Dispositivos confiáveis (Remember device com 2FA)

3 min de leitura

Se tem o 2FA ativado e quer saltar o código de 6 dígitos ao iniciar sessão a partir do PC ou telemóvel habitual, marque "Lembrar este dispositivo" - durante 30 dias não lhe voltaremos a pedir o TOTP.

Como funciona

1. No primeiro login 2FA bem-sucedido no dispositivo, marque "Lembrar este dispositivo"
2. Guardamos no navegador um cookie HTTP-only com um token assinado (HMAC, não manipulável)
3. No próximo início de sessão (mesmo navegador, mesmo dispositivo) encontramos este cookie e saltamos o passo do 2FA
4. Após 30 dias o token expira e terá de introduzir o TOTP novamente

Gestão de dispositivos confiáveis

Em Definições -> secção Segurança -> Dispositivos confiáveis verá a lista:

• Nome do dispositivo (a partir do user-agent - por exemplo "Chrome no Windows 11")
• IP e país do último início de sessão
• Data de adição e do último uso
• Botão Remover - revoga imediatamente a confiança (o cookie será rejeitado no próximo pedido)

Quando remover um dispositivo

• Se iniciou sessão num PC alheio ou público (café, biblioteca)
• Se perdeu ou vendeu o portátil ou telemóvel
• Se vê na lista um dispositivo que não reconhece (incluindo o IP / país)

Mecanismos de segurança

• Assinatura HMAC: o token é assinado com um segredo do servidor - um atacante não consegue gerar um cookie válido sem quebrar o segredo
• HTTP-only: o JavaScript na página não vê o cookie (proteção contra exfiltração por XSS)
• Flag Secure: o cookie é enviado apenas por HTTPS
• Por conta: o token contém o user ID - um cookie roubado da conta A não funciona na conta B
• Expiração automática: 30 dias de validade, depois é obrigatório introduzir novamente o TOTP
• Ao mudar a palavra-passe (através de "Esqueci-me da palavra-passe" ou redefinição) todos os dispositivos confiáveis são removidos automaticamente - um atacante com o cookie já não conseguirá saltar o 2FA