Ajuda e guias ›
Segurança da conta
› Dispositivos confiáveis (Remember device com 2FA)
Dispositivos confiáveis (Remember device com 2FA)
3 min de leitura · Segurança da conta
Se tem a autenticação de dois fatores (2FA) ativada e quer saltar o código de seis dígitos ao iniciar sessão a partir de um computador ou telemóvel habitual, marque "Lembrar este dispositivo". Durante 30 dias não lhe voltaremos a pedir o código de utilização única (TOTP).
Como funciona
- No primeiro início de sessão com 2FA bem-sucedido no dispositivo, marque "Lembrar este dispositivo".
- Guardamos no navegador um token de segurança aleatório (256 bits). No servidor guardamos apenas o seu hash (SHA-256), por isso o token não pode ser adivinhado nem deduzido - um atacante não consegue forjar um cookie válido.
- No próximo início de sessão no mesmo navegador encontramos este cookie e saltamos o passo do 2FA.
- Após 30 dias o cookie expira e terá de introduzir novamente o código de utilização única.
Gestão de dispositivos confiáveis
Em Definições, na secção Conta -> Dispositivos confiáveis, vê uma lista com:
- O nome do dispositivo derivado do navegador (por exemplo "Chrome no Windows 11").
- O endereço IP e o país do último início de sessão.
- A data de adição e do último uso.
- Um botão Remover - revoga imediatamente a confiança, e o próximo início de sessão a partir deste dispositivo exigirá novamente o código 2FA.
Quando remover um dispositivo
- Iniciou sessão num computador alheio ou público (café, biblioteca).
- Perdeu ou vendeu um portátil ou telemóvel.
- Vê na lista um dispositivo que não reconhece (endereço IP desconhecido, país desconhecido).
Mecanismos de segurança
- Token aleatório do lado do servidor: ao navegador chega apenas um token aleatório de 256 bits, o servidor guarda só o seu hash SHA-256 e compara-o - um atacante não consegue forjar um cookie válido.
- O JavaScript não tem acesso ao cookie: proteção contra o roubo por um script malicioso na página.
- Apenas através de ligação cifrada: o cookie é enviado exclusivamente por HTTPS.
- Vinculado à conta: um cookie da conta A não funciona na conta B.
- Expiração automática: após 30 dias o 2FA é novamente necessário.
- Ao mudar a palavra-passe (através de "Palavra-passe esquecida" ou de uma alteração manual) todos os dispositivos confiáveis são removidos automaticamente. Mesmo que um atacante tivesse o seu cookie antigo, já não saltará o 2FA.
Este guia foi útil?