Neste artigo

Segurança da conta: 2FA e senha

Ative autenticação de dois fatores (2FA) com app autenticador, guarde os recovery codes e entenda como o admin pode forçar 2FA pra toda a empresa.

Atualizado em 20 de maio de 2026

Ative autenticação de dois fatores (2FA) com app autenticador no seu celular, guarde os recovery codes pra emergência e entenda quando o admin força 2FA pra toda a empresa.

Por que 2FA importa

Senha vaza. Pode ser phishing, pode ser reuso de senha de outro serviço comprometido, pode ser keylogger. Com 2FA ativo, mesmo com senha vazada, ninguém entra sem o código que aparece no SEU celular.

Pra empresas que lidam com conversas de clientes (Codewo é caso típico), invasão é desastre — vazamento de dados pessoais, conversas privadas, configurações. 2FA é a maior camada de proteção depois da senha forte.

Como ativar

Em Configurações → Conta → Segurança:

  1. Habilitar 2FA — Clique.
  2. Escaneie o QR Code com um app autenticador no celular:
    • Google Authenticator (Android/iOS)
    • Microsoft Authenticator
    • Authy
    • 1Password (se você usa)
    • Qualquer outro app TOTP padrão
  3. Confirme digitando o código de 6 dígitos que apareceu no app.
  4. Sistema mostra 8 recovery codes — Códigos de emergência únicos. Copie e guarde em lugar seguro (gerenciador de senhas, cofre, papel guardado).
  5. Pronto. A partir da próxima vez que logar, o Codewo pede o código do app além da senha.

Recovery codes — pra que servem

Recovery code é o plano B quando você não tem acesso ao app autenticador.

  • Você recebe 8 códigos aleatórios na ativação.
  • Cada um é uso único — usou, foi.
  • Sirvem pra entrar quando o celular quebrou, perdeu, ou trocou de número sem migrar o app.
  • Quando todos forem usados, você precisa regerar (botão na mesma página) e guardar os novos.

Importante: se você perde o celular E os recovery codes, fica trancado fora da conta. Não tem caminho automático de volta. Só o admin da sua empresa consegue resetar seu 2FA manualmente.

Quando o admin força 2FA pra empresa toda

Empresas com requisito de compliance ou política de segurança podem obrigar 2FA pra todo mundo. Quando o admin liga isso em Configurações → Organização → Segurança:

  • Membros sem 2FA são bloqueados ao logar — viram automaticamente pra página de segurança e precisam ativar antes de fazer mais nada.
  • Quem já tinha 2FA não percebe diferença.

Se você é o admin: avise a equipe antes de ligar. Membro pego de surpresa fica "bloqueado" e precisa configurar na hora.

Trocando senha

Em Configurações → Conta → Segurança, seção "Senha":

  1. Digite a senha atual.
  2. Digite a senha nova (mínimo 8 caracteres recomendado, com letras, números e símbolos).
  3. Confirme.

Codewo desloga as outras sessões automaticamente como precaução. Você precisa logar de novo nos outros dispositivos.

Esqueci a senha — recuperação

Na tela de login, clique em Esqueci a senha. Digite seu email cadastrado. Sistema manda link de redefinição. Esse link expira em ~1 hora — use rápido.

Se você tem 2FA ativo, a redefinição de senha não desliga o 2FA. Ao logar com a nova senha, ainda vai precisar do código do app (ou recovery code).

Pegadinhas comuns

  • Perdeu celular sem ter salvo recovery codes = bloqueio total. Sem recovery code, só o admin da sua empresa pode resetar 2FA manualmente (deletando seu cadastro de 2FA pra você recomeçar). Se você é o único admin, abra ticket no suporte do Codewo.
  • Recovery codes não regeneram sozinhos. Você gasta um, sobram 7. Gasta mais 6, sobra 1. Quando chegar a 0, próximo problema = bloqueio. Verifique recovery codes e regere se sobrarem menos de 3.
  • Código TOTP tem janela curta. O código no app muda a cada 30 segundos. O Codewo aceita o código atual + uns 60 seg de tolerância. Se você demora muito (wifi lento, app demorou a abrir), pode falhar. Tente o próximo código.
  • Mude de celular sem desativar 2FA = bloqueio. Se você troca de aparelho e formata o antigo, o app autenticador some junto. Antes de trocar, ou (a) migre o app pelo recurso de transferência do próprio Google Authenticator/Authy, ou (b) desative 2FA, troque, reative no novo aparelho.
  • App autenticador é por dispositivo, não por nuvem. Se você não usa Authy (que tem backup em nuvem), perdeu o celular = perdeu os códigos de TODAS as suas contas no app. Considere usar Authy ou 1Password como app.
  • Admin reset apaga seu 2FA — mas você fica vulnerável. Quando o admin reseta seu 2FA, você consegue entrar só com senha. Configure 2FA de novo o mais rápido possível.

Boas práticas

  • Ative 2FA no primeiro dia — Antes de ter dados importantes que dão dor de cabeça vazar.
  • Use app com backup em nuvem — Authy, 1Password ou outro que sincronize entre dispositivos. Reduz risco de perder tudo no celular.
  • Guarde recovery codes — Numa pasta no gerenciador de senhas. Imprimir e guardar num cofre físico também é válido pra contas críticas.
  • Senha única e forte. Não reuse senha que você usa em outros lugares. Senha forte = mínimo 12 chars, mix de tipos, sem palavras de dicionário.
  • Em equipes, exija 2FA pra cargos críticos. Super-admin sem 2FA é ponto de falha catastrófico. Considere forçar 2FA pra toda empresa em planos com dados sensíveis.
  • Reveja sessões ativas periodicamente. Se você notar login estranho (cidade desconhecida, dispositivo não reconhecido), troque senha imediatamente.

Veja também

Este artigo foi útil?

Continue lendo

Email: configurando IMAP e SMTP

Conecte uma caixa de email ao Codewo via IMAP (receber) + SMTP (enviar). Funciona com Gmail, Outlook, servidor próprio. Threading e anexos vêm de brinde.

API Keys: criar, usar e revogar

Como gerar uma API Key (cwo_live_*), definir scopes, restringir IPs e usar em chamadas HTTP. Inclui rotação e revogação seguras.

Membros: o que são e como gerenciar

Membros são as pessoas da sua empresa que entram no Codewo. Cada um tem login próprio, pertence a uma ou mais equipes e recebe permissões pelos cargos.

WhatsApp Web: conectando via QR Code

Passo a passo pra conectar um número de WhatsApp Web ao Codewo escaneando QR code. Bom pra MVP e operações pequenas — com as limitações da via não-oficial.