Se você dirige uma empresa de 25 pessoas, provavelmente já ouviu que precisa de autenticação de dois fatores. O conselho costuma vir com um preço: contratar um consultor de segurança, comprar um SIEM, distribuir tokens de hardware. Nada disso faz sentido quando sua "equipe de TI" é o gestor de escritório que também cuida da folha de pagamento.
Duas coisas mudaram nos últimos anos e transformaram a 2FA em uma configuração de 30 minutos, em vez de um projeto de 30 dias:
- O TOTP (senhas de uso único baseadas em tempo) virou o padrão universal. Todo aplicativo autenticador moderno — Google Authenticator, Microsoft Authenticator, Authy, 1Password — fala o mesmo protocolo (RFC 6238). Sua equipe não precisa instalar nada personalizado.
- O cadastro self-service já é o mínimo esperado. Não é preciso um administrador para "provisionar" a 2FA de alguém: a pessoa escaneia um QR code no aplicativo autenticador, digita um código de 6 dígitos para confirmar e pronto. Os códigos de recuperação (10 códigos de uso único) cobrem o caso do celular perdido.
Este artigo percorre a implantação real para uma pequena empresa. Seremos específicos sobre o que fazer esta semana e o que deixar para o próximo trimestre.
Por que a 2FA importa para as PMEs
Os dados são claros. A equipe de inteligência de ameaças da Microsoft informa que ativar a MFA bloqueia 99,2% das tentativas automatizadas de comprometimento de contas. Os 0,8% restantes exigem ataques direcionados sofisticados: kits de phishing com retransmissão em tempo real, SIM-swap etc. Para uma empresa de 25 pessoas que enfrenta principalmente bots de password-spraying e preenchimento de credenciais vazadas, a 2FA é o controle de segurança de maior impacto que você pode implantar.
A conta de custos também se inverteu. Os aplicativos SaaS (sua contabilidade, RH, CRM, folha) já oferecem suporte a 2FA; usá-lo é gratuito. Os aplicativos autenticadores para celular são gratuitos. O único custo real são os 30 minutos por funcionário para o cadastro.
A implantação de 30 minutos (esta semana)
Você não precisa de um plano de projeto. Você precisa de:
-
Uma lista de aplicativos essenciais ao negócio. Comece por: e-mail (Google Workspace / Microsoft 365), contabilidade, RH/folha, compartilhamento de arquivos, gerenciador de senhas (você tem um, certo?) e seu banco de dados de clientes. Costumam ser 5 a 8 sistemas para uma empresa de 25 pessoas.
-
Um documento curto, com três seções:
- Por que estamos fazendo isso (1 parágrafo; o nosso diz: "Se nosso e-mail for comprometido, um invasor pode redefinir todas as outras senhas e se passar pela empresa. A 2FA evita isso.")
- O que os funcionários precisam fazer (baixar um aplicativo autenticador — liste os quatro mais conhecidos — e seguir as instruções de cada app no próximo login)
- O que acontece se eu perder o celular (usar os códigos de recuperação; se acabarem, contatar o gestor de escritório, que vai reiniciar sua 2FA)
-
Uma reunião geral de 15 minutos para explicar. O maior indicador de sucesso da implantação é a liderança ter a 2FA visivelmente ativada antes de todo mundo.
Depois da reunião, dê duas semanas a todos. Em seguida, audite: quais funcionários ainda não têm 2FA nos aplicativos indispensáveis? Mais duas semanas de prazo e comece a exigir.
O que esperar quando um celular é perdido
Os códigos de recuperação são a resposta. São 10 códigos de uso único exibidos UMA única vez durante a configuração da 2FA. O usuário os imprime, salva uma captura no gerenciador de senhas, ou ambos.
Quando um celular quebra ou some:
- O usuário faz login com e-mail e senha.
- Em vez de digitar o código do autenticador, insere um dos códigos de recuperação.
- Ele obtém acesso completo. O código de recuperação usado é invalidado.
- Ele cadastra novamente a 2FA no novo celular (o sistema permite isso depois do login).
Sem códigos de recuperação? É aí que um administrador precisa desativar manualmente a 2FA na conta do usuário; ele faz login só com senha e cadastra a 2FA do zero. Planeje lidar com cerca de 1 caso desses por trimestre em uma equipe de 25 pessoas.
O que evitar
- 2FA por SMS. O SMS é melhor do que nada, mas os ataques de SIM-swap o tornaram pouco confiável. Use TOTP (aplicativo autenticador) sempre que possível. Muitos apps oferecem os dois — escolha TOTP.
- Tokens de 2FA compartilhados. Se três pessoas compartilham uma única conta de administrador do Google Workspace, a tentação é compartilhar o token de 2FA. Não faça isso. Crie contas de administrador separadas.
- Obrigar um aplicativo autenticador específico. Deixe cada um usar o que quiser — Google, Microsoft, Authy e 1Password funcionam. Impor um só gera resistência.
- Desativar a 2FA em contas individuais por cortesia. O vetor de violação mais comum nas PMEs é o executivo cuja 2FA foi "temporariamente desativada" porque estava viajando e nunca foi reativada. Não faça isso.
Quando esse modelo fica pequeno
Por volta de 50 a 100 funcionários, o modelo de "gestor de escritório como TI" deixa de funcionar. Sintomas:
- Vários pedidos de ajuda por semana sobre celulares perdidos
- Aplicação inconsistente entre as equipes
- A entrada/saída de pessoas vira uma checklist que ninguém executa
É aí que você precisa de uma pessoa de TI dedicada ou de uma ferramenta que cuide do cadastro, da recuperação e da auditoria de forma centralizada — geralmente chamada de provedor de identidade (IdP), como Okta, Microsoft Entra ou JumpCloud. O custo costuma ser de US$ 5 a 10 por funcionário/mês.
Se você usa a SVDY, o trabalho de IdP já vem embutido: provisionamento via SCIM, SSO com SAML e gerenciamento central de 2FA acompanham a plataforma a partir do plano Pro. Você ganha a camada de identidade centralizada sem pagar por dois sistemas.
Conclusão
Para uma empresa de 25 pessoas em 2026: a 2FA baseada em TOTP é uma implantação de 30 minutos que bloqueia 99% dos ataques a credenciais, não custa nada em software, e o único atrito real é o caso do celular perdido, resolvido pelos códigos de recuperação. Praticamente não há desculpa para não fazer.
Escolha uma data nas próximas duas semanas. Envie hoje o convite para a reunião geral.
