Quando se trata de proteger suas senhas e dados sensíveis, nem todos os métodos de autenticação de dois fatores (2FA) são criados de forma igual. Muitos serviços ainda oferecem 2FA baseada em SMS, mas plataformas conscientes de segurança como a Psono evitam completamente em favor de opções mais fortes como WebAuthn, YubiKey e TOTP (senhas de uso único baseadas em tempo).

Isso não é apenas uma preferência — é uma necessidade para uma segurança robusta. 2FA baseada em SMS tem vulnerabilidades significativas, e ataques do mundo real provaram que é um alvo fácil para hackers. Neste post do blog, vamos explicar por que a 2FA por SMS é fraca e destacar ataques do mundo real que demonstram suas falhas.

🔒 A Fraqueza da 2FA Baseada em SMS

A autenticação baseada em SMS é vulnerável a diversos métodos de ataque, incluindo:

  • Troca de SIM – Os atacantes enganam as operadoras de celular fazendo a transferência do número de telefone da vítima para um novo SIM, interceptando todos os códigos SMS.
  • Ataques SS7 – Explorando falhas no protocolo global Signalization System No. 7 (SS7) para interceptar mensagens SMS remotamente.
  • Phishing & Engenharia Social – Enganando usuários para que revelem códigos SMS por meio de páginas de login falsas.

Esses riscos tornam a 2FA baseada em SMS uma das formas mais fracas de autenticação.

🛡️ Por que a Psono Usa 2FA Mais Forte

A Psono prioriza a segurança e só suporta métodos de 2FA robustos, incluindo:

  • WebAuthn (FIDO2) – Usa criptografia de chave pública e biometria ou chaves de segurança de hardware (ex.: YubiKey).
  • YubiKey & Outras Chaves de Segurança – Tokens físicos que exigem acesso direto para autenticar.
  • TOTP (Google Authenticator, Authy, etc.) – Senhas temporárias geradas em um dispositivo em vez de transmitidas via SMS.

Esses métodos são significativamente mais seguros porque são resistentes a phishing, não dependem de operadoras de celular e eliminam riscos de invasão remota.

📢 Ataques do Mundo Real em 2FA por SMS

Para ilustrar por que a Psono se recusa a implementar autenticação baseada em SMS, aqui estão ataques do mundo real que exploraram suas fraquezas:

1. Alvo da China em Telecomunicações dos EUA (Exploits SS7 e Mais)

Em fevereiro de 2024, o FBI e o CISA emitiram um aviso conjunto sobre hackers patrocinados pelo estado chinês que miravam redes de telecomunicações comerciais. Esses ataques exploraram vulnerabilidades no SS7 — o protocolo usado para rotear mensagens SMS. Os atacantes conseguiram interceptar mensagens de autenticação, demonstrando como a 2FA por SMS pode ser comprometida em nível sistêmico.

2. Ataque de Troca de SIM no CEO do Twitter (X), Jack Dorsey (2019)

Em 2019, o CEO do Twitter na época, Jack Dorsey, teve sua conta sequestrada por um ataque de troca de SIM. Hackers convenceram sua operadora de celular a transferir seu número de telefone para o cartão SIM deles, permitindo que interceptassem códigos SMS de 2FA e assumissem o controle de sua conta do Twitter.

3. Ataques de Troca de SIM na Coinbase (2021) – Milhares de Dólares Roubados

Em 2021, a Coinbase revelou que mais de 6.000 clientes perderam fundos devido a um ataque massivo de troca de SIM. Hackers redefiniram senhas das vítimas usando códigos SMS interceptados, obtendo controle total sobre as contas e roubando criptomoedas.

4. Violação de Dados do Reddit em 2018 – 2FA por SMS Falhou

Em 2018, o Reddit sofreu uma violação de dados onde hackers acessaram contas de funcionários, apesar da 2FA baseada em SMS estar habilitada. Atacantes usaram códigos SMS interceptados para contornar a autenticação, expondo dados sensíveis dos usuários.

🚀 O Futuro da 2FA: Vá Além do SMS

Se você ainda está usando 2FA baseada em SMS, é hora de mudar para uma alternativa mais forte como WebAuthn, YubiKey ou autenticação baseada em TOTP. O compromisso da Psono com a segurança significa que não comprometerá oferecendo autenticação baseada em SMS.

