Pessoa de sexo não identificado, com cabelo roxo e pele azul, segurando uma xícara de café com vários ícones em alusão ao Manual do Usuário na fumaça e um celular na outra mão. Embaixo, o texto: “Apoie o Manual pelo preço de um cafezinho”.

O jeito certo de proteger sua conta no Instagram de invasões de hackers

Invasões a contas/perfis no Instagram viraram uma epidemia nos últimos meses (ouça nosso podcast do assunto). Vez ou outra sabemos de histórias aterrorizantes de pessoas que, mesmo com a autenticação em dois fatores (2FA, na sigla em inglês) ativada, tiveram seus perfis invadidos e usados por criminosos para a aplicação de golpes contra amigos e parentes.

Foi o caso de Jorge Lordello, o “Dr. Segurança”. Esta matéria (um tanto alarmista) do Olhar Digital não informa se o perfil de Jorge estava configurado com 2FA. Se sim, ele provavelmente estava usando o método via mensagem de texto (SMS), que, percebe-se, é inseguro.

Abaixo, segue um passo a passo de como proteger seu perfil/sua conta no Instagram do jeito certo, com 2FA baseado em aplicativos de senhas temporárias (OTP, abreviação de “one-time password”):

  1. Se ainda não tem, baixe um aplicativo de OTP. Você usará ele para receber as senhas temporárias da autenticação em dois fatores (2FA) em vez de recebê-las por SMS. Algumas opções: Authy, Google Authenticator, Microsoft Authenticator, andOTP, Yubico Authenticator. Todos são gratuitos, estão disponíveis para Android e iOS (menos o andOTP, só para Android) e, no fundo, fazem a mesma coisa.
  2. No Instagram, vá ao seu perfil, toque no botão das três linhas (canto superior direito) e entre em Configurações.
  3. Em seguida, entre em Segurança e em Autenticação de dois fatores.
  4. Se você não tem nenhum método de 2FA configurado, será apresentado a um assistente que te guiará pela configuração. Siga comigo.
  5. Toque no botão Começar. Na próxima tela, o Instagram perguntará qual método de 2FA você quer configurar. Escolha Aplicativo de autenticação (recomendado).
  6. Se você usa iPhone, talvez o Instagram recomende o Chaves (gerenciador de senhas nativo do iOS) como aplicativo OTP. Não faça isso. Toque na linha abaixo, em Configurar outra maneira, para usar o aplicativo que você acabou de instalar.
  7. Aparecerá um código enorme na próxima tela. Copie-o tocando no botão Copiar chave e alterne para o aplicativo de 2FA escolhido no passo #1.
  8. Nesta parte o procedimento varia, mas não muito. No aplicativo de OTP, adicione uma nova conta, cole o código copiado no passo #7 e nomeie-a como “Instagram” (para você saber a qual conta se refere). Salve.
  9. Ainda no aplicativo de OTP, acesse a conta recém-salva e copie o código temporário de seis dígitos que será exibido. Volte ao Instagram, cole o código de seis dígitos e toque em Avançar.
  10. Pronto, a autenticação de dois fatores foi configurada com sucesso! Mas calma, ainda não acabou. Toque em Avançar. Na tela seguinte, o Instagram lhe mostrará códigos de reserva, ou de backup. Eles são importantíssimos: se um dia você perder o acesso ao seu celular ou ao aplicativo de OTP, esses códigos de reserva permitirão que você acesse sua conta sem precisar da autenticação em dois fatores. Copie-os e guarde-os em um lugar muito seguro — de preferência, fora do celular.
  11. Toque no botão Concluir para finalizar o processo.

A partir de agora, toda vez que você logar no Instagram em um novo dispositivo, terá que inserir a senha da conta e o código temporário de seis dígitos gerado pelo seu aplicativo de OTP.

Para facilitar, o passo a passo dentro do Instagram consolidado em uma imagem (clique/toque para ampliá-la):

Telas do Instagram mostrando o passo a passo para configurar a autenticação em dois fatores (2FA) usando aplicativos OTP.
Imagem: Manual do Usuário.

Dica adicional, mas importante: configure uma senha ou bloqueio por biometria no seu aplicativo de OTP. Assim, se seu celular cair em mãos erradas, os códigos temporários — e suas contas em serviços online — continuarão protegidos.

Já deu para sacar por que a 2FA via SMS é frágil, né? Alguém que tenha acesso ao seu número via ataque de SIM Swap (“clonagem” do número), como no caso do Jorge Lordello, ganha acesso aos códigos OTP também.

Agora que você aprendeu a configurar a autenticação em dois fatores (2FA) no Instagram, tire um tempo e faça o mesmo em todos os serviços que você usa — outras redes sociais, e-mail, marketplaces, serviços de nuvem, etc.

