Já há algum tempo que não vejo alguém perguntar detalhadamente sobre segurança de contas de troca. Hoje quero compartilhar sobre o Google Authenticator - a ferramenta que todos que fazem crypto deveriam usar, mas nem todos sabem como utilizá-lo corretamente.

Na verdade, uma senha forte não é suficiente. Os malfeitores de hoje são muito sofisticados - phishing, keylogging, ou até mesmo hacking direto de bases de dados. Por isso, a autenticação de dois fatores (2FA) tornou-se uma "barreira" indispensável, especialmente ao gerir ativos digitais.

O que é o Google Authenticator? Simplificando, é uma aplicação gratuita para telemóveis (iOS/Android) que gera códigos de 6-8 dígitos que mudam a cada 30 segundos. Este código funciona totalmente offline, sem necessidade de internet, baseado no algoritmo TOTP que combina o tempo do dispositivo e a chave secreta fornecida pelo serviço. Isto significa que, mesmo que alguém tenha a sua palavra-passe, não poderá fazer login sem este código.

Por que recomendo usá-lo? Porque é extremamente seguro. O código só dura 30 segundos, não pode ser reutilizado, e cada conta tem a sua própria chave secreta. Pode associar dezenas de contas de diferentes serviços - desde exchanges de criptomoedas, email, até outros aplicativos. A interface é fácil, sem custos, e o mais importante, funciona offline.

A utilização do authenticator não é complicada. Primeiro, descarregue a aplicação na App Store (iOS) ou Google Play (Android). Após instalar, abra e conceda permissão para aceder à câmara.

Depois, aceda às configurações de segurança da conta que deseja proteger (pode ser uma exchange ou algum serviço), procure a secção de autenticação de dois fatores, e escolha Google Authenticator em vez de SMS ou email. O serviço irá mostrar um código QR e uma chave secreta em texto - isto é extremamente importante, deve guardá-la num local seguro (USB, papel, ou armazenamento seguro). Se amanhã trocar de telemóvel sem esta chave, a recuperação será muito difícil.

De volta à aplicação, toque no símbolo de mais no canto inferior direito, escolha "Escanear código QR" e aponte a câmara para o código na tela. Ou, se preferir, escolha "Inserir chave de configuração", insira o nome da conta e a chave secreta, e confirme. Em poucos segundos, a aplicação irá mostrar um código de 6 dígitos que se atualiza continuamente.

Volte ao serviço, insira esse código na caixa solicitada, e confirme - pronto! A partir de agora, sempre que fizer login ou realizar transações importantes, precisará inserir o código do Authenticator.

Um ponto que quero reforçar: guarde sempre o (código de recuperação) que o serviço fornece. Este é o seu "salvador" caso perca o telemóvel ou apague a app. Sem ele, a recuperação pode levar semanas ou até ser impossível.

Algumas dicas rápidas: primeiro, assegure-se de que o relógio do telemóvel está configurado para definir automaticamente a hora - se estiver errado o fuso horário, o código não funcionará. Segundo, proteja o telemóvel com senha ou biometria, pois o Google Authenticator é a chave para acessar todas as suas contas importantes. Terceiro, evite tirar screenshots do código QR e guardá-los na cloud - é como deixar a chave de casa na rua.

Se trocar de telemóvel, o Android tem a funcionalidade "Transferir contas" (Transfer Accounts) para mover tudo de forma segura. No iPhone, será necessário escanear novamente o código QR ou inserir manualmente a chave secreta.

Comparado com outros apps 2FA como Authy ou Microsoft Authenticator, o Google Authenticator destaca-se pela simplicidade e funcionamento offline. Contudo, não possui proteção por senha na app, nem faz backup automático na cloud como o Authy. Cada um tem as suas vantagens e desvantagens, mas para quem lida com criptomoedas, o Google Authenticator continua a ser a escolha principal.

Resumindo, usar o authenticator corretamente ajuda a dormir tranquilo, sabendo que as suas contas estão protegidas por uma camada de segurança extremamente forte. Recomendo que ative o 2FA em todas as contas importantes hoje mesmo, especialmente naquelas relacionadas com transações de criptomoedas. Alguns minutos de configuração agora podem poupar anos de preocupações no futuro.