O 2FA costuma ser tratado como uma chave única no painel da Binance, da Mercado Bitcoin ou do Coinbase, mas a verdade é que existem quatro andares diferentes morando debaixo dessa mesma sigla. Habilitar SMS e habilitar uma YubiKey são gestos que somam pontos iguais na lista de configuração — só que a espessura do cadeado entre os dois difere em duas ordens de grandeza. Antes de tocar em qualquer carteira, vale entender em qual andar você está.
Os quatro andares na prática
O primeiro andar é o SMS. Você recebe um código de seis dígitos por mensagem e digita no login. É o método mais difundido no Brasil porque qualquer operadora — Vivo, Claro, Tim ou Oi — entrega. Também é o mais fraco: um ataque de SIM Swap em uma loja terceirizada de Belo Horizonte ou Curitiba já basta para esvaziar a conta. O segundo andar é o TOTP, aquele código rotativo de 30 segundos do Google Authenticator, Authy ou 1Password. A semente fica no seu aparelho, melhor do que SMS, mas ainda é um número de seis dígitos que um site falso bem montado retransmite em tempo real para o site verdadeiro.
O terceiro andar é a chave física FIDO2 — YubiKey, SoloKey, Token2. O navegador só aceita a assinatura quando o domínio bate, então uma página clonada de binnance.com simplesmente trava. O quarto andar é a Passkey, protocolo idêntico, sem hardware extra: o próprio iPhone ou Android guarda a chave, sincronizando via iCloud Keychain ou Google Password Manager.
O que cada andar realmente bloqueia
Contra phishing com proxy em tempo real, só o terceiro e o quarto andar resistem. SMS e TOTP repassam o código ao atacante em segundos. Contra SIM Swap, qualquer coisa acima do SMS já basta — a chave do SMS está no atendente da operadora, não na sua mão.
Como decidir hoje
Se a sua carteira na exchange soma menos de cinco dígitos em BRL, comece pelo TOTP e imprima os códigos de backup numa folha guardada em casa. Acima disso, migre para YubiKey 5C NFC (cerca de R$ 350 importada) ou Passkey — compre dois dispositivos, deixe um na gaveta como reserva. Para qualquer faixa de valor, desligue hoje o SMS: a chave dele não pertence a você.