Caso de uso

Como enviar códigos de backup 2FA com segurança

Códigos de backup são literalmente chaves-mestras das suas contas — e a maioria das pessoas os entrega por e-mail, Slack ou WhatsApp, onde ficam em um histórico pesquisável para sempre. Veja como fazer um código chegar à pessoa certa sem deixar cópia em lugar nenhum.

Envie um código por um chat que desaparece — grátis, sem cadastro

Por que os canais de sempre são o lugar errado para códigos de backup

Um código de backup de dois fatores existe por um único motivo: ele contorna o seu segundo fator. Qualquer pessoa que encontrar um pode entrar direto na conta a que ele pertence. Isso torna o canal pelo qual você o envia tão importante quanto o próprio código.

O e-mail é o pior de todos. Um código enviado por e-mail vive na caixa de saída do remetente, na caixa de entrada do destinatário, nos servidores dos dois provedores e em cada dispositivo que sincroniza qualquer uma das caixas — indefinidamente, indexado e pesquisável. Se qualquer uma das caixas for comprometida, uma busca rápida por "código de backup" o encontra em segundos.

Apps de mensagem são só um pouco melhores. WhatsApp, Telegram e Slack mantêm a mensagem no histórico por padrão, fazem backup na nuvem e sincronizam com todos os dispositivos logados. Mesmo apps com modos temporários geralmente persistem a mensagem em algum lugar antes — em um backup, no registro de notificações ou em uma exportação.

O padrão seguro é simples: o código deve existir em trânsito e em nenhum outro lugar. Depois que o destinatário o guardou direito (em um gerenciador de senhas, não em um print), nenhuma cópia deve restar em servidor algum, em histórico algum, em dispositivo algum.

As formas seguras de entregar um código de backup

  • 1. Um cofre compartilhado no gerenciador de senhas — melhor para acesso contínuo

    Se você e o destinatário já compartilham um cofre no 1Password, Bitwarden ou Proton Pass, coloque o código lá. Ele fica criptografado de ponta a ponta, o acesso é auditável e nada viaja por um canal de chat. O porém: só funciona quando os dois lados já usam o mesmo gerenciador — o que raramente é verdade com familiares ou em situações pontuais.

  • 2. Um chat que desaparece — melhor para uma entrega pontual

    O FadeChats dá a você uma sala privada para duas pessoas onde as mensagens viajam peer-to-peer por um canal WebRTC criptografado e nunca são armazenadas em servidor algum. Envie o código, confirme que a outra pessoa salvou, feche a aba — sem histórico, sem backup, sem cópia em lugar nenhum. Não precisa de conta nem de instalação de nenhum dos lados, o que o torna prático para a situação exata que os códigos de backup criam: uma transferência urgente e única para alguém que não vai instalar uma ferramenta para isso.

  • 3. Uma nota autodestrutiva — boa para envios de mão única

    Serviços como Privnote ou One-Time Secret criptografam uma nota e a apagam após uma leitura. Sólido para um único código, mas de mão única: se o destinatário precisar confirmar, perguntar de qual conta se trata ou pedir o próximo código, você volta para um canal inseguro no follow-up.

  • 4. Pessoalmente ou por ligação — o plano B analógico

    Ler um código em voz alta em uma ligação não deixa cópia digital (supondo que nenhum dos lados grave). Lento e sujeito a erros com códigos longos, mas funciona quando não há mais nada disponível.

Onde uma cópia do seu código vai parar

CanalCópia no servidorHistórico no dispositivoPesquisável depois
E-mailSim — ambos os provedores, indefinidamenteTodos os dispositivos sincronizadosSim
Slack / TeamsSim — histórico do workspaceTodos os dispositivos logadosSim
WhatsApp / TelegramBackups e sincronização multi-dispositivoSim, a menos que apagada manualmenteSim
Nota autodestrutivaAté a primeira leituraNãoNão
FadeChatsNunca — apenas peer-to-peerSome ao fechar a abaNão
Cofre compartilhadoCriptografado de ponta a pontaArmazenamento criptografado do appSó dentro do cofre

Comportamento em julho de 2026. Configurações de backup na nuvem podem mudar o que os apps de mensagem retêm.

Enviando um código pelo FadeChats

  1. Abra o FadeChats

    Uma sala privada é criada na hora — sem formulário, sem e-mail, sem senha.

  2. Envie o link de convite de uso único

    Compartilhe por qualquer canal, até um inseguro. O link é resgatado exatamente uma vez e expira em minutos, então um link interceptado que já foi usado não vale nada.

  3. Cole o código, confirme, feche

    O código viaja direto entre os seus dois navegadores. Espere a outra pessoa confirmar que salvou no gerenciador de senhas e feche a aba — a conversa acabou e nenhuma cópia jamais tocou um servidor.

A recomendação honesta

Se vocês dois vivem no mesmo gerenciador de senhas, usem um cofre compartilhado — de qualquer forma é o lar certo de longo prazo para um código de backup. Para todo o resto — ajudar um dos seus pais a recuperar uma conta, passar um código de emergência para um colega, uma transferência pontual para alguém que não vai instalar nada — use um chat que desaparece e deixe o canal se apagar sozinho.

Perguntas frequentes

É mesmo inseguro enviar um código de backup por e-mail e apagar depois?

Apagar a sua cópia não apaga a cópia do destinatário, as cópias nos servidores dos provedores nem qualquer backup que as caixas tenham feito no caminho. Apagar um e-mail remove uma de muitas cópias — as demais continuam pesquisáveis.

E se alguém interceptar o link de convite do FadeChats?

O link de convite é resgatado exatamente uma vez e expira em 10 minutos. Se o seu destinatário já o usou, um link interceptado está morto. Se outra pessoa o resgatar primeiro, o seu destinatário não consegue entrar — você perceberia na hora, e nenhum código foi enviado ainda.

A outra pessoa pode tirar print do código?

Sim — nenhuma ferramenta consegue realmente impedir capturas de tela, incluindo apps que afirmam isso. A meta realista é eliminar as cópias que você não controla: logs de servidor, históricos de chat e backups. O destinatário deve mesmo ficar com o código; a questão é que mais ninguém fique.

Onde o destinatário deve guardar o código depois de recebê-lo?

Em uma entrada do gerenciador de senhas, idealmente anexada ao item de login daquela conta. Não em um print, em um app de notas ou no histórico de outro mensageiro — isso só recria o problema um passo adiante.