Transferência do Google Authenticator: migrar a autenticação de dois fatores para um novo celular.
Se você perder o celular que contém seus códigos de autenticação, a Coinbase coloca você em uma fila de verificação de identidade de 48 a 72 horas antes que você possa acessar sua conta novamente. Na Binance, pode levar uma semana. Em corretoras menores, pode levar um mês. Esse é o preço de um autenticador não migrado, e é o único motivo pelo qual este guia existe.
Este guia explica como usar a transferência do Google Authenticator no iOS ou Android, em ambas as direções, usando os dois métodos que realmente funcionam: a exportação por código QR, disponível no aplicativo desde maio de 2020, e a sincronização da conta do Google na nuvem, lançada em abril de 2023 com uma ressalva de segurança importante. Ele também aborda o que fazer em caso de perda ou roubo do celular antigo, os problemas de transferir códigos de autenticação de dois fatores (2FA) para um novo aparelho e o que fazer com contas online importantes, cuja recuperação nem sempre é possível. O objetivo: migrar o Google Authenticator sem perder o acesso às suas contas e manter seus códigos do Google Authenticator em segurança.
Por que a transferência do Google Authenticator é importante antes de trocar de celular?
A autenticação de dois fatores por SMS deixa de funcionar com o SIM. Um ataque de portabilidade, uma troca de operadora, até mesmo uma transferência de eSIM malsucedida — e o código vai parar no celular de outra pessoa. O Relatório de Crimes na Internet do FBI de 2024 registrou 982 queixas de troca de SIM e US$ 25,98 milhões em perdas diretas (uma queda em relação aos US$ 72,65 milhões de 2022, mas os mesmos golpes continuam sendo a porta de entrada para roubo de identidade e esvaziamento de carteiras de criptomoedas). Os códigos de uso único de um aplicativo autenticador ficam armazenados na memória segura do dispositivo, não na rede da operadora. É por isso que a Microsoft afirma há anos que ativar a autenticação de dois fatores bloqueia mais de 99,9% das tentativas automatizadas de comprometimento de contas.
A desvantagem é óbvia. Cada código fica armazenado em um único telefone. Se você o deixar cair no rio, restaurar as configurações de fábrica acidentalmente ou entregá-lo ao seu filho por "cinco minutos", não conseguirá acessar suas contas até concluir o processo de recuperação em cada serviço. Portanto, salve seus códigos, gere-os apenas em um dispositivo que você controla e considere a troca de telefone como uma manutenção de rotina.
Antes de começar: prepare o aplicativo Google Authenticator em ambos os telefones.
Uma parcela surpreendente das transferências malsucedidas ocorre devido à falta de preparação, e não a problemas de software. Três fatores são os principais responsáveis por esse problema: um aplicativo desatualizado, dados biométricos ausentes e uma conexão Wi-Fi instável. Abra o Google Authenticator no telefone antigo e verifique se ele inicia e exibe os códigos QR atualizados. Atualize-o pela Google Play (versão do Android 7.0 ou posterior, lançada em 14 de novembro de 2024) ou pela App Store. Instale o mesmo aplicativo Google Authenticator no novo telefone, faça login com sua conta Google habitual e ative a biometria — a solicitação de exportação se recusa a exibir o QR Code sem uma impressão digital ou reconhecimento facial. Conecte ambos os dispositivos, coloque-os na mesma rede Wi-Fi confiável e desative qualquer VPN.
Enquanto os telefones atualizam, liste todos os serviços vinculados ao aplicativo autenticador. A maioria das pessoas tem dez ou mais contas autenticadoras sem perceber: cada conta do Google, GitHub, todas as contas do Exchange, gerenciadores de senhas, console da AWS, CMS. A tabela abaixo mostra onde ficam os códigos de backup dos serviços que bloqueiam o acesso dos usuários com mais frequência. Mantenha essa lista e senhas fortes para cada serviço à mão — alguns processos de recuperação exigem ambos antes de desbloquear o dispositivo antigo.
| Serviço | Onde ficam os códigos de backup | Notas |
|---|---|---|
| Conta do Google | myaccount.google.com → Segurança → Verificação em duas etapas | 10 códigos de uso único |
| Microsoft | account.microsoft.com → Segurança → Segurança avançada | Código de recuperação, também disponível como alternativa por e-mail. |
| GitHub | Configurações → Senha e autenticação → Códigos de recuperação | 16 códigos |
| Coinbase | Configurações → Segurança → Códigos de backup | Vinculado à verificação de identidade na redefinição |
| Binance | Central do Usuário → Segurança → Autenticação de dois fatores | Recuperação de conta em 24 horas a 7 dias. |
| AWS | Centro de Identidade IAM → Perfil do usuário | Até 8 dispositivos MFA |
| Facebook / Instagram | Central de Contas → Senha e segurança | 10 códigos de recuperação |
Exportar e importar: transfira seu Google Authenticator por QR Code.