Quer ficar seguro? Use chaves de segurança de hardware, aplicativos de TOTP ou autenticação biométrica — nunca confie apenas na autenticação baseada em SMS.

Proteja suas contas da maneira correta—abandone a 2FA por SMS!

Perguntas Frequentes Sobre Autenticação de Segundo Fator (2FA)

O que é Autenticação de Dois Fatores (2FA) e por que é importante?

A Autenticação de Dois Fatores (2FA) é uma camada extra de segurança que requer duas formas de autenticação antes de conceder acesso a uma conta. Em vez de usar apenas uma senha, você também precisa de um segundo fator, como:

  • Um código de uso único de um aplicativo autenticador (TOTP)
  • Uma chave de segurança de hardware (ex.: YubiKey, Chave de Segurança Titan)
  • Autenticação biométrica (impressão digital, reconhecimento facial)

Isso reduz significativamente o risco de acesso não autorizado, mesmo que um invasor obtenha sua senha.

Quais são os tipos mais fortes de 2FA?

Os fatores secundários mais seguros são aqueles que são resistentes a phishing e não podem ser facilmente interceptados. Estes incluem:

  • Chaves de segurança FIDO2/WebAuthn (ex.: YubiKey, Chave de Segurança Titan)
  • Aplicativos de autenticação baseados em TOTP (Google Authenticator, Authy, Aegis)
  • Passkeys (autenticação sem senha usando biometria ou chaves de segurança de hardware)

Métodos mais fracos (a serem evitados):

  • 2FA baseada em SMS – Susceptível a ataques de troca de SIM e exploits de SS7
  • 2FA baseada em email – Pode ser comprometida se seu email for hackeado

Por que 2FA baseada em SMS é considerada insegura?

A 2FA baseada em SMS é vulnerável a vários métodos de ataque, como:

  • Ataques de Troca de SIM – Hackers enganam sua operadora de celular para transferir seu número para o SIM deles, permitindo que recebam seus códigos de 2FA.
  • Exploits de SS7 – Atacantes interceptam mensagens SMS explorando vulnerabilidades na infraestrutura de telecomunicações.
  • Ataques de Phishing – Sites falsos enganam usuários para que insiram seus códigos SMS, permitindo que os atacantes façam login.

🔹 Melhores alternativas: Use chaves de segurança de hardware ou aplicativos de TOTP em vez de 2FA por SMS.

O que acontece se eu perder meu segundo fator (ex.: telefone, YubiKey)?

Se você perder o acesso ao seu segundo fator, poderá recuperar sua conta por:

  1. Usando códigos de backup – Muitos serviços fornecem códigos de backup de uso único ao configurar a 2FA. Armazene-os com segurança.
  2. Usando um dispositivo de backup – Alguns aplicativos autenticadores permitem que múltiplos dispositivos armazenem códigos TOTP.
  3. Entrando em contato com o suporte – Alguns serviços oferecem recuperação de conta, mas isso pode ser lento e requer prova de identidade.
  4. Usando uma segunda chave de hardware – Se seu serviço permitir, registre várias chaves de segurança (primária + backup).

🔹 Dica profissional: Sempre configure múltiplos métodos de autenticação caso um falhe.

Hackers podem contornar a 2FA?

Embora a 2FA melhore significativamente a segurança, alguns métodos podem ser contornados com ataques avançados:

🚨 Métodos comuns de ataque:

  • Ataques de phishing – Páginas de login falsas enganam usuários para que insiram tanto a senha quanto o código de 2FA.
  • Ataques Man-in-the-Middle (MitM) – Interceptação de tokens de autenticação em redes inseguras.
  • Troca de SIM – Redirecionando códigos SMS para o telefone de um atacante.

Como prevenir isso:

  • Use autenticação resistente a phishing (WebAuthn, passkeys, chaves de segurança).
  • Habilite autenticação vinculada ao dispositivo (assim os tokens não podem ser reutilizados remotamente).
  • Tenha cuidado com páginas de login suspeitas – Sempre verifique URLs antes de inserir credenciais.
escrito por Sascha Pfeiffer em February 12, 2025
Documentação do Psono

Procurando por mais?

Confira nossos artigos mais recentes aqui!