Acabei de perceber que muitos de vocês ainda não entendem bem o que é um authenticator e porque é tão importante. Hoje vou partilhar a minha experiência com o Google Authenticator — a ferramenta de segurança que uso para todas as contas importantes.

O Google Authenticator é, simplesmente, uma aplicação de autenticação de dois fatores (2FA) no seu telemóvel. Ele gera códigos de 6-8 dígitos que mudam a cada 30 segundos, funciona totalmente offline, sem necessidade de internet. O que é que é tão bom num authenticator? Ele ajuda-o a ter uma segunda camada de segurança, para além da palavra-passe, ao iniciar sessão ou levantar fundos.

Uso-o para quase tudo — desde o Gmail, as exchanges de criptomoedas, até ao Dropbox. O mais incrível é que a aplicação é totalmente gratuita e muito fácil de utilizar. Mesmo quando não há internet, os códigos continuam a ser gerados normalmente, porque se baseiam no tempo do dispositivo.

A forma como funciona é bastante simples. O Google Authenticator utiliza o algoritmo TOTP, combinando o tempo atual com uma chave secreta partilhada entre a aplicação e o serviço que ativa. Graças a isso, o código só é válido por um período curto e não pode ser reutilizado.

O principal benefício é um aumento significativo da segurança. Mesmo que um atacante saiba a sua palavra-passe, não consegue aceder à conta sem o código do authenticator — que é uma ferramenta que só você possui. Como o código muda continuamente, phishing ou keylogging tornam-se inúteis. Fico particularmente tranquilo ao saber que, mesmo que o telemóvel se perca, desde que a chave secreta seja guardada, ainda é possível recuperar.

O processo de configuração também não é complicado. Primeiro, descarrega a aplicação na App Store (iOS) ou Google Play (Android). Depois, vá à secção de segurança do serviço que quer proteger, selecione Google Authenticator, faça a leitura do código QR com a aplicação ou introduza a chave manualmente. Pronto. Sempre que precisar de iniciar sessão ou realizar uma transação sensível, basta abrir a aplicação e inserir o código atual.

Mas há alguns pontos a ter em conta. Se não fizer backup da chave secreta ou dos códigos de recuperação, a recuperação da conta pode tornar-se muito complexa. Já aconteceu com amigos meus: perderam o telemóvel e não guardaram backup; tiveram de contactar o suporte e demoraram uma semana inteira a verificar a identidade. Além disso, se o horário no telemóvel estiver incorreto, o código não funciona.

Dica baseada na minha experiência: faça sempre backup da chave secreta ou do código QR num local seguro (USB, papel), guarde o código de recuperação quando ativar a 2FA, certifique-se de que o horário do telemóvel está definido automaticamente e proteja o telemóvel com palavra-passe ou biometria. Quando mudar de telemóvel, utilize a funcionalidade Transfer Accounts no Android para transferir a conta sem precisar de código QR.

Comparado com outras aplicações de 2FA, o Google Authenticator tem a vantagem da simplicidade e do funcionamento offline. O Authy tem cópia de segurança na nuvem, mas precisa de ligação à internet para sincronizar. O Microsoft Authenticator integra-se bem com contas Microsoft, mas a interface é mais complexa. Se valoriza a segurança offline e não quer complicações, o Google Authenticator é a escolha perfeita.

Resumindo, o que é um authenticator? É uma ferramenta poderosa para proteger a sua conta. Especialmente no domínio das criptomoedas, onde os ataques são muito comuns, ter 2FA é obrigatório. Recomendo que faça download hoje mesmo e ative em todas as contas importantes. Acredite em mim, esta tranquilidade não tem preço.