Uma senha forte é necessária, mas não é suficiente. Mesmo uma senha de 16 caracteres com números, símbolos e maiúsculas pode ser comprometida por phishing, vazamento de dados anterior, ou credential stuffing. A solução é autenticação multifator (MFA): exigir não apenas algo que você sabe (sua senha), mas também algo que você possui (um dispositivo) ou algo que você é (biometria).
Os Três Fatores de Autenticação
A segurança em profundidade repousa em múltiplos fatores. A NIST (National Institute of Standards and Technology) define três:
1. Algo que você sabe (Knowledge)
- Senha mestre
- PIN de segurança
- Resposta a pergunta secreta
2. Algo que você possui (Possession)
- Smartphone com app authenticator (TOTP)
- Chave de segurança USB (U2F/FIDO2)
- Cartão de código de recuperação
- Token físico gerador de códigos
3. Algo que você é (Inheritance)
- Impressão digital (biometria)
- Reconhecimento facial
- Reconhecimento de íris
MFA forte requer pelo menos dois fatores de diferentes categorias. Senha + pergunta secreta não é MFA (ambas são conhecimento). Senha + TOTP é MFA (conhecimento + posse).
SMS 2FA vs TOTP: Por Que SMS Não é Seguro
Muitas organizações ainda usam SMS para 2FA. É melhor que nada, mas é fraco:
Vulnerabilidades do SMS 2FA
- SIM swapping: Criminoso suborna funcionário de telecom, transfere seu número para SIM card malicioso. Recebe códigos SMS destinados a você.
- Interceptação de rede: Redes móveis não foram projetadas para sigilo de mensagens individuais.
- Malware em celular: Worms lêem SMS automaticamente.
- Dependência de conectividade: Sem sinal, não recebe o código.
A NIST desencoraja SMS 2FA desde 2016 em favor de métodos mais robustos.
TOTP: Time-Based One-Time Password
TOTP é o padrão RFC 6238. Funciona assim:
- Você escaneia um QR code com seu authenticator (Google Authenticator, Authy, Microsoft Authenticator)
- Uma chave secreta compartilhada é armazenada no seu dispositivo (nunca viaja pela rede)
- A cada 30 segundos, o app gera um novo código de 6 dígitos usando HMAC-SHA1(chave secreta, timestamp)
- Você digita o código. O servidor valida: calcula o mesmo código para o tempo atual. Se combinar, está autenticado.
Por Que TOTP é Seguro
- Offline: Não depende de conectividade. Funciona em avião, em prédio sem sinal.
- Sem servidor: A chave secreta nunca transita. Gerada localmente no seu dispositivo.
- Janela de tempo: O código expira em 30 segundos. Mesmo se alguém visse o código na sua tela, seria inútil 30 segundos depois.
- Algoritmo padrão: RFC 6238. Não é proprietário ou fraco.
- Suporta backup: Códigos de recuperação permitem acesso mesmo se perder o dispositivo.
Segurança das Chaves Físicas (FIDO2/U2F)
Melhor que TOTP são chaves de segurança físicas como YubiKey ou Titan:
- Imune a phishing: A chave só assina se o domínio bate (verifica origem)
- Sem códigos a digitar: Conecta via USB-C ou NFC, toca e pronto
- Criptografia assimétrica: Servidor nunca vê a chave privada
Para ambientes corporativos críticos, duas chaves FIDO2 por usuário (uma primária, uma backup) é o padrão ouro.
Implementação em AppCofre
AppCofre oferece MFA robusto:
TOTP Configurável
Usuários ativam TOTP durante setup:
- QR code gerado server-side
- Escaneia com Google Authenticator, Authy, ou Microsoft Authenticator
- 6 códigos de recuperação de 8 caracteres armazenados (encriptados)
- Após ativação, TOTP é obrigatório a cada login
Rate Limiting + Lockout
Mesmo com TOTP, ataque de força bruta em códigos é teórico (60 combinações possíveis a cada 30s). AppCofre adiciona:
- Máximo 3 tentativas de TOTP inválido
- Bloqueio de 15 minutos após 3 falhas
- Logging de todas as tentativas
Recuperação Segura
Se você perder o dispositivo TOTP:
- Use um código de recuperação (previamente armazenado, encriptado)
- Código de recuperação é válido apenas uma vez
- Após uso, é marcado como consumido. Regenerar requer senha mestre.
MFA para Equipes Corporativas
Recomendação para empresas:
- Obrigatório para todos: MFA não é opcional. Qualquer conta sem MFA é porta aberta.
- TOTP como padrão: Simples de implementar. Todos têm smartphone.
- Chaves FIDO2 para admin: Contas de privilégio escalonado requerem hardening máximo.
- Backup codes em cofre físico: Se todos perdessem o dispositivo TOTP, códigos de recuperação armazenados em cofre permitiriam recuperação.
- Educação:**Treinar usuários que MFA não é incômodo, é escudo contra 99% dos ataques.
Conclusão
MFA não é opcional em 2026. Senhas sozinhas oferecem segurança de porta de vidro. Implemente TOTP para sua organização imediatamente. Para contas críticas, exija chaves de segurança físicas. O custo é negligenciável comparado ao custo de uma violação de dados.