A exportação por QR Code foi lançada em maio de 2020. Ela continua sendo o método recomendado pela própria página de ajuda do Google para iOS, e transfere os arquivos de inicialização de cada conta selecionada de um telefone para outro sem nenhum servidor intermediário. Sem nuvem, sem conta do Google.
Comece pelo telefone antigo. Abra o aplicativo e encontre o menu — no Android, ele aparece com três linhas horizontais no canto superior esquerdo; no iPhone, com três pontos, geralmente no canto superior direito, embora algumas versões os coloquem na parte inferior. Toque no menu, escolha "Transferir contas" e, em seguida, "Exportar contas". O aplicativo solicitará sua impressão digital, Face ID ou senha do dispositivo. Após a verificação biométrica, você verá uma lista de todas as contas do Google Authenticator no dispositivo. Selecione as que deseja transferir (a caixa permite selecionar várias contas) e toque em "Avançar". Agora, o aplicativo gera um código QR contendo a chave criptografada para até dez contas simultaneamente. Tem mais de dez? Você verá uma fila de códigos QR numerados, e o aplicativo indicará qual você está visualizando.
Agora, com o novo telefone. Abra o Google Authenticator, toque em "Começar" ou toque no ícone de mais (+) no canto inferior direito se o aplicativo já estiver inicializado. Selecione "Escanear um código QR". Se a etapa de importação perguntar se você está importando de uma conta existente, responda que sim. Segure o novo telefone em frente à tela do telefone antigo e deixe a câmera focar no código QR. O novo dispositivo listará cada conta importada. Toque em "Próximo" para quaisquer códigos QR adicionais no lote.
Os códigos originais permanecem no telefone antigo. Verifique primeiro o novo dispositivo e, em seguida, faça a limpeza. Abra um serviço vinculado, faça login e verifique se o código de verificação de seis dígitos do novo código de autenticação corresponde ao que o serviço espera. Depois que dois serviços permitirem o seu acesso sem problemas, remova as entradas do aplicativo do telefone antigo — ou, melhor ainda, restaure as configurações de fábrica do dispositivo antigo para revenda.
Algumas coisas podem dar errado na prática. A transferência de Android para Android quase sempre funciona sem problemas. A transferência de Android para iPhone ocasionalmente falha ao exibir algumas contas após a importação, especialmente quando a etapa de leitura do código QR codifica mais de cinco entradas; reduza o tamanho do lote e tente novamente. A transferência de iPhone para Android às vezes trava na tela de exportação porque a implementação do iOS do Google está defasada em relação à do Android; se isso acontecer, feche o aplicativo à força, abra-o novamente e inicie a exportação mais uma vez. Uma VPN em qualquer um dos dispositivos também pode corromper a leitura devido à limitação da câmera em alguns clientes VPN. Desative-a para a transferência. Os códigos de transferência contidos no QR são temporários, portanto, se o relógio do novo telefone estiver dessincronizado, você poderá ver códigos inválidos após a importação — abra o menu do aplicativo e toque em "Correção de horário para códigos" para sincronizar novamente o relógio do dispositivo.
Sincronize os códigos do Google Authenticator com sua conta do Google.
A sincronização na nuvem, adicionada em 24 de abril de 2023 com a versão 6.0 no Android e 4.0 no iOS, é o método mais prático. Uma vez ativada, todos os códigos adicionados ou removidos aparecem em qualquer telefone conectado à mesma conta do Google, sem a necessidade de códigos QR. Para a maioria dos logins casuais, isso é exatamente o que as pessoas desejam.
Vale a pena fazer uma pausa para analisar a questão de segurança. Em 48 horas após o lançamento em abril de 2023, os pesquisadores de segurança da Mysk Inc. demonstraram que o tráfego que transportava as chaves TOTP para os servidores do Google não era criptografado de ponta a ponta. O Google se comprometeu publicamente a adicionar criptografia de ponta a ponta "no futuro", mas, até o momento da redação deste texto, a sincronização é protegida apenas pela criptografia do lado do servidor do próprio Google, o que significa que o próprio Google pode, tecnicamente, ler as chaves. Para uma conta do Spotify ou do Twitter, essa é uma troca aceitável em relação à perda de acesso. Para um gerenciador de senhas mestre ou uma corretora de criptomoedas com custódia, eu prefiro o método de QR Code e aceito a dificuldade.
