A verdade sobre 2FA, passkeys e códigos

A hierarquia de 2FA em 2026

Nem todo segundo fator é igual. A lacuna defensiva entre SMS 2FA e uma chave de segurança em hardware é aproximadamente a mesma que entre usar um PIN de quatro dígitos e usar uma senha de full-disk criptografada em hardware. Ambos são "segurança", mas protegem contra modelos de ameaça inteiramente diferentes.

Os cinco tiers, ranqueados

• Tier 5 — SMS 2FA. Melhor que nada, pior que quase qualquer outra opção. Vulnerável a ataques SIM-swap.
• Tier 4 — Email 2FA. Ligeiramente melhor que SMS porque contas de email são mais difíceis de comprometer que operadoras de celular.
• Tier 3 — TOTP via app authenticator (Google Authenticator, Authy). O tier mínimo aceitável para qualquer conta cripto.
• Tier 2 — 2FA baseado em push (Duo, Microsoft Authenticator push). Melhor que TOTP porque o prompt inclui contexto ("Sign-in de Lagos às 3 da manhã — aprovar?"). Vulnerável a ataques de "MFA fatigue".
• Tier 1 — Chave de segurança em hardware (YubiKey, Titan, SoloKey). O teto defensivo. A chave prova posse via challenge-response criptográfico.

A alocação prática

Para holders cripto em 2026, a alocação funcional é: tier 1 (YubiKey + passkey) no email e exchange primária; tier 2 ou 3 em exchanges secundárias; tier 3 ou mais alto em tudo o mais. SMS 2FA deve ser removido onde possível.

O lockdown no nível da operadora

Ligue para sua operadora — Vivo, Claro, TIM — e adicione um "PIN de port-out" ou "senha da conta". Esse é o segundo fator no próprio SIM-swap. Vale a ligação de 15 minutos.

O que muda depois de uma chave em hardware

Você vai se acostumar a carregar. Vai eventualmente comprar uma segunda como backup. Vai registrar as duas em cada conta importante. Aí o fluxo de recuperação fica assim: perder chave #1 — usar chave #2 — comprar substituta para chave #1 — re-registrar. O processo inteiro é mais calmo que qualquer outro modo de falha de 2FA.