MFA resistente a phishing: por que migrar para passkeys em 2026
Códigos por SMS e app autenticador ainda caem em phishing. Entenda o que torna um segundo fator realmente resistente e como planejar a migração para passkeys.
O MFA que você usa provavelmente ainda é phishable
Ativar autenticação multifator (MFA) deixou de ser opcional — mas nem todo MFA nasce igual. Os fatores mais populares (código por SMS, e-mail ou app autenticador TOTP) compartilham uma fraqueza estrutural: o segredo passa pelas mãos do usuário. E o que passa pelo usuário pode ser capturado por um atacante em tempo real.
Kits de phishing modernos como o Evilginx atuam como um proxy reverso entre a vítima e o site legítimo. O usuário digita a senha e o código de 6 dígitos numa página falsa convincente; o kit repassa tudo ao site real na mesma hora e rouba o cookie de sessão já autenticado. O segundo fator foi inserido corretamente — e mesmo assim a conta caiu.
O que torna um fator "resistente a phishing"
A propriedade que muda o jogo é o binding à origem: o autenticador só responde ao domínio real que registrou a credencial. Dois padrões entregam isso:
- FIDO2 / WebAuthn — criptografia de chave pública em que a chave privada nunca sai do dispositivo e a assinatura é amarrada ao domínio (
rpId). - Passkeys — a evolução do FIDO2 para o grande público: a mesma criptografia, com a chave sincronizada de forma segura entre os dispositivos do usuário (via iCloud Keychain, Google Password Manager, etc.).
Como o navegador só libera a assinatura para o domínio correto, uma página de phishing hospedada em cybersec-login[.]com simplesmente não consegue acionar a passkey de cybersec.com.br. Não há código para digitar, não há segredo para vazar.
Regra prática: se o segundo fator pode ser lido, digitado ou repetido pelo usuário, ele pode ser interceptado. Passkeys eliminam essa superfície.
Hierarquia de força dos fatores
| Fator | Resistente a phishing? | Observação |
|---|---|---|
| SMS / e-mail | Não | Vulnerável a SIM swap e interceptação |
| TOTP (app autenticador) | Não | Melhor que SMS, mas ainda phishable via proxy |
| Push com number matching | Parcial | Reduz fadiga de MFA, não resolve proxy |
| Passkeys / FIDO2 | Sim | Binding criptográfico à origem |
| Chave física (YubiKey) | Sim | Ideal para admins e contas críticas |
Planejando a migração sem quebrar o acesso
Passkeys não são um botão que se liga da noite para o dia. Um roteiro pragmático:
- Mapeie as contas de maior risco primeiro. Administradores de nuvem, acesso a repositórios e consoles de identidade (IdP) são o alvo número um. Comece por eles.
- Habilite passkeys como fator adicional, não como substituição imediata. Deixe os usuários registrarem antes de tornar obrigatório.
- Defina uma política de recuperação segura. O elo mais fraco vira o processo de "esqueci meu dispositivo" — trate o fluxo de recuperação com o mesmo rigor do login.
- Exija fatores resistentes a phishing para acesso privilegiado. No seu IdP, crie uma política condicional que só aceite FIDO2/passkey para sessões administrativas.
- Monitore e desative os fatores fracos de forma gradual, acompanhando a taxa de adoção antes de aposentar o TOTP.
O elo humano continua importando
Tecnologia resistente a phishing reduz drasticamente a superfície de ataque, mas não substitui a cultura de segurança. Usuários bem treinados reconhecem o pretexto antes de chegar à tela de login — e são a primeira linha quando o atacante muda de tática para engenharia social por telefone ou pressão interna.
É exatamente essa combinação — controles técnicos fortes + pessoas preparadas — que forma uma postura de segurança madura. Na Cybersec Academy, é o que treinamos do fundamento à certificação.
Próximo passo: revise hoje quais das suas contas administrativas ainda dependem só de senha + TOTP. Essa lista é o seu plano de migração para as próximas semanas.