2FA (Autenticação de Dois Fatores)

2FA, abreviação de autenticação de dois fatores, é um esquema de autenticação que exige que o usuário apresente dois fatores independentes de prova antes que o acesso seja concedido. A taxonomia clássica de fatores de autenticação inclui:

• Algo que você sabe — uma senha, PIN ou frase memorizada
• Algo que você tem — um telefone, token de hardware, cartão inteligente ou dispositivo registrado
• Algo que você é — uma característica biométrica como impressão digital, rosto ou voz

Um esquema 2FA combina dois fatores de categorias diferentes. A implementação mais comum em software para consumidores emparelha uma senha (algo que você sabe) com uma OTP entregue via SMS ou gerada por um aplicativo autenticador (algo que você tem). Combinações menos comuns, mas mais fortes, incluem senha + chave de hardware (FIDO2 / WebAuthn) ou senha + notificação push.

A premissa de segurança do 2FA é que comprometer ambos os fatores simultaneamente é muito mais difícil do que comprometer um. Se um invasor conseguir a senha por phishing, ele ainda precisa de acesso físico ou remoto ao dispositivo de segundo fator do usuário. Se um invasor roubar um telefone, ele ainda precisa conhecer a senha.

Na prática, os canais de entrega 2FA variam amplamente em segurança real:

• OTP entregue por SMS é a opção mais fraca do mainstream. Ataques de SIM swap, interceptação SS7 e comprometimento do lado da operadora podem redirecionar o segundo fator para um invasor.
• TOTP via aplicativo autenticador (Google Authenticator, Aegis, 2FAS) é significativamente mais forte porque o código é gerado localmente em um dispositivo que o invasor não possui.
• 2FA baseado em push (Duo, Microsoft Authenticator) é conveniente, mas suscetível a ataques de fadiga de push, onde o usuário aprova acidentalmente uma solicitação maliciosa.
• Chaves de hardware (YubiKey, Feitian, SoloKey) são o segundo fator mais forte comumente disponível, oferecendo resistência a phishing através de desafios criptográficos vinculados à origem.

2FA não é o mesmo que MFA (autenticação multifator), que pode exigir três ou mais fatores. No uso casual, os termos frequentemente são intercambiáveis. 2FA também é distinto de verificação em dois passos, que historicamente se referia a processos em dois passos que podem usar o mesmo fator duas vezes (como uma senha seguida de um código enviado por email), embora essa distinção tenha se dissolvido no uso moderno.

Apesar de suas fraquezas, ativar 2FA em contas importantes reduz dramaticamente a taxa de sucesso de ataques oportunistas. Estudos da indústria relatam consistentemente que 2FA bloqueia bem mais de 99 por cento das tentativas automatizadas de preenchimento de credenciais.