O que é o Google Authenticator, importância e usos?
Se você já teve aquela sensação de que tem sempre “alguém” controlando as suas entradas nos muitos serviços do mundo digital, você está certo.
Esse “monitor” discreto que se encarrega de verificar se você é você mesmo a cada acesso ao serviço de e-mail, nas redes sociais, ou em diversos outros serviços e apps, é o Google Authenticator.
Talvez você até já tenha visto esse nome por aí, mas se não tem certeza do que é, como ele funciona, o que ele pode fazer, ou até mesmo se vale a pena confiar nele, hoje esse tipo de dúvida vai acabar.
Nesse bate-papo, vamos abrir o baú e mostrar tudo o que esse aplicativo faz (e o que ele não faz também). Tem coisa útil, tem curiosidade, tem até umas dicas que podem salvar você de algumas dores de cabeça.
Preparado para descobrir do que esse tal de Authenticator é capaz?
O que é o Google Authenticator?
O Google Authenticator é um aplicativo que gera códigos temporários de seis dígitos, usados como uma segunda etapa de verificação ao acessar contas online. Esses códigos são chamados de tokens de autenticação e mudam a cada 30 segundos. O app funciona mesmo sem conexão à Internet e pode ser usado com diversos serviços compatíveis com verificação em duas etapas, como serviços de e-mail, nas redes sociais, em apps de bancos e plataformas de trabalho.
Não entendeu? Não se preocupe! Essa é aquele tipo de resposta que pode até esclarecer algumas coisas, mas também gera outras dúvidas.
Imagine que para ingressar em uma conta online qualquer, você precisa abrir porta com uma chave.
Normalmente, cumprem esse papel, o seu nome de usuário e senha, os quais você já tem.
Porém, tal como no mundo físico, qualquer um que tiver acesso à chave pode abrir a porta e entrar, no mundo digital é igual. Para evitar que isso ocorra, o acesso à casa também requer mostrar um código secreto que muda o tempo todo.
Esse código aparece no seu celular, como se fosse um “passe mágico” que só quem tem permissão de acesso, consegue ver.
Pois então, o Google Authenticator é esse “guardião dos passes de acesso”.
Em termos práticos, o Authenticator – como costuma ser chamado – é como aquele segurança que não só confere sua identidade, mas também verifica se você está mesmo autorizado a entrar, mas de forma fácil, em segundos e usando o smartphone, algo que todo mundo tem.
Quando e por que o Google Authenticator foi criado?
O Google Authenticator foi lançado em 2010, em uma época que os ataques digitais se tornavam cada vez mais comuns, afinal a Internet crescia a passos largos e com ela, incontáveis dados que poderiam servir aos criminosos digitais.
O conceito do autenticador do Google já era simples, mas prático – criar uma ferramenta leve, acessível e eficiente para dificultar o acesso indevido à qualquer conta online.
Objetivamente, ele foi a resposta a uma pergunta que estava ficando cada vez mais urgente e frequente: “Como garantir que só o verdadeiro dono de uma conta possa acessá-la, ainda que alguém descubra a sua senha?”
Sim, porque o cenário que já se desenhava, mostrava que “proteger” uma conta apenas com senha, não bastava, pois um cracker (“hacker do mal”) poderia obtê-la de diferentes formas:
-
Malwares – diferentes classes de malwares, como por exemplo, os keyloggers e os bankers, são destinados a roubo de senhas;
-
Engenharia social – a engenharia social passou a ser cada vez mais usada e os golpes online se sofisticaram;
-
Phishing – associado ao fator acima, os ataques de phishing e spoofing cresceram e se tornaram bastante eficientes;
-
Falta de conhecimento – a falta de conhecimento de muitos usuários sobre boas práticas e sobre as muitas ameaças digitais, fizeram deles vítimas mais fáceis;
-
Senhas fracas – o uso de senhas fáceis de serem quebradas por ataques de dicionário e/ou de força bruta;
-
Falhas em sistemas – sistemas de autenticação com falhas de programação;
-
Vazamentos – os vazamentos de dados, seja por falha ou negligência do administrador do serviço, seja como resultado de um ataque por parte de crackers.
