivo à parte que guarda uma chave à parte e realiza uma assinatura de verdade.

A consequência é estrutural. Suponha que um atacante comprometa por completo a extensão do seu navegador — com phishing ou tomando a máquina em que ela roda. Com um código de seis dígitos no nível do app, esse único comprometimento pode bastar. Com a SSP, não: mover fundos ainda exige uma aprovação independente no seu telefone, onde você vê os detalhes da transação e assina com a segunda chave. O lado do navegador sozinho não consegue enviar nada. Essa segunda superfície de assinatura independente é o que um código de seis dígitos nunca pode ser — uma chave que o atacante também precisa comprometer, em outro dispositivo, ao mesmo tempo.

Para sermos precisos sobre o que isso faz e o que não faz: a SSP protege o ato de gastar. Ela não substitui uma boa higiene nas contas em volta da sua carteira. Se você é novo no modelo, configure a sua primeira carteira SSP e veja por conta própria o fluxo de aprovação em dois dispositivos.

Protegendo as contas em volta da sua carteira

A sua carteira não é uma ilha. As contas em volta dela — e-mail, logins de corretoras, backups na nuvem, gerenciador de senhas — costumam ser o caminho mais fácil até os seus fundos. Um atacante que tome o seu e-mail consegue redefinir dali metade dos seus outros logins.

Aplique a mesma hierarquia a cada uma delas:

  • E-mail: passkey ou chave de hardware, se houver; TOTP, na falta. Nunca só SMS. O seu e-mail é o interruptor mestre de redefinição de todo o resto.
  • Corretoras: chave de hardware ou passkey para o login; nunca dependa de SMS e desative a recuperação por SMS se a corretora permitir.
  • Nuvem e gerenciador de senhas: TOTP no mínimo, passkey onde estiver disponível.
  • Operadora móvel: adicione um PIN de portabilidade ou bloqueio de conta para frear tentativas de troca de SIM.

Como o seu telefone guarda cada vez mais tanto o seu autenticador quanto a sua SSP Key, trate-o como uma fronteira de segurança por si só — bloqueio de tela forte, sistema operacional atualizado e nada de apps instalados fora das lojas. Para saber mais sobre no que uma carteira centrada no telefone é boa e no que não é, veja carteiras cripto móveis: no que elas são boas. E quando estiver pronto para reforçar tudo de uma vez, percorra a lista de verificação de autocustódia para os seus primeiros US$ 1.000.

Um plano para melhorar a sua 2FA

Você não precisa fazer tudo de uma vez. Trabalhe de cima para baixo, por valor:

  1. Inventário. Liste cada conta que pode tocar no seu dinheiro ou redefinir outra conta: primeiro o e-mail, depois as corretoras e então a nuvem e o gerenciador de senhas.
  2. Acabe com o só-SMS. Onde o SMS for o seu único segundo fator, adicione um método mais forte e remova o SMS como via de recuperação se o serviço permitir.
  3. Adicione TOTP em tudo que oferecer. Essa é a sua base; ela fecha na hora as brechas da troca de SIM e do SS7.
  4. Eleve as suas contas principais a passkeys ou a uma chave de hardware. E-mail e corretoras primeiro — são as contas que uma página de phishing mais quer.
  5. Tranque a operadora. Defina um PIN de portabilidade para que um estranho não consiga transferir o seu número.
  6. Revise a cada trimestre. As opções de autenticação mudam; um serviço que ano passado só tinha SMS pode aceitar passkeys agora.

O programa "Secure Our World" da CISA publica orientações em linguagem simples que vale a pena compartilhar com familiares menos técnicos — veja CISA.

Continue

Uma 2FA forte é uma camada. Ela protege as portas em volta da sua carteira; o multisig da SSP protege o próprio gasto. Juntos, eles eliminam os pontos únicos de falha que pegam a maioria das pessoas.

Continue construindo a partir daqui:

Compartilhar este artigo

Artigos relacionados

Ilustração passo a passo de uma carteira SSP sendo configurada em um celular e em um navegador

Configurando sua primeira carteira SSP

Guia passo a passo de configuração da SSP Wallet: instale o app e a extensão, pareie dois dispositivos, crie uma carteira 2-of-2 e envie sua primeira transação.

6 min read
Capa da SSP Academy para um guia iniciante sobre carteiras cripto móveis e o SSP Key

Carteira cripto móvel: pontos fortes, riscos e SSP Key

O que as carteiras cripto móveis fazem bem — acesso sempre à mão, desbloqueio biométrico, leitura de QR — seus limites e como o SSP Key se encaixa.

7 min read
Capa de segurança do SSP com ícones de carteira, chave, escudo e chip, ilustrando um guia sobre ataques de phishing cripto.

Ataques de Phishing Contra Usuários de Cripto (e Como Identificá-los)

O phishing cripto mira em você, não na criptografia. Aprenda os padrões — wallet drainers, approval phishing, envenenamento de endereços — e como o SSP ajuda.

7 min read