Dizer uma coisa: no ano passado, um fren teve a senha da sua conta na exchange comprometida, mas como tinha o Google Authenticator ativado, o Hacker não conseguiu entrar. O dinheiro que ele economizou foi suficiente para comprar um carro.

Este é o valor da verificação em duas etapas - não é para te ensinar criptografia, mas para te fazer perder menos dinheiro.

Três frases para resumir o princípio: quando você escaneia o código, uma chave é armazenada, e o exchange também armazena uma cópia. Ambas as partes calculam o mesmo número de 6 dígitos usando a mesma fórmula a cada 30 segundos. Como não é conectado à internet, é o mais seguro offline. O Hacker não tem a sua chave, então não consegue descobrir o código de verificação, não importa quanto tente.

Sugestões práticas: encontre um velho telefone, remova o cartão, desconecte da rede, desligue o WiFi, e instale exclusivamente o Google Authenticator. Isso é chamado de "isolamento de ar", proteção de nível militar, e o custo é apenas um velho aparelho que está parado. Pode testar, pode copiar, pode usar imediatamente.

Deixe de lado a verificação por SMS, o sequestro SS7 e a clonagem de cartões SIM, há muitas vulnerabilidades. O mesmo vale para e-mails, ataques de força bruta e phishing são difíceis de prevenir.

Mais adiante, o Passkey irá gradualmente substituir o TOTP. Ele utiliza criptografia assimétrica, a chave privada nunca sai do seu dispositivo, o servidor armazena apenas a chave pública, mesmo que haja um vazamento de dados, não há problema. Mas a popularização ainda levará alguns anos, por agora é suficiente usar um validador offline.

Um telemóvel antigo, poupa o dinheiro de um carro, esta conta qualquer um consegue entender.