Nos últimos anos, o termo “segundo fator” se tornou um conceito de marketing. Formalmente, ele existe, mas na prática muitas vezes não oferece proteção real.
Se a sua conta ainda é protegida por códigos enviados via mensagem de texto ou por códigos recebidos através de aplicativos de mensagens, deve-se considerar que você, de fato, não possui um segundo fator.
Vamos analisar as razões.
Por que mensagens de texto não são mais consideradas uma proteção
Mensagens de texto não são um mecanismo de segurança. Elas são um legado da era das telecomunicações. Nunca foram projetadas como um canal seguro.
Problemas principais:
1. A troca de SIM não é rara
A reemissão de um cartão SIM através de engenharia social é uma operação rotineira. Um documento de identidade, um “erro do operador” ou acesso interno frequentemente são suficientes.
Resultado: o número de telefone fica nas mãos do invasor, assim como os códigos.
2. SS7 e a infraestrutura de telecomunicações
As redes de sinalização foram projetadas há várias décadas. A interceptação de mensagens de texto é possível sem acesso físico ao telefone.
3. O operador é um ponto único de falha
Problemas de roaming, bloqueios ou falhas técnicas podem impedir que você acesse suas contas.
4. Não há criptografia
As mensagens de texto são armazenadas e transmitidas em texto simples. Onde, por quanto tempo e por quem elas são processadas não está sob seu controle.
Conclusão: mensagens de texto são um fator de conveniência, não um fator de segurança.
Aplicativos de mensagens em vez de mensagens de texto — ainda pior
A tentativa de “melhorar” as mensagens de texto através de aplicativos de mensagens é um exemplo clássico de atualização ilusória.
Para obter um código de seis dígitos, você é solicitado a:
- instalar um aplicativo pesado,
- vincular um número de telefone,
- fornecer metadados,
- depender da conexão com a internet,
- confiar em código fechado.
Isso aumenta a superfície de ataque em vez de reduzi-la.
Do ponto de vista de segurança, não faz sentido.
Do ponto de vista da privacidade, é até prejudicial.
O que o TOTP muda fundamentalmente
TOTP não é um produto nem uma marca. É um padrão aberto.
Ideia chave:
👉 o código não é enviado de fora — ele é calculado localmente.
O que isso oferece na prática:
- Sem canal de transmissão → nada para interceptar
- Funciona offline → independência de operadoras e serviços
- Sem número de telefone → menos vínculo com a sua identidade
- Modelo de ameaça previsível → criptografia, não “nuvem”
O servidor e o seu dispositivo apenas realizam os mesmos cálculos, conhecendo:
- o segredo compartilhado;
- a hora atual.
Eles não se comunicam entre si. É aí que está a força do mecanismo.
Pontos importantes que quase ninguém comenta
1. O que protege não é o código, mas o segredo
Seis dígitos são apenas uma representação.
Se a chave secreta vazar, o TOTP deixa de existir na prática.
Portanto:
- Código QR = chave
- captura de tela = potencial comprometimento
- armazenamento na nuvem = risco
Se o segredo vazar, redefina a autenticação de dois fatores imediatamente, sem hesitação.
2. TOTP não protege contra phishing por proxy
Esta é uma limitação fundamental desta classe de mecanismos.
Se:
- você inseriu o código em um site falso,
- o atacante o utilizou imediatamente no site verdadeiro,
o TOTP não pode fazer nada.
Portanto:
- faça login apenas através de favoritos ou gerenciador de senhas;
- verifique rigorosamente o domínio;
- nenhuma “mensagem urgente” é motivo para inserir um código.
3. Backups não são uma opção, mas uma obrigação
Perder o telefone sem códigos de backup significa perder a conta.
A regra é simples:
- anote os códigos de backup manualmente;
- armazene-os offline ou em um gerenciador de senhas;
- não dependa de “deixar para depois”.
O que utilizar em dois mil e vinte e cinco
Escolha mínima razoável
- Aegis para Android: software de código aberto, backups criptografados locais
- TOTP integrado no iOS ou em gerenciadores de senhas — solução aceitável
Usar com cautela
- Google Authenticator com sincronização na nuvem
(comprometimento da conta = perda de todos os fatores)
Melhor que TOTP
- WebAuthn, Passkeys e FIDO2
Resistência a phishing já está integrada no design.
TOTP é a base. Passkeys são o próximo passo.
Resumo
- Mensagens de texto estão obsoletas como fator de segurança
- Aplicativos de mensagens são marketing disfarçado de proteção
- TOTP representa o nível mínimo aceitável, não uma “opção avançada”
- Os maiores riscos não estão no algoritmo, mas na disciplina do usuário
- O futuro é da autenticação resistente a phishing
Se um serviço em dois mil e vinte e cinco não oferece TOTP ou WebAuthn, isso é um sinal de alerta, não uma “característica do produto”.
P.S.
Se você estiver explicando isso para familiares ou pessoas não técnicas, certifique-se de que:
- anotem a chave secreta ou os códigos de backup,
- retirem o telefone do papel de ponto único de falha.
Caso contrário, o processo terminará com suporte técnico, procedimentos administrativos e perda de acesso.
