Ajuda e guiasSegurança da conta › Dispositivos confiáveis (Remember device com 2FA)

Dispositivos confiáveis (Remember device com 2FA)

3 min de leitura · Segurança da conta

Se tem a autenticação de dois fatores (2FA) ativada e quer saltar o código de seis dígitos ao iniciar sessão a partir de um computador ou telemóvel habitual, marque "Lembrar este dispositivo". Durante 30 dias não lhe voltaremos a pedir o código de utilização única (TOTP).

Definições da conta - e-mail, palavra-passe, 2FA e dispositivos confiáveis
Secção Conta: aqui gere o 2FA e os dispositivos confiáveis.

Como funciona

  1. No primeiro início de sessão com 2FA bem-sucedido no dispositivo, marque "Lembrar este dispositivo".
  2. Guardamos no navegador um token de segurança aleatório (256 bits). No servidor guardamos apenas o seu hash (SHA-256), por isso o token não pode ser adivinhado nem deduzido - um atacante não consegue forjar um cookie válido.
  3. No próximo início de sessão no mesmo navegador encontramos este cookie e saltamos o passo do 2FA.
  4. Após 30 dias o cookie expira e terá de introduzir novamente o código de utilização única.

Gestão de dispositivos confiáveis

Em Definições, na secção Conta -> Dispositivos confiáveis, vê uma lista com:

  • O nome do dispositivo derivado do navegador (por exemplo "Chrome no Windows 11").
  • O endereço IP e o país do último início de sessão.
  • A data de adição e do último uso.
  • Um botão Remover - revoga imediatamente a confiança, e o próximo início de sessão a partir deste dispositivo exigirá novamente o código 2FA.

Quando remover um dispositivo

  • Iniciou sessão num computador alheio ou público (café, biblioteca).
  • Perdeu ou vendeu um portátil ou telemóvel.
  • Vê na lista um dispositivo que não reconhece (endereço IP desconhecido, país desconhecido).

Mecanismos de segurança

  • Token aleatório do lado do servidor: ao navegador chega apenas um token aleatório de 256 bits, o servidor guarda só o seu hash SHA-256 e compara-o - um atacante não consegue forjar um cookie válido.
  • O JavaScript não tem acesso ao cookie: proteção contra o roubo por um script malicioso na página.
  • Apenas através de ligação cifrada: o cookie é enviado exclusivamente por HTTPS.
  • Vinculado à conta: um cookie da conta A não funciona na conta B.
  • Expiração automática: após 30 dias o 2FA é novamente necessário.
  • Ao mudar a palavra-passe (através de "Palavra-passe esquecida" ou de uma alteração manual) todos os dispositivos confiáveis são removidos automaticamente. Mesmo que um atacante tivesse o seu cookie antigo, já não saltará o 2FA.
Este guia foi útil?