Segurança e autenticação dupla
Segurança da conta: autenticação dupla e conexões suspeitas
Introdução
O Fotostudio integra agora vários mecanismos para proteger a tua conta: autenticação dupla (MFA), deteção de conexões incomuns, histórico de conexões e invalidação automática de sessões em caso de alteração de palavra-passe.
Autenticação dupla (MFA)
O que é?
A autenticação dupla adiciona um segundo passo à tua conexão. Depois de inserires a tua palavra-passe, deves introduzir um código de 6 dígitos gerado por uma aplicação de autenticação no teu telemóvel. Mesmo que alguém roube a tua palavra-passe, não pode aceder à tua conta sem o teu telemóvel.
Que aplicação usar?
O MFA do Fotostudio baseia-se no protocolo TOTP (standard aberto RFC 6238), compatível com todas as apps de autenticação do mercado:
- Google Authenticator (iOS / Android)
- Authy
- Microsoft Authenticator
- 1Password, Bitwarden, etc.
Ativar o MFA
- Vai a Minha conta → Segurança → Autenticação dupla
- Instala uma app de autenticação no teu telemóvel
- Digitaliza o código QR exibido com a tua app
- Introduz o código de 6 dígitos gerado pela app para confirmar
- Escolhe a frequência de verificação (ver abaixo)
- Guarda os teus códigos de recuperação (passo crítico, ver secção dedicada)
Frequência de verificação
Ao ativar, escolhes quando o código te é pedido:
Opção | Comportamento |
|---|---|
A cada conexão | O código é sempre pedido, sem exceção |
Na conexão a partir de um navegador desconhecido | O código é memorizado 90 dias neste navegador através de um cookie seguro. Será pedido novamente se mudares de navegador ou dispositivo, limpares os teus cookies, mudares a tua palavra-passe, ou te conectares a partir de um país incomum |
A ter em conta: em modo "navegador desconhecido", se voltares sempre ao mesmo navegador sem limpar os cookies, o código não te será pedido durante 90 dias. É uma escolha de conforto deliberada, similar ao comportamento de sites importantes como o Google.
Desativar o MFA
Vai a Minha conta → Segurança → Autenticação dupla e clica em Desativar. É pedida uma confirmação.
Códigos de recuperação
Porque é importante
Se perderes o acesso ao teu telemóvel (roubo, avaria, nova app), os códigos de recuperação são a única forma de te conectares. Sem eles, a tua conta ficaria inacessível.
Como funciona
- Ao ativar o MFA, 10 códigos de recuperação são gerados e exibidos uma única vez
- Cada código está no formato
XXXX-XXXX-XXXX - Um código é de uso único: uma vez usado, é definitivamente invalidado
- Usam-se em vez do código TOTP na página de conexão MFA
Como guardá-los
- No teu gestor de palavras-passe (1Password, Bitwarden…)
- Num ficheiro encriptado
- Impressos e guardados num local seguro
Regenerar os códigos
Se te aproximares de 0 códigos restantes, ou se pensares que os teus códigos foram comprometidos:
- Vai a Minha conta → Segurança → Autenticação dupla
- Clica em Regenerar os códigos de recuperação
- Os códigos antigos são imediatamente invalidados
- Guarda os novos códigos
O número de códigos restantes é exibido na página Segurança. Um aviso aparece automaticamente quando restam 2 ou menos.
Deteção de conexões incomuns
O Fotostudio analisa automaticamente cada conexão e compara o país do endereço IP atual com o da última conexão conhecida.
O que acontece em caso de conexão suspeita?
Email de alerta automático - recebes um email indicando:
- O país detetado
- O endereço IP
- A data e hora da conexão
- Um link direto para mudar a tua palavra-passe
- Um link para ativar o MFA se ainda não estiver feito
Se tiveres o MFA ativado - mesmo que o teu navegador estivesse marcado como "de confiança", o código TOTP é automaticamente pedido novamente em caso de conexão a partir de um país diferente.
O que não desencadeia alerta
- Mesmo país, endereço IP diferente (mudança de rede, 4G → WiFi, etc.)
- Conexões a partir de endereços locais (rede interna, desenvolvimento)
Se receberes um email de alerta e não fores a origem desta conexão, muda imediatamente a tua palavra-passe através do link no email.
Histórico de conexões e página Segurança
A página Minha conta → Segurança centraliza todas as informações de segurança da tua conta:
Estado MFA
- Se o MFA está ativo: data de ativação, número de códigos de recuperação restantes, link para a gestão
- Se o MFA está inativo: convite para ativar com link direto
Histórico de conexões
Exibe as últimas 50 conexões à tua conta com:
Coluna | Detalhe |
|---|---|
Data | Data e hora da conexão |
País | País detetado através do endereço IP |
Endereço IP | IP usado na conexão |
Navegador | User-agent do navegador |
⚠️ | Conexão a partir de um país incomum |
🔒 | Código MFA verificado nesta conexão |
Mudança de palavra-passe
Quando mudas a tua palavra-passe em Meu perfil, várias ações de segurança são desencadeadas automaticamente:
- Todas as outras sessões ativas são invalidadas - qualquer pessoa conectada à tua conta noutro dispositivo é imediatamente desconectada
- A confiança de todos os dispositivos MFA é revogada - o código TOTP será pedido novamente em todos os dispositivos na próxima conexão, mesmo nos anteriormente memorizados
Proteção contra ataques de força bruta
Em complemento ao MFA, o Fotostudio limita automaticamente as tentativas de conexão:
Ponto de entrada | Limite |
|---|---|
Página de conexão (por IP) | 5 tentativas por minuto |
Página de conexão (por email) | 10 tentativas por 10 minutos |
Código MFA | 5 tentativas por 5 minutos |
Redefinição de palavra-passe | 10 tentativas por 10 minutos |
Para além destes limites, o acesso é temporariamente bloqueado.
Se tiveres uma mensagem a dizer que a tua conta está bloqueada quando tentas conectar-te, deves esperar 1h para que se desbloqueie automaticamente ou contactar o suporte para que a desbloqueiem instantaneamente.
FAQ
P: O meu código TOTP não é aceite.
Verifica se
Actualizado em: 18/06/2026
Obrigado!