Esses são apenas alguns dos caminhos que os criminosos digitais podem usar para invadir contas e todos eles mostram como confiar apenas em senhas, é insuficiente para se manter seguro no ambiente digital.
A solução foi apostar em algo que não dependesse de conectividade com a Internet, que funcionasse em qualquer lugar, e que fosse fácil de usar até por quem não entende nada de tecnologia.
Assim nasceu o Authenticator, um app que gera códigos temporários, como se fosse um “passe digital” que muda o tempo todo.
Desde então, ele se tornou um dos pilares da proteção digital para milhões de pessoas e empresas.
O que o Google Authenticator faz?
Muita gente acha que o autenticador do Google serve apenas para gerar códigos temporários. E embora essa seja sua função principal, ele faz um pouco mais do que isso.
Eis todas as funções do aplicativo:
Geração de códigos temporários (OTP ou One-Time Password)
-
Gera códigos de seis dígitos que mudam a cada 30 segundos, uma espécie de senha temporária que só pode ser usada uma vez. Após esse intervalo, o código se torna inválido;
-
Os códigos são baseados em algoritmos como TOTP (Time-Based One-Time Password) e HOTP (HMAC-based One-Time Password), dependendo do serviço;
-
Funcionam offline, ou seja, não dependem de conexão com a Internet ou sinal de rede celular para serem gerados.
Sincronização entre dispositivos
-
Desde as atualizações lançadas em 2023, é possível sincronizar os códigos entre dispositivos usando sua Conta Google. Não é automática, mas opcional, sendo necessário fazer login com sua Conta Google dentro do app para ativá-la;
-
Isso permite acessar os códigos em outros aparelhos vinculados à mesma conta, o que é especialmente útil em caso de troca de celular ou no uso simultâneo em múltiplos dispositivos.
Transferência de contas
-
O app permite exportar e importar contas via QR Code, facilitando a migração para um novo aparelho;
-
O processo é simples, bastando selecionar as contas que deseja transferir e escanear o código com o novo dispositivo.
Compatibilidade com outros serviços
-
É implementável e funciona com diversos sites e apps, não apenas com produtos / serviços do Google;
-
É compatível com qualquer serviço que suporte o padrão TOTP, como redes sociais, bancos, serviços de e-mail, entre outros.
Armazenamento local ou na nuvem
-
Você pode usar o app sem estar logado em uma Conta Google, mantendo os códigos apenas no dispositivo;
-
Também é possível optar por sincronizar os códigos com a nuvem ao fazer login com sua Conta Google, o que facilita a recuperação em caso de perda ou troca de aparelho.
Criptografia dos dados
-
Os códigos são criptografados em trânsito (durante a sincronização com a nuvem) e em repouso (quando armazenados nos servidores do Google);
-
Isso garante que, mesmo sincronizados, estejam protegidos contra interceptações ou acessos indevidos.
Independência de hardware
-
Embora seja um app mobile, muitos serviços permitem usá-lo como método de verificação mesmo quando o acesso é feito por computador;
-
A verificação é realizada pelo app no celular, mas a liberação concede acesso em qualquer dispositivo onde o serviço esteja sendo utilizado.
O que o Google Authenticator não faz?
Apesar de ser uma ferramenta poderosa e amplamente usada, o Google Authenticator tem as suas limitações.
Saber o que ele não faz é essencial para entender até onde vai sua proteção e onde você pode precisar de soluções complementares.
Não envia notificações push
Diferentemente do Microsoft Authenticator, o autenticador do Google não envia alertas ou solicitações de aprovação.
Ou seja, você precisa abrir o app manualmente e digitar o código. Ele não verifica se é você quem está realizando um acesso, pedindo confirmação mediante um botão de “Aprovar”, como faz o app da Microsoft. Neste caso, o MS Authenticator ainda exibirá três valores diferentes, sendo que é preciso haver coincidência com o que aparece no serviço acessado.
Não tem autenticação biométrica nativa
O app não exige impressão digital, reconhecimento facial ou PIN (Personal Identification Number) para abrir.