Para ativar a sincronização, abra o Google Authenticator no telefone antigo, toque no ícone do avatar ou perfil no canto superior direito e faça login com a conta do Google que deseja usar como backup. Um indicador de nuvem verde aparecerá ao lado de cada entrada sincronizada. Abra o mesmo aplicativo no novo telefone, faça login com a mesma conta do Google e os códigos aparecerão em poucos segundos. Não há código QR para escanear nem solicitação biométrica.
Se você deseja uma transferência do Google Authenticator que praticamente não cause atrito, a sincronização é a solução — mas use-a apenas para contas de baixo valor se você desconfiar do design sem criptografia de ponta a ponta (E2EE). Mantenha as chaves de autenticação de alto valor (bancárias, criptomoedas, GitHub importantes) vinculadas a um dispositivo por meio da exportação por QR Code ou transfira-as completamente para uma chave de acesso ou chave de hardware. A ficha informativa da CISA de 2022 sobre autenticação multifator (MFA) resistente a phishing, reafirmada em 2024, classifica as chaves de hardware FIDO2 acima de qualquer método TOTP.
Configure o Google Authenticator em um novo dispositivo sem o telefone antigo.
Se o celular antigo já foi perdido, roubado ou está inutilizável, nenhum dos métodos acima funciona, pois todos precisam do dispositivo original. Não há opção de "restaurar da nuvem", a menos que você tenha ativado a sincronização antes da perda. A seguir, apresentamos a única opção, que é lenta.
Para cada serviço vinculado, você precisa fazer login de outra forma e vincular novamente a autenticação de dois fatores (2FA) ao novo telefone individualmente. Os códigos de backup são a maneira mais rápida de recuperar sua conta: o Google fornece dez códigos de backup de uso único da sua conta do Google durante a configuração da 2FA, o GitHub fornece dezesseis e a maioria das exchanges fornece de oito a doze. Se você os tiver salvos em um gerenciador de senhas ou impressos, use um para fazer login e, em seguida, acesse as configurações de segurança, remova a vinculação do autenticador antigo de outro dispositivo e emparelhe o novo telefone escaneando um novo código QR para enviar os códigos novamente para sua conta do Google.
Se você não tiver códigos de backup, o processo será mais lento. A Central de Ajuda da Coinbase informa que a redefinição da autenticação de dois fatores (2FA) leva de 48 a 72 horas, e mais tempo quando a verificação de identidade é ativada. Alguns bancos exigem uma visita presencial à agência. A lição: configure o Google Authenticator com códigos de backup vinculados a um gerenciador de senhas no dia em que o ativar pela primeira vez e imprima uma cópia para guardar em um local onde seu celular não esteja. De qualquer forma, mantenha uma lista de verificação com o nome de usuário e o e-mail de recuperação para cada conta online protegida pelo Authenticator.
Transfira códigos 2FA entre Android e iPhone sem perder o acesso.
A migração entre plataformas é onde se concentram a maioria dos tópicos de ajuda. A transferência do Google Authenticator funciona em ambas as direções entre iOS e Android, mas dois problemas são recorrentes. O primeiro é a digitalização do QR Code para exportação ser bem-sucedida, mas o novo dispositivo exibir apenas um subconjunto das contas. Isso quase sempre ocorre devido ao limite de dez contas por QR Code, que entra em ação silenciosamente, principalmente quando o aplicativo iOS gera o QR Code. Reduza a exportação para cinco contas por vez. O segundo problema é o menu de exportação exibir "nenhuma conta para exportar" no iOS, mesmo que os códigos estejam sendo executados corretamente. A solução nas versões de 2026 é atualizar para a versão mais recente do TestFlight ou da App Store, fechar o aplicativo à força e ativar e desativar a configuração biométrica do dispositivo uma vez.
Faça capturas de tela de cada QR Code de exportação antes de digitalizá-los — em um segundo dispositivo ou imprima-os. Qualquer dispositivo pode ler um QR Code para importar, mas o Google não permite regenerar a mesma exportação. Portanto, uma captura de tela limpa pode ser a diferença entre cinco minutos de trabalho e o pânico descrito acima. Seja você migrando no iOS ou no Android, armazenar essas capturas de tela dos QR Codes com segurança (em uma nota criptografada de um gerenciador de senhas) é a garantia mais barata possível.
