Pular para o conteúdo principal
SVDY Logo

Como uma empresa de 25 pessoas implanta a autenticação de dois fatores sem equipe de TI

Antes, a 2FA exigia um departamento de TI. As ferramentas modernas mudaram isso: veja a configuração de 30 minutos que qualquer gestor de escritório consegue fazer, e o que esperar quando um celular é perdido.

Security
May 26, 2026· 7 min read· SVDY Team, Produto

Se você dirige uma empresa de 25 pessoas, provavelmente já ouviu que precisa de autenticação de dois fatores. O conselho costuma vir com um preço: contratar um consultor de segurança, comprar um SIEM, distribuir tokens de hardware. Nada disso faz sentido quando sua "equipe de TI" é o gestor de escritório que também cuida da folha de pagamento.

Duas coisas mudaram nos últimos anos e transformaram a 2FA em uma configuração de 30 minutos, em vez de um projeto de 30 dias:

  1. O TOTP (senhas de uso único baseadas em tempo) virou o padrão universal. Todo aplicativo autenticador moderno — Google Authenticator, Microsoft Authenticator, Authy, 1Password — fala o mesmo protocolo (RFC 6238). Sua equipe não precisa instalar nada personalizado.
  2. O cadastro self-service já é o mínimo esperado. Não é preciso um administrador para "provisionar" a 2FA de alguém: a pessoa escaneia um QR code no aplicativo autenticador, digita um código de 6 dígitos para confirmar e pronto. Os códigos de recuperação (10 códigos de uso único) cobrem o caso do celular perdido.

Este artigo percorre a implantação real para uma pequena empresa. Seremos específicos sobre o que fazer esta semana e o que deixar para o próximo trimestre.

Por que a 2FA importa para as PMEs

Os dados são claros. A equipe de inteligência de ameaças da Microsoft informa que ativar a MFA bloqueia 99,2% das tentativas automatizadas de comprometimento de contas. Os 0,8% restantes exigem ataques direcionados sofisticados: kits de phishing com retransmissão em tempo real, SIM-swap etc. Para uma empresa de 25 pessoas que enfrenta principalmente bots de password-spraying e preenchimento de credenciais vazadas, a 2FA é o controle de segurança de maior impacto que você pode implantar.

A conta de custos também se inverteu. Os aplicativos SaaS (sua contabilidade, RH, CRM, folha) já oferecem suporte a 2FA; usá-lo é gratuito. Os aplicativos autenticadores para celular são gratuitos. O único custo real são os 30 minutos por funcionário para o cadastro.

A implantação de 30 minutos (esta semana)

Você não precisa de um plano de projeto. Você precisa de:

  1. Uma lista de aplicativos essenciais ao negócio. Comece por: e-mail (Google Workspace / Microsoft 365), contabilidade, RH/folha, compartilhamento de arquivos, gerenciador de senhas (você tem um, certo?) e seu banco de dados de clientes. Costumam ser 5 a 8 sistemas para uma empresa de 25 pessoas.

  2. Um documento curto, com três seções:

    • Por que estamos fazendo isso (1 parágrafo; o nosso diz: "Se nosso e-mail for comprometido, um invasor pode redefinir todas as outras senhas e se passar pela empresa. A 2FA evita isso.")
    • O que os funcionários precisam fazer (baixar um aplicativo autenticador — liste os quatro mais conhecidos — e seguir as instruções de cada app no próximo login)
    • O que acontece se eu perder o celular (usar os códigos de recuperação; se acabarem, contatar o gestor de escritório, que vai reiniciar sua 2FA)
  3. Uma reunião geral de 15 minutos para explicar. O maior indicador de sucesso da implantação é a liderança ter a 2FA visivelmente ativada antes de todo mundo.

Depois da reunião, dê duas semanas a todos. Em seguida, audite: quais funcionários ainda não têm 2FA nos aplicativos indispensáveis? Mais duas semanas de prazo e comece a exigir.

O que esperar quando um celular é perdido

Os códigos de recuperação são a resposta. São 10 códigos de uso único exibidos UMA única vez durante a configuração da 2FA. O usuário os imprime, salva uma captura no gerenciador de senhas, ou ambos.

Quando um celular quebra ou some:

  1. O usuário faz login com e-mail e senha.
  2. Em vez de digitar o código do autenticador, insere um dos códigos de recuperação.
  3. Ele obtém acesso completo. O código de recuperação usado é invalidado.
  4. Ele cadastra novamente a 2FA no novo celular (o sistema permite isso depois do login).

Sem códigos de recuperação? É aí que um administrador precisa desativar manualmente a 2FA na conta do usuário; ele faz login só com senha e cadastra a 2FA do zero. Planeje lidar com cerca de 1 caso desses por trimestre em uma equipe de 25 pessoas.

O que evitar

  • 2FA por SMS. O SMS é melhor do que nada, mas os ataques de SIM-swap o tornaram pouco confiável. Use TOTP (aplicativo autenticador) sempre que possível. Muitos apps oferecem os dois — escolha TOTP.
  • Tokens de 2FA compartilhados. Se três pessoas compartilham uma única conta de administrador do Google Workspace, a tentação é compartilhar o token de 2FA. Não faça isso. Crie contas de administrador separadas.
  • Obrigar um aplicativo autenticador específico. Deixe cada um usar o que quiser — Google, Microsoft, Authy e 1Password funcionam. Impor um só gera resistência.
  • Desativar a 2FA em contas individuais por cortesia. O vetor de violação mais comum nas PMEs é o executivo cuja 2FA foi "temporariamente desativada" porque estava viajando e nunca foi reativada. Não faça isso.

Quando esse modelo fica pequeno

Por volta de 50 a 100 funcionários, o modelo de "gestor de escritório como TI" deixa de funcionar. Sintomas:

  • Vários pedidos de ajuda por semana sobre celulares perdidos
  • Aplicação inconsistente entre as equipes
  • A entrada/saída de pessoas vira uma checklist que ninguém executa

É aí que você precisa de uma pessoa de TI dedicada ou de uma ferramenta que cuide do cadastro, da recuperação e da auditoria de forma centralizada — geralmente chamada de provedor de identidade (IdP), como Okta, Microsoft Entra ou JumpCloud. O custo costuma ser de US$ 5 a 10 por funcionário/mês.

Se você usa a SVDY, o trabalho de IdP já vem embutido: provisionamento via SCIM, SSO com SAML e gerenciamento central de 2FA acompanham a plataforma a partir do plano Pro. Você ganha a camada de identidade centralizada sem pagar por dois sistemas.

Conclusão

Para uma empresa de 25 pessoas em 2026: a 2FA baseada em TOTP é uma implantação de 30 minutos que bloqueia 99% dos ataques a credenciais, não custa nada em software, e o único atrito real é o caso do celular perdido, resolvido pelos códigos de recuperação. Praticamente não há desculpa para não fazer.

Escolha uma data nas próximas duas semanas. Envie hoje o convite para a reunião geral.

autenticação de dois fatores
segurança para pequenas empresas
TOTP
aplicativo autenticador
segurança para PMEs
← Back to all posts