Isso significa que, se alguém tiver acesso ao seu celular desbloqueado, pode abrir o app e ver os códigos. É útil mencionar que no caso do Microsoft Authenticator, há a exigência biométrica para abertura e para determinadas confirmações de identidade.
Não faz backup automático sem login
Se você não estiver logado com sua Conta Google, os códigos ficam armazendos apenas no dispositivo.
Nesse caso, se houver perda, roubo ou falha do aparelho, você pode perder o acesso às contas protegidas, a menos que tenha feito a transferência manual ou anotado os códigos de recuperação.
Estes são códigos alternativos ou códigos de backup que são criados quando se configura a verificação em duas etapas em alguns serviços, como a sua Conta Google, para acesso em caso de perda do dispositivo que gera códigos rotativos.
Não permite diferentes perfis simultâneos
O app não suporta mais de uma conta do Google ativa simultaneamente.
Digamos que você tenha uma conta pessoal e uma conta profissional e, portanto, precisa sincronizar os códigos de ambas com a nuvem. Como o app não permite manter as duas logadas simultaneamente, você tem que alternar manualmente entre as contas (fazer logout em uma e login na outra), o que é pouco prático e pode gerar confusão ou perda de sincronização.
Essa é outra desvantagem em relação à ferramenta da Microsoft, que permite múltiplas contas.
Não tem versão para desktop
O Google Authenticator é exclusivo para dispositivos móveis (Android e iOS). Não há versão oficial para computador ou navegador, o que pode limitar o uso em ambientes corporativos ou para quem prefere autenticar via desktop.
Não funciona como gerenciador de senhas
Diferente do Microsoft Authenticator, que por um tempo permitiu armazenar e preencher senhas automaticamente, o Google Authenticator não oferece possibilidade de gerenciamento de senhas.
Logo, ele não salva, não organiza, nem sugere senhas para seus logins. Sua função primária, é gerar códigos temporários para verificação.
Se você busca uma solução para guardar senhas com segurança, será necessário usar um gerenciador de senhas dedicado.
Onde o Google Authenticator é usado?
O Google Authenticator é uma das ferramentas mais populares dentro do universo da autenticação multifator – assunto que nós já abordamos no post “O que é MFA? Como funciona e por que é importante?”. Trata-se de uma abordagem que combina diferentes elementos para confirmar se é realmente você quem está tentando acessar uma conta.
Por padrão, a autenticação multifator, envolve algo que você sabe (como uma senha) e algo que você tem (como o código gerado pelo Authenticator).
Sendo assim, ele é usado em uma variedade enorme de serviços digitais, desde redes sociais, passando por várias aplicações financeiras, até em sistemas corporativos. Portanto, qualquer situação que exija a verificação em duas etapas e que seja compatível com o padrão TOTP, a ferramenta do Google pode ser integrado com facilidade.
Plataformas e serviços populares
Conforme antecipamos, você pode usar o Google Authenticator em uma variedade de serviços que oferecem verificação em duas etapas via TOTP.
Eis alguns exemplos populares:
-
Contas Google (Gmail, Drive, YouTube);
-
Redes sociais – as principais redes sociais, como Facebook, Instagram, Twitter/X (sujeito a mudanças nas configurações de segurança da plataforma), TikTok;
-
Serviços financeiros – diferentes bancos digitais, fintechs e corretoras como Binance, Mercado Bitcoin, Nubank;
-
E-mails corporativos – Outlook, Zoho, ProtonMail;
-
Plataformas diversas – Slack, GitHub, Trello, AWS, Salesforce;
-
Armazenamento em nuvem – alguns dos principais armazenamentos em nuvem (Dropbox, OneDrive, Mega);
-
Marketplaces – grandes plataformas de marketplace (Amazon, Mercado Livre);
-
Jogos online – Steam, Epic Games, Battle.net
Além dos serviços grandes, o Authenticator também pode ser integrado via API ou por meio de plugins específicos e usado em uma variedade de outras situações, como:
-
Sites WordPress (via plugins de segurança do WP);
-
Painéis de controle de servidores (ex: cPanel);
-
CMSs de e-commerce.
Como instalar e configurar o Google Authenticator?
