Autenticação por SMS, apps ou passkeys: qual é mais segura?
Quase todo mundo já recebeu um código por SMS para confirmar um login. Esse método, chamado de autenticação em dois fatores (2FA), foi um grande avanço em relação à senha isolada, mas está longe de ser perfeito. Golpistas desenvolveram técnicas específicas para interceptar ou roubar esses códigos, e é por isso que bancos, redes sociais e serviços de e-mail vêm empurrando alternativas mais robustas, como aplicativos autenticadores e passkeys. Entender as diferenças ajuda a proteger suas contas de forma muito mais eficaz.
Por que o SMS é o elo mais fraco
O código por SMS depende do número de telefone, e o número de telefone pode ser sequestrado. As duas fraudes mais comuns são:
- Troca de SIM (SIM swap): o golpista convence a operadora, com dados pessoais obtidos previamente, a transferir seu número para um chip sob controle dele. A partir daí, todos os códigos de verificação chegam para o criminoso.
- Phishing em tempo real: uma página falsa (de banco, e-mail ou rede social) pede login e senha e, em seguida, pede o código recebido por SMS. A vítima digita o código no site falso, e o golpista o usa imediatamente no site verdadeiro.
Além disso, o SMS pode ser interceptado por falhas em redes de telefonia, e a própria mensagem pode ser lida por qualquer pessoa com acesso físico ou remoto ao aparelho, inclusive por meio de notificações exibidas na tela bloqueada.
Apps autenticadores: um passo além
Aplicativos autenticadores geram códigos numéricos diretamente no seu celular, sem depender da rede da operadora. Como o código não trafega por SMS, ele não pode ser interceptado por troca de SIM. Ainda assim, esse método não é imune a tudo: se você digitar o código em um site falso durante um ataque de phishing em tempo real, o golpista ainda pode usá-lo em poucos segundos.
Por isso, apps autenticadores são uma melhoria real, mas continuam vulneráveis a golpes bem cronometrados. A vantagem principal é eliminar o risco ligado ao número de telefone em si.
Passkeys: o modelo mais resistente a phishing
Passkeys são uma tecnologia mais recente que substitui senha e código por um par de chaves criptográficas armazenadas no dispositivo. Ao fazer login, o celular ou computador confirma sua identidade (por biometria ou PIN local) e autentica a sessão sem transmitir nenhum código ou senha pela internet.
Isso torna as passkeys naturalmente resistentes a phishing: como não existe um código para digitar em outro lugar, um site falso não consegue capturar nada útil. É, hoje, a opção mais segura entre as três, embora ainda esteja em fase de adoção crescente por bancos e grandes plataformas.
Comparando os três métodos
- SMS: fácil de usar, mas vulnerável a troca de SIM e phishing em tempo real.
- App autenticador: mais seguro que SMS, elimina o risco da operadora, mas ainda pode ser burlado por phishing bem feito.
- Passkey: a opção mais resistente, pois não existe código para roubar.
Como proteger suas contas hoje
Você não precisa trocar tudo de uma vez, mas alguns passos reduzem bastante o risco:
- Ative a autenticação em dois fatores em todas as contas importantes: e-mail, banco, redes sociais.
- Prefira app autenticador ou passkey em vez de SMS sempre que o serviço oferecer essa opção.
- Nunca informe um código de verificação por telefone, chat ou site que você não tenha certeza de que é oficial. Nenhum atendente legítimo pede esse código.
- Guarde os códigos de recuperação (backup codes) em local seguro, fora do celular, para não perder o acesso caso troque de aparelho.
- Configure um bloqueio adicional junto à operadora contra troca de SIM, se esse recurso estiver disponível.
- Desative a exibição de notificações completas na tela bloqueada do celular, para que códigos não fiquem visíveis a qualquer pessoa.
Sinais de que algo está errado
Fique atento a estes indícios de possível fraude em andamento:
- Seu celular perde sinal de repente e não volta, sem motivo aparente — pode indicar troca de SIM em curso.
- Você recebe um código de verificação sem ter solicitado nenhum login.
- Alguém liga se passando pela operadora, pelo banco ou por suporte técnico pedindo para você ler um código em voz alta.
Se perceber qualquer um desses sinais, contate imediatamente sua operadora e seu banco pelos canais oficiais (o número impresso no cartão ou no site oficial, nunca um número recebido por mensagem) e troque as senhas das contas afetadas assim que possível.
Nenhum método de autenticação é infalível, mas migrar do SMS para apps autenticadores ou passkeys, sempre que disponível, é uma das mudanças mais simples e eficazes para reduzir o risco de ter uma conta invadida.
Últimos comentários
Todos →Мошенники хотят код от карты!
*** ебанное
М. Харків, Чоловік назвався на імя Юра, він шахрай, тримає дівчаток для утіх чих-пих, фото на сайті зовсім інші, приїзж…
Машенник.Харьков. Псевдомастер пневмоподвески. Берёт машину на обслуживание специально что-то в ней ломает или меняет н…
Эти жильцы Юля и Сергей не заплатили долг за 2 месяца аренды квартиры, после чего сбежали без расчёта. Квартира и имуще…