>smsactivator.io

auth

OTP (Senha Única)

Also known as: código único, código de verificação, OTC

Uma senha curta e de uso único gerada para uma única tentativa de autenticação, normalmente com 4 a 8 dígitos, usada como segundo fator ou confirmação fora da banda.

Uma OTP (senha única) é uma string de autenticação curta que é válida para exatamente um login ou transação. Depois de ser usada ou após expirar uma janela de tempo curta, não pode ser reutilizada. OTPs foram projetadas para mitigar o risco de reutilização de senhas e interceptação de credenciais: mesmo que a OTP seja capturada em trânsito, não tem valor uma vez consumida.

OTPs vêm em dois tipos principais. HOTP (HMAC-based One-Time Password, RFC 4226) gera códigos a partir de um contador incremental compartilhado entre o servidor e o cliente. A cada login bem-sucedido, o contador é incrementado, então os códigos são produzidos em uma sequência determinística mas não repetitiva. TOTP (Time-based One-Time Password, RFC 6238) substitui o contador pelo horário atual, dividido em janelas discretas de tipicamente 30 segundos. Ambos os esquemas usam um segredo compartilhado e HMAC-SHA1 (às vezes SHA256 ou SHA512) para derivar os dígitos visíveis do estado subjacente.

Na prática, a entrega de OTP acontece através de vários canais:

  • SMS: o servidor gera um código curto aleatório, envia pela rede da operadora, e o usuário o digita no formulário de login. Este é o canal mais comum e menos seguro.
  • Email: similar ao SMS mas entregue em uma caixa de entrada, mais lento e ligeiramente mais seguro.
  • App autenticador: código TOTP gerado localmente em um dispositivo usando um segredo trocado no registro.
  • Notificação push: um prompt de confirmação com um toque em um dispositivo registrado.
  • Token de hardware: um dispositivo dedicado (RSA SecurID, YubiKey) que exibe ou transmite o código.

OTPs são um bloco de construção de 2FA e autenticação de step-up. A segurança de um sistema OTP depende inteiramente do sigilo do material semente e da integridade do canal de entrega — uma OTP entregue via SMS para um número com SIM trocado não oferece proteção real. Códigos TOTP gerados localmente são mais fortes porque não há canal de entrega para interceptar.

Os padrões web modernos (WebAuthn, passkeys) estão gradualmente deslocando OTPs porque OTPs continuam vulneráveis a phishing: um usuário pode ser enganado a digitar sua OTP em uma página de login falsa, e um atacante pode reproduzi-la dentro da janela de validade. Apesar disso, OTP via SMS ou app autenticador continua sendo o padrão de facto para autenticação de segundo fator na web de consumidor em 2026.

Example

Digite a OTP de 6 dígitos que acabamos de enviar para seu telefone para concluir o login.

Termos relacionados

2fatotpsms