Se você chegou até aqui, já entendeu o papel do Google Authenticator na proteção das suas contas, mas deve estar se perguntando como tirar proveito da ferramenta ou como instalar e configurar, certo?
A boa notícia é que o processo é simples, rápido e não exige que você seja um expert em tecnologia.
Instalação do aplicativo
Embora seja um aplicativo desenvolvido pelo próprio Google e, portanto, compatível com o sistema operacional Android, ele precisa ser baixado manualmente pela maioria dos usuários.
As principais razões para isso são:
-
O Android é um sistema aberto (open source) usado por diferentes fabricantes (Samsung, Motorola, Xiaomi, etc.), os quais o personalizam e decidem quais apps vêm pré-instalados;
-
Mesmo nos aparelhos da linha Pixel, que são desenvolvidos pelo próprio Google, o Authenticator nem sempre vem instalado de fábrica. A depender do modelo, ele é oferecido apenas como opção na Play Store.
Sendo assim, acesse a loja de aplicativos do seu celular Android (Google Play Store) ou iOS (App Store) e busque por “Google Authenticator”. Se não estiver instalado, você verá a opção de “Instalar”.
Adicionando uma conta
Após a instalação, abra o aplicativo. Você terá duas possibilidades para adicionar uma conta:
-
Via QR Code
-
Acesse as configurações de segurança do serviço que deseja proteger;
-
Escolha a opção de verificação em duas etapas com aplicativo autenticador;
-
Escaneie o QR Code exibido na tela com o Google Authenticator;
-
Após o passo acima, o código será gerado automaticamente.
-
-
Via chave manual
-
Se o serviço oferecer uma chave alfanumérica, selecione “Inserir chave de configuração” no app;
-
Digite a chave e nomeie a conta;
-
O código será gerado da mesma forma.
-
Sincronização com a Conta Google (opcional)
Note que se você tem a opção de fazer login com sua Conta Google dentro do app, tocando no ícone de usuário no canto superior direito. Com isso, os códigos poderão ser sincronizados na nuvem, permitindo acessá-los em outros dispositivos vinculados à mesma conta, o que é especialmente útil em casos de troca ou perda do smartphone.
Dicas de segurança
-
Se o seu aparelho permitir, ative a proteção de tela ou biometria no seu celular para evitar que terceiros acessem os códigos;
-
Guarde em local seguro os códigos de recuperação fornecidos pelos serviços. Eles são essenciais se você perder o acesso ao Authenticator;
-
Evite capturas de tela dos QR Codes durante a configuração, isso pode comprometer a segurança do mecanismo, caso terceiros tenham acesso ao aparelho;
-
Não compartilhe capturas de tela do app, mesmo após a configuração, não por causa do código em si, mas sim por outros elementos sensíveis que podem aparecer na tela, como:
-
O nome da conta associada ao código (ex: “Banco XPTO” ou “Painel Admin”);
-
A interface do app, que pode revelar quais serviços você protege com MFA;
-
Especialmente em momentos de configuração, o QR Code ou a chave secreta, os quais são permanentes e podem ser usados para gerar códigos indefinidamente
-
Vale a pena usar o Google Authenticator em 2025?
Apesar do avanço de outras alternativas de autenticação, como notificações push, biometria e gerenciadores de senhas com MFA integrado, dependendo do cenário, o Google Authenticator ainda pode ser uma ferramenta eficiente, e as principais razões são:
-
Facilidade de uso – não requer cadastro, não depende de conectividade com a internet e funciona mesmo em ambientes offline;
-
Compatibilidade – é aceito por praticamente todos os serviços que usam TOTP;
-
Controle local – os códigos ficam no seu dispositivo, o que pode ser uma vantagem para quem prefere evitar sincronizações em nuvem e a possibilidade de vazamentos.
Mas como nem tudo são flores, se você precisa de recursos mais avançados, como backup automático, faz uso de múltiplos perfis ou a autenticação com biometria é essencial, ele não compete com soluções como o Microsoft Authenticator e outros apps de gerenciamento de senhas.
Conclusão
O Google Authenticator continua relevante atualmente, graças à simplicidade, eficiência e compatibilidade, oferecendo controle e proteção das contas online.
