Autenticação de 2 fatores: como ativar a verificação em duas etapas no WhatsApp, Instagram, Google e Gov.br (Reprodução/Shutterstock)
Colaboradora
Publicado em 13 de julho de 2026 às 17h20.
A senha sozinha já não basta para proteger uma conta digital. Vazamentos de dados expõem bilhões de credenciais por ano, e golpes de phishing reproduzem perfis capazes de enganar até os usuários mais experientes. A autenticação de dois fatores (2FA) surgiu para adicionar uma segunda prova de identidade no momento do login — segundo a Microsoft, contas com esse recurso ativo bloqueiam mais de 99% dos ataques. A ativação leva poucos minutos e está disponível na maioria dos serviços usados no dia a dia.
A autenticação de dois fatores adiciona duas categorias de verificação para liberar o acesso a uma conta. A primeira é algo que o usuário sabe, como a senha. A segunda pode ser algo que ele possui — o celular com um app autenticador, por exemplo — ou algo que ele é, como a impressão digital.
No fluxo de login com 2FA, o usuário digita e-mail e senha, e o serviço solicita um código de seis dígitos gerado por app, enviado por SMS ou aprovado por notificação push. Sem esse segundo passo, o acesso é bloqueado, mesmo que a senha esteja correta.
Apps autenticadores como Google Authenticator, Microsoft Authenticator e Authy geram códigos que expiram a cada 30 segundos e não dependem da operadora de celular. São a opção recomendada para a maioria dos usuários.
Chaves de segurança físicas (como a YubiKey, do padrão FIDO2) oferecem proteção ainda maior, mas exigem um dispositivo USB ou NFC dedicado.
O SMS é o método mais difundido, mas também o mais vulnerável. No Brasil, golpes de SIM swap (clonagem de chip) permitem que criminosos transfiram o número da vítima para outro aparelho e passem a receber os códigos de verificação.
A conta Microsoft centraliza o acesso ao Outlook, OneDrive, Microsoft 365 e demais serviços da empresa. A ativação da 2FA é feita pelo navegador, e o app Microsoft Authenticator funciona como segundo fator:
No WhatsApp, o recurso se chama Confirmação em duas etapas e funciona com um PIN de seis dígitos criado pelo próprio usuário:
O WhatsApp solicita esse PIN de forma periódica e sempre que o número for registrado em um novo aparelho.
O Instagram usa a Central de Contas da Meta para gerenciar a verificação em duas etapas, o que permite aplicar a mesma configuração ao Facebook:
A Conta Google protege o acesso ao Gmail, YouTube, Google Drive e aos demais serviços vinculados ao login:
O Google também permite registrar um número de telefone como método reserva e gera códigos de backup para situações de emergência.
A conta Gov.br dá acesso a mais de 4.500 serviços federais, do Imposto de Renda ao Meu INSS. Em fevereiro de 2026, 50 milhões de brasileiros já usavam a verificação em duas etapas na plataforma. Para ativar, é necessário ter uma conta de nível Prata ou Ouro:
A partir da ativação, todo login no Gov.br exige um código gerado dentro do próprio app.
A perda do aparelho é a principal preocupação de quem ativa o recurso. Para evitar o bloqueio da própria conta, duas providências reduzem o risco:
Serviços como o Gov.br também oferecem recuperação de conta via reconhecimento facial ou pela Carteira de Identidade Nacional (CIN).