Use contas do Google Authenticator com corretoras de criptomoedas e Web3.
A apropriação indevida de contas em exchanges ou carteiras de criptomoedas é praticamente irreversível: uma vez que os fundos são transferidos, eles se perdem. Os códigos de autenticação são o mínimo necessário, e o relatório da Microsoft sobre um aumento de 146% em ataques de phishing do tipo "adversário no meio" (AiTM) até 2024, em comparação com o ano anterior, significa que nem mesmo o TOTP é suficiente por si só. A campanha de "código de conduta" do AiTM, de maio de 2026, atingiu mais de 35.000 usuários em 13.000 organizações em 26 países — os atacantes usaram proxies para páginas de login legítimas, capturaram o código TOTP em tempo real e roubaram o cookie de sessão antes que o usuário percebesse. Vincule uma chave de hardware (YubiKey ou similar) à conta principal do Google primeiro, depois adicione o Authenticator na exchange e desative a autenticação de dois fatores por SMS assim que o Authenticator estiver funcionando corretamente. Os números do IC3 do FBI para 2024 estimam as perdas totais com crimes cibernéticos em US$ 16,6 bilhões, e as reclamações relacionadas a criptomoedas continuam a aumentar a cada ano.
Os processadores de pagamento em criptomoedas merecem o mesmo tratamento que as corretoras. A Plisio, por exemplo, oferece suporte ao TOTP para contas comerciais, e a vinculação por meio do Google Authenticator (ou qualquer aplicativo compatível com TOTP) protege o painel de controle das transações de saída. Ao migrar para um novo telefone, trate o painel de controle do gateway de pagamento da mesma forma que uma carteira online: somente exportação por QR Code, sem sincronização na nuvem, novos códigos de backup gerados e armazenados após a migração.
Alternativas ao aplicativo Google Authenticator que valem a pena considerar
O colapso do Authy remodelou o mercado. Em 19 de março de 2024, a Twilio desativou os aplicativos desktop do Authy meses antes da data originalmente anunciada para agosto. Em julho de 2024, invasores roubaram 33.420.546 números de telefone do Authy por meio de uma API não autenticada, e a Twilio confirmou a violação. Dois ataques em quatro meses. Usuários do Authy se dispersaram.
| Aplicativo | Sincronização na nuvem | Sincronização E2EE | Plataformas | Código aberto |
|---|---|---|---|---|
| Google Authenticator | Sim (desde 2023) | Não (somente no servidor) | iOS, Android | Não |
| 2FAS | Sim (opcional) | Sim | iOS, Android, navegador | Sim |
| Égide | Não (apenas backup local) | N / D | Android | Sim |
| Entrar Autorização | Sim | Sim | iOS, Android, desktop | Sim |
| Autenticador da Microsoft | Sim | Sim | iOS, Android | Não |
| Aplicativo Senhas do iOS 18 | Chave do iCloud | Sim | iOS, macOS | Não |
Em setembro de 2024, a Apple fez algo discreto que vale a pena conhecer. O iOS 18 separou o iCloud Keychain em um aplicativo dedicado para Senhas, que gera códigos TOTP nativamente, preenche automaticamente no Safari e sincroniza com criptografia de ponta a ponta. Para usuários exclusivos da Apple, isso elimina completamente a necessidade de um aplicativo autenticador separado. Para todos os outros, a tabela acima apresenta as opções mais populares.
Guarde seus códigos do Google Authenticator em segurança após a transferência.
Assim que a importação terminar, revise esta lista. Faça login em pelo menos três dos serviços vinculados mais importantes a partir do novo telefone e confirme se os códigos funcionam — e se a tela principal do aplicativo autenticador exibe todas as contas esperadas. Gere novos códigos de backup para todos os serviços que você acabou de migrar; armazene-os em um gerenciador de senhas e em papel, em locais diferentes. Apague o telefone antigo usando o Buscar iPhone ou o Encontrar Meu Dispositivo Android antes de entregá-lo. Para a conta principal do Google, adicione uma senha ou uma chave de segurança de hardware, para que mesmo outro telefone com o seu autenticador não seja suficiente por si só. Essa configuração em camadas é o que impede as campanhas de AiTM (Application In The Mobility) que a Microsoft vem monitorando até 2026. Mais importante ainda, é o que transforma a próxima transferência do Google Authenticator em uma tarefa de quinze minutos, em vez de um momento de pânico.
