A autenticacao de dois fatores (2FA) e um processo de login que requer duas provas independentes de identidade antes de conceder acesso a uma conta. O primeiro fator costuma ser algo que o usuario sabe (uma senha). O segundo fator e algo que o usuario tem (celular com app TOTP, chave hardware como YubiKey, codigo SMS, push) ou algo que o usuario e (digital, rosto). Mesmo se um atacante roubar a senha por phishing, vazamento ou credential stuffing, ele nao consegue entrar sem o segundo fator. O Google relatou em maio de 2019 que adicionar um numero de recuperacao bloqueia 100 por cento dos ataques automatizados, 99 por cento do phishing em massa e 90 por cento dos ataques direcionados. A Microsoft publicou em 2019 que contas com qualquer 2FA tem 99,9 por cento menos chance de comprometimento.
Como funciona 2FA?
- TOTP: codigo de 6 digitos a cada 30s (RFC 6238, 2011). Google Authenticator, Microsoft Authenticator, Authy, 1Password, Bitwarden.
- Push: Duo Mobile, Microsoft Authenticator, Okta Verify.
- SMS: vulneravel a SIM swap. NIST SP 800 63B Rev 3 desaconselha.
- Email.
- Chave hardware: YubiKey, Google Titan, Feitian, Nitrokey (FIDO U2F ou WebAuthn / FIDO2).
- Biometria: Touch ID, Face ID, Windows Hello.
- Codigos de backup.
Diferenca entre 2FA e MFA
MFA e o termo geral. 2FA usa exatamente dois fatores. PSD2 e a Ordem Executiva 14028 (maio 2021) exigem tres fatores em casos privilegiados.
Qual e o mais seguro?
- Passkeys / WebAuthn / FIDO2 hardware: resistente a phishing por design.
- Apps TOTP: forte, offline, gratis.
- Push: risco de MFA fatigue, usado no incidente Uber 2022.
- SMS: o mais fraco. Vitimas como Jack Dorsey (agosto 2019).
- Email.
O que sao Passkeys?
Evolucao sem senha do WebAuthn padronizada pela FIDO Alliance e suportada por Apple (iOS 16, setembro 2022), Google (Chrome 108, outubro 2022) e Microsoft (Windows 11). Chave privada num enclave seguro, login por biometria, imune a phishing. WordPress via plugins como Two Factor ou Passkeys for WordPress (2024).
Como ativar 2FA no WordPress?
- Two Factor (gratis, mais de 40.000 instalacoes).
- Wordfence Login Security (gratis).
- WP 2FA da Melapress.
- miniOrange Google Authenticator.
- Jetpack.
Passos com Two Factor:
- Instale e ative pelo painel.
- Abra
Usuarios » Perfile ache Two Factor Options. - Ative TOTP, escaneie o QR, insira o codigo e salve.
- Gere codigos de backup e guarde.
- Opcionalmente registre uma YubiKey.
- Saia e teste.
MFA fatigue
- Use TOTP ou chave hardware em contas criticas.
- Ative number matching (Microsoft Authenticator desde fevereiro 2023).
- Bloqueie apos varias recusas.
- Eduque os usuarios.
Padroes que regem 2FA
| Padrao | Ano | Proposito |
|---|---|---|
| RFC 4226 HOTP | 2005 | OTP baseado em contador |
| RFC 6238 TOTP | 2011 | OTP baseado em tempo |
| FIDO U2F | 2014 | Chave hardware como segundo fator |
| FIDO2 / WebAuthn | 2019 | Login sem senha |
| NIST SP 800 63B Rev 3 | 2017 | Diretriz federal EUA |
| PSD2 SCA | 2019 | Autenticacao forte em pagamentos |
| Passkeys | 2022 | WebAuthn sincronizado |
Erros comuns
- Guardar codigos de backup junto com a senha.
- Mesma SIM para SMS 2FA e email de recuperacao.
- Sem segunda chave hardware de backup.
- Reset de senha por email sem exigir 2FA.
- Nao forcar 2FA em administradores.
Como o InspectWP ajuda?
InspectWP detecta se o site WordPress expoe /wp-login.php sem desafio 2FA.