Indo além: A chave de segurança física

Aplicativos de OTP são bastante seguros, mas existe um passo extra para quem quer mais segurança: as chaves de segurança físicas. Eu tenho uma e escrevi um artigo no site explicando como elas funcionam.

Deixe um comentário

Seu e-mail não será publicado. Dúvidas? Consulte a documentação dos comentários.

15 comentários

  1. Lembrando que no iOS já temos um gerenciador de forma nativa, o Keychan. Além de você guardar suas senhas, ele funciona como um gerador de códigos OTP.

  2. Bacana a dica! Alguém conhece algum OTP open source que também seja multiplataforma e síncrono, tipo o que o Authy faz [1]? Poderia ser algo rodando sobre uma nuvem própria tipo a Nextcloud, por exemplo.

    Eu uso o Aegis no Android, mas queria uma solução que eu tivesse acesso síncrono também no desktop caso precisasse.

    [1] https://authy.com/features/multiple-devices/

    1. KeePass! Além de ser um software é um padrão de armazenamento de informações criptográficas num formato de arquivo de código aberto. Sendo de código aberto vários softwares de terceiros podem implementar o suporte e ler/editar/criar nesse formato o que permite interoperabilidade.

      Eu uso KeePassXC (desktop/laptop) e KeePasDX (android), e faço sincronia usando Syncthing. Alguns amigos/as usam sincronizando com Nextcloud e podem ser usadas outras plataformas de sincronia como Google Drive, Microsoft One Drive, Dropbox etc.

      Pra quem usa Linux o KeePassXC é muito bom e é um dos poucos aplicativos QT/KDE que eu faço questão de usar mesmo existindo outros feitos pra GTK/Gnome (meu ambiente desktop).
      No Android o KeePassDX se integra ao teclado facilitando muito a entrada de usuário, senha e OTP.

      Também uso o KeePassXC pra guardar as chaves de par público/privada que uso pra acessar servidores e outros serviços; e pra guardar notas com informações que precisam ser muito bem guardadas.

      Além disso, como são softwares pra manipulação de um arquivo padronizado, é possível ter mais de um arquivo com grupos de chaves diferentes o que permite, por exemplo, compartilhar uma coleção de informações seguras com grupos de indivíduos diferentes. Então pode-se ter uma coleção de informações pessoais, outra com informações familiares, outra pra um trabalho, outra pra outro trabalho… cada coleção um arquivo distinto salvo com uma senha própria.

  3. Eu parei de ter 2FA nas minhas contas porque, uma vez que você perde o acesso ao 2FA, é um caos. Na minha opinião, melhor criar fortes e usar um gerenciador de senhas.

    1. É só ter os códigos de reserva/backup salvos em algum lugar ou, no caso do Authy, habilitar o backup criptografado na nuvem.

      A força da senha faz zero diferença se ela vazar.

  4. Rodrigo, vi esses dia que, por mais que o 2FA seja importante, ainda há uma forma de logar na conta se houve o acesso ao número de celular. Daí, a recomendação também era remover o número de celular associado a conta no Instagram. Você chegou a verificar essa informação?

    E outra: por que não recomenda o app de OTP da Apple? Foi lançado bem recentemente e parece funcionar bem nos dispositivos, por mais que ainda precise de mais features.

    1. Essa recomendação da matéria do Olhar Digital, de tirar o número da conta, eu não aconselho fazer. Aquela parte não tem nada a ver com 2FA e ao ter seu número associado à conta, fica mais fácil provar que você é dono dela.

      Não recomendo o OTP da Apple porque, caso sua conta Apple seja comprometida, a 2FA também é. E a conta Apple é um vetor com uma área muito mais ampla e mais atraente do que um aplicativo de OTP dedicado.

      1. Ah, legal!

        O lugar que tinha visto, na verdade, fala que mesmo com o 2FA, a recuperação de senha ainda pode ser feito só com base no número de celular (fonte: https://twitter.com/josenalencar/status/1500084098664124416). Não cheguei a testar, mas suspeito que o Instagram realmente faça esse tipo de bobagem…

        Sobre o OTP: Recentemente tenho embarcado um pouco mais no ecossistema da Apple justamente pelo contrário: acredito que eles estão um pouco mais engajados com segurança, e se algo muito ruim ocorrer comigo/meu acesso, eles têm mais chance de prestarem um serviço legal (coisa que não espero da Google, nem pagando os planos deles). Uso o Bitwarden como gerenciador de senhas principal, mas tenho usado junto o serviço da Apple (também por oferecer OTP).

  5. Não sei o motivo, mas no meu app Instagram (Android) só mostra a opção 2FA por SMS, seria mais seguro se tivesse a opção por app OTP. Já confirmei que estou usando a última versão do Instagram disponível na Google Play.

    1. Estranho. Acabei de fazer aqui na minha (também Android) e foi tranquilamente. Aparece app de autenticação, whataspp, sms e métodos adicionais.

Compre dos parceiros do Manual:

Manual do Usuário