← Voltar ao Blog
Identidade & Acesso 2026-07-15

MFA resistente a phishing: por que migrar para passkeys em 2026

Códigos por SMS e app autenticador ainda caem em phishing. Entenda o que torna um segundo fator realmente resistente e como planejar a migração para passkeys.

C
Cybersec Academy
5 min

O MFA que você usa provavelmente ainda é phishable

Ativar autenticação multifator (MFA) deixou de ser opcional — mas nem todo MFA nasce igual. Os fatores mais populares (código por SMS, e-mail ou app autenticador TOTP) compartilham uma fraqueza estrutural: o segredo passa pelas mãos do usuário. E o que passa pelo usuário pode ser capturado por um atacante em tempo real.

Kits de phishing modernos como o Evilginx atuam como um proxy reverso entre a vítima e o site legítimo. O usuário digita a senha e o código de 6 dígitos numa página falsa convincente; o kit repassa tudo ao site real na mesma hora e rouba o cookie de sessão já autenticado. O segundo fator foi inserido corretamente — e mesmo assim a conta caiu.

O que torna um fator "resistente a phishing"

A propriedade que muda o jogo é o binding à origem: o autenticador só responde ao domínio real que registrou a credencial. Dois padrões entregam isso:

  • FIDO2 / WebAuthn — criptografia de chave pública em que a chave privada nunca sai do dispositivo e a assinatura é amarrada ao domínio (rpId).
  • Passkeys — a evolução do FIDO2 para o grande público: a mesma criptografia, com a chave sincronizada de forma segura entre os dispositivos do usuário (via iCloud Keychain, Google Password Manager, etc.).

Como o navegador só libera a assinatura para o domínio correto, uma página de phishing hospedada em cybersec-login[.]com simplesmente não consegue acionar a passkey de cybersec.com.br. Não há código para digitar, não há segredo para vazar.

Regra prática: se o segundo fator pode ser lido, digitado ou repetido pelo usuário, ele pode ser interceptado. Passkeys eliminam essa superfície.

Hierarquia de força dos fatores

Fator Resistente a phishing? Observação
SMS / e-mail Não Vulnerável a SIM swap e interceptação
TOTP (app autenticador) Não Melhor que SMS, mas ainda phishable via proxy
Push com number matching Parcial Reduz fadiga de MFA, não resolve proxy
Passkeys / FIDO2 Sim Binding criptográfico à origem
Chave física (YubiKey) Sim Ideal para admins e contas críticas

Planejando a migração sem quebrar o acesso

Passkeys não são um botão que se liga da noite para o dia. Um roteiro pragmático:

  1. Mapeie as contas de maior risco primeiro. Administradores de nuvem, acesso a repositórios e consoles de identidade (IdP) são o alvo número um. Comece por eles.
  2. Habilite passkeys como fator adicional, não como substituição imediata. Deixe os usuários registrarem antes de tornar obrigatório.
  3. Defina uma política de recuperação segura. O elo mais fraco vira o processo de "esqueci meu dispositivo" — trate o fluxo de recuperação com o mesmo rigor do login.
  4. Exija fatores resistentes a phishing para acesso privilegiado. No seu IdP, crie uma política condicional que só aceite FIDO2/passkey para sessões administrativas.
  5. Monitore e desative os fatores fracos de forma gradual, acompanhando a taxa de adoção antes de aposentar o TOTP.

O elo humano continua importando

Tecnologia resistente a phishing reduz drasticamente a superfície de ataque, mas não substitui a cultura de segurança. Usuários bem treinados reconhecem o pretexto antes de chegar à tela de login — e são a primeira linha quando o atacante muda de tática para engenharia social por telefone ou pressão interna.

É exatamente essa combinação — controles técnicos fortes + pessoas preparadas — que forma uma postura de segurança madura. Na Cybersec Academy, é o que treinamos do fundamento à certificação.


Próximo passo: revise hoje quais das suas contas administrativas ainda dependem só de senha + TOTP. Essa lista é o seu plano de migração para as próximas semanas.