Autenticação 2FA:
elimine o risco de acesso não autorizado de uma vez por todas
Implementação de autenticação de dois fatores em WordPress, cPanel, SSH, email e outras plataformas críticas. Mesmo que a password seja comprometida num data breach, o atacante fica bloqueado — sem o segundo fator, não entra.
Tudo o que recebe na implementação de 2FA
Implementação completa com configuração técnica, processo de recuperação e formação da equipa — para que o 2FA funcione sem criar fricção desnecessária no dia a dia.
Passwords comprometidas são mais comuns do que pensa
Data breaches acontecem diariamente. As passwords das vossas contas podem já estar em bases de dados de hackers — e vocêm não saber.
Billiões de passwords expostas
Bases de dados como HaveIBeenPwned contêm mais de 12 mil milhões de credenciais roubadas em data breaches. A probabilidade de uma password antiga da vossa equipa estar exposta é significativa.
Passwords reutilizadas
A maioria das pessoas reutiliza passwords em múltiplos serviços. Uma password comprometida num site sem importância pode ser usada para aceder ao vosso WordPress ou cPanel.
Credential stuffing automatizado
Ferramentas automatizadas tentam milhões de combinações de credenciais comprometidas em sites populares. O processo é completamente automatizado e afeta todos os sites, independentemente do tamanho.
2FA bloqueia 99%+ dos ataques
Com 2FA ativo, mesmo que o atacante tenha a password correta, não consegue entrar sem o segundo fator. A eficácia é estimada em 99%+ de bloqueio de ataques de credential stuffing e brute force.
Email: a chave-mestra de tudo
Quem controla o email controla tudo — resets de password, acesso a outros serviços, comunicações com clientes. 2FA no email é a medida de maior impacto por menor esforço.
Requisito RGPD e seguros
Seguros de cibersegurança e auditorias RGPD questionam cada vez mais a ausência de 2FA. Implementar agora é mais simples do que justificar a ausência após um incidente.
Sabe quantas contas críticas da sua empresa não têm 2FA ativo?
A maioria das empresas tem pelo menos uma conta crítica vulnerável. Implementamos 2FA em todas as plataformas relevantes numa única intervenção.
Da auditoria à implementação — sem fricção para a equipa
Processo desenhado para que a transição para 2FA seja simples para todos os membros da equipa, sem bloquear acessos no processo.
Mapeamento de plataformas
Identificamos todas as plataformas com acesso a sistemas críticos: WordPress, hosting, email, DNS, registos de domínio, Cloudflare, etc. Priorizamos por impacto de um compromisso.
Definição do método 2FA
Recomendamos o método mais adequado para cada plataforma e perfil de utilizadores: TOTP (Google Authenticator, Authy) para a maioria dos casos, hardware keys (YubiKey) para acessos mais críticos.
Configuração técnica
Implementamos 2FA em cada plataforma, configuramos os códigos de backup, testamos o processo de login e verificamos que o acesso de emergência está documentado e seguro.
Onboarding da equipa
Sessão de formação para toda a equipa: como instalar a app, como registar cada conta, onde guardar códigos de backup e o que fazer se perderem o dispositivo.
Documentação e política
Entregamos documentação completa da política de autenticação, procedimentos de recuperação e guia de onboarding para novos membros da equipa.
Implementação que funciona para toda a equipa — sem excusão de "é muito complicado"
2FA só é eficaz se toda a equipa o usar. O nosso foco é tanto na configuração técnica como na adoção pela equipa.
Foco na adoção pela equipa
Não apenas configuramos — garantimos que toda a equipa sabe usar 2FA corretamente, percebe a importância e não encontra desculpas para não o usar no dia a dia.
Processo de recuperação robusto
O maior risco do 2FA é perder o acesso ao segundo fator. Documentamos e testamos sempre o processo de recuperação para que nunca fiquem bloqueados fora dos vossos sistemas.
Todas as plataformas numa intervenção
Em vez de implementar 2FA plataforma a plataforma ao longo de meses, tratamos de todas as plataformas críticas numa única intervenção estruturada.
Documentação para onboarding futuro
O guia que entregamos inclui o processo de configurar 2FA para novos membros da equipa — para que a política se mantenha mesmo quando a equipa cresce.
Método adequado a cada contexto
Não recomendamos o mesmo método para todos. TOTP, SMS, email ou hardware keys — selecionamos o que melhor equilibra segurança e conveniência para cada plataforma e equipa.
Suporte pós-implementação
Se um utilizador tiver problemas com 2FA após a implementação, estamos disponíveis para ajudar rapidamente — para que o 2FA não se torne num obstáculo ao trabalho.
Dúvidas sobre Autenticação de Dois Fatores
O que é a autenticação de dois fatores e porque é tão importante?
A autenticação de dois fatores (2FA) adiciona uma segunda camada de verificação além da password: um código temporário gerado num dispositivo físico (telemoóvel ou chave de hardware). Mesmo que a password seja roubada num data breach, o atacante não consegue aceder sem o segundo fator. Estima-se que 2FA bem implementado bloqueia mais de 99% dos ataques de takeover de contas.
Em que plataformas podem implementar 2FA?
Implementamos 2FA em: WordPress (painel de administração e login de clientes), cPanel e WHM, Plesk, SSH (chaves e TOTP), contas de email (Google Workspace, Microsoft 365, Zoho), plataformas de e-commerce, painéis de hosting, Cloudflare e praticamente qualquer plataforma que suporte TOTP (Time-based One-Time Password) ou FIDO2/WebAuthn.
Qual a diferença entre 2FA por SMS e por app (TOTP)?
2FA por SMS é melhor do que nada, mas vulnerável a ataques de SIM swapping onde o atacante transfere o vosso número para um cartão diferente. TOTP (códigos gerados em app como Google Authenticator, Authy ou 1Password) é significativamente mais seguro porque funciona offline e não depende de carriers de telecomunicações. Para sistemas críticos, recomendamos sempre TOTP ou chaves de hardware (YubiKey).
E se um utilizador perder o acesso ao dispositivo 2FA?
Uma parte crítica da implementação de 2FA é o processo de recuperação. Configuramos sempre: códigos de backup guardados em local seguro, procedimento documentado para reset de 2FA que inclui verificação de identidade adequada, e (para equipas) múltiplos dispositivos registados para utilizadores críticos. Um bom sistema de recuperação é essencial para que o 2FA não se torne num ponto de falha.
O 2FA é obrigatório para cumprir o RGPD?
O RGPD não exige explicitamente 2FA, mas exige "medidas técnicas e organizativas adequadas" para proteger dados pessoais. Para sistemas que processam dados pessoais de clientes, a ausência de 2FA em contas de administrador pode ser considerada uma medida inadequada por auditores RGPD — especialmente após um incidente de segurança.