Glossário

Código de Verificação

16/04/2026

Código de verificação é um código curto de uso único (geralmente 6 dígitos) usado para provar que um usuário controla um dispositivo específico, número de telefone ou conta. Exchanges de criptomoedas, carteiras e pools de mineração usam códigos de verificação como um segundo fator além de uma senha — conhecido como 2FA (autenticação de dois fatores).

Tipos de códigos de verificação

TOTP (Aplicativos autenticadores)

Gerado localmente por aplicativos como Google Authenticator, Authy ou tokens de hardware. Baseado no padrão TOTP (Senha de Uso Único Baseada em Tempo) — o código gira a cada 30 segundos usando um segredo compartilhado estabelecido na configuração.

  • Forte — a geração do código acontece offline; nenhum intermediário pode interceptar
  • Recomendado como o método padrão de 2FA na maioria das exchanges

Códigos SMS

Enviados para o número de telefone do usuário via mensagem de texto.

  • Fraco — vulnerável a ataques de troca de SIM, onde um atacante convence uma operadora a transferir o número da vítima para um SIM que eles controlam, capturando todos os códigos recebidos
  • Várias perdas de criptomoedas de alto perfil começaram com trocas de SIM
  • Evite 2FA por SMS se houver uma alternativa disponível

Códigos de e-mail

Enviados para o endereço de e-mail registrado do usuário.

  • Apenas tão seguro quanto a própria conta de e-mail — se o e-mail for comprometido, os códigos também serão
  • Frequentemente usados para ações pontuais (redefinição de senha, login em novo dispositivo) em vez de para cada login

Chaves de segurança de hardware (Passkeys, U2F, WebAuthn)

Dispositivos físicos (YubiKey, Titan) que assinam um desafio criptográfico. Opção mais forte — não é um código, e imune a phishing.

Códigos anti-phishing

Muitas exchanges oferecem um código anti-phishing — uma string pessoal que você configura e que aparece em todos os e-mails legítimos que eles enviam para você. Se um e-mail alega ser da exchange, mas o código anti-phishing está ausente ou errado, é uma tentativa de phishing.

Regras gerais

  • Prefira TOTP ou chaves de hardware em vez de SMS
  • Nunca compartilhe um código de verificação com ninguém — a equipe de suporte nunca pedirá por ele
  • Faça backup das sementes de 2FA ao configurar o TOTP (muitos aplicativos oferecem backup em nuvem criptografado)
  • Habilite listas brancas de retirada nas exchanges como uma camada extra

Veja também

Este artigo está disponível em outros idiomas: