Posso usar 2FA por SMS no banco em Portugal?

Os bancos portugueses usam autenticação forte por SMS, app do banco ou Chave Móvel Digital. Sempre que possível, prefira a confirmação dentro da app do banco em vez de SMS, é mais resistente a SIM swap.

E se perder o telemóvel com a app de autenticação?

Usa os códigos de recuperação que guardou ao activar. Se também os perdeu, terá de provar identidade ao serviço (cartão de cidadão, selfie, etc.) e o processo pode demorar dias.

Passkeys substituem o 2FA?

Passkeys (Apple, Google, Microsoft) substituem palavra-passe + 2FA num só passo, usando biometria do dispositivo. São o futuro e já estão disponíveis nos principais serviços. Active sempre que possível.

Todos os guias

6 min · Actualizado em 23/05/2026

Autenticação em dois passos (2FA): como activar e qual escolher

A autenticação em dois passos (2FA ou MFA) acrescenta uma segunda camada de verificação para além da palavra-passe. É a defesa individual mais eficaz contra acesso indevido a contas, mesmo quando o atacante já roubou a sua palavra-passe.

Porque é que 2FA é a defesa mais importante

A maioria das burlas online termina com o atacante a tentar entrar numa conta sua: email, banco, Instagram, Amazon, Booking. Se só tiver palavra-passe, basta uma fuga de dados ou um phishing bem-sucedido para perder a conta.

Com 2FA activo, mesmo que o burlão tenha a palavra-passe correcta, não consegue entrar sem o segundo factor. Para a maioria das pessoas, é a única medida que faz diferença real.

Os 3 tipos de 2FA, do menos para o mais seguro

→SMS (código enviado por mensagem): melhor que nada, mas vulnerável a SIM swap e a phishing em tempo real. Evite em contas críticas.
→App de autenticação (Google Authenticator, Microsoft Authenticator, Authy): gera código no telemóvel sem depender da rede móvel. Recomendado para a maioria das contas.
→Chave física FIDO2 / passkey (YubiKey, Google Titan, Touch ID, Face ID): praticamente imune a phishing. Recomendado para email principal e contas com dinheiro.

Onde activar 2FA já hoje

Comece pelo email principal, é a porta de entrada para tudo o resto, pois permite recuperar palavras-passe.

→Email (Gmail, Outlook, iCloud): Definições > Segurança > Verificação em duas etapas.
→Banco e MB WAY: já obrigatório por DSP2, mas confirme que está activo na app do banco.
→Redes sociais (Instagram, Facebook, TikTok, X): Definições > Segurança > Autenticação de dois factores.
→Cloud e armazenamento (Google Drive, iCloud, OneDrive, Dropbox).
→Compras online com cartão guardado (Amazon, Worten, Continente Online).
→Gestor de palavras-passe (1Password, Bitwarden, Apple Passwords).

Códigos de recuperação: o passo que toda a gente esquece

Ao activar 2FA, o serviço dá-lhe códigos de recuperação para usar se perder o telemóvel. Guarde-os impressos numa gaveta segura ou no gestor de palavras-passe, nunca em fotos no rolo da câmara.

Sem códigos de recuperação, perder o telemóvel pode significar perder o acesso definitivo a contas importantes.

Perguntas frequentes

Posso usar 2FA por SMS no banco em Portugal?: Os bancos portugueses usam autenticação forte por SMS, app do banco ou Chave Móvel Digital. Sempre que possível, prefira a confirmação dentro da app do banco em vez de SMS, é mais resistente a SIM swap.
E se perder o telemóvel com a app de autenticação?: Usa os códigos de recuperação que guardou ao activar. Se também os perdeu, terá de provar identidade ao serviço (cartão de cidadão, selfie, etc.) e o processo pode demorar dias.
Passkeys substituem o 2FA?: Passkeys (Apple, Google, Microsoft) substituem palavra-passe + 2FA num só passo, usando biometria do dispositivo. São o futuro e já estão disponíveis nos principais serviços. Active sempre que possível.