Conta e Acesso

Segurança e Privacidade

6 visualizações Atualizado em

Segurança e Privacidade

Resumo

A tab Segurança (arquivo app/User/Views/profile/tabs/security.php) centraliza controles de autenticação avançada, sessões, dispositivos confiáveis, histórico de login e métodos alternativos (2FA, passkeys, PIN, padrão, selfie, QR code, push). Complementa a tab Privacidade (privacy.php).

Para quem é (personas)

  • Usuário comum preocupado com segurança.
  • Usuários que atuam em contas críticas (afiliados com saldo, investidores).
  • Admins que definem a política mínima em /admin/settings/security.

O que você pode fazer

Senha

  • Trocar senha atual por nova (com confirmação).
  • Política mínima herdada do admin (tamanho, complexidade).

Autenticação de Dois Fatores (2FA)

  • Habilitar 2FA via /api/profile/2fa/setup (gera QR Code para apps TOTP

como Google Authenticator, Authy).

  • Códigos de recuperação gerados na ativação — guarde em local seguro.
  • Desabilitar 2FA após confirmação da senha.

Métodos Alternativos (estados em securityStatus)

  • PIN Login — código numérico curto.
  • Pattern Lock — padrão de desbloqueio (estilo Android).
  • Selfie Login — reconhecimento facial (via FaceService).
  • Magic Link — login por email, sem senha (ligado por padrão).
  • Security Token — token físico/digital de 16 caracteres.
  • Passkeys/WebAuthn — biometria e chaves físicas FIDO2.

Sessões Ativas

  • Listar sessões em andamento (dispositivo, IP, localização).
  • Revogar sessão específica ou encerrar todas exceto esta.

Dispositivos Confiáveis

  • Marcar dispositivo como confiável (evita 2FA recorrente).
  • Remover dispositivos antigos.

Histórico de Login

  • Ver últimos logins com IP, user agent, timestamp e resultado

(sucesso/falha).

Links Compartilháveis

  • Gerar link temporário para acesso em outro dispositivo.
  • Revogar links criados.

Privacidade (tab privacy)

  • Visibilidade do perfil: private, public, ou somente conexões.
  • Mostrar status online / último acesso.
  • Permitir indexação por buscadores.

Como acessar

  1. Faça login.
  2. Acesse /dashboard/profile?tab=security (ou ?tab=privacy).

Tutoriais

Ativar 2FA com app autenticador

Objetivo: Adicionar segunda camada via TOTP.

Passos:

  1. Em Segurança, clique em Ativar 2FA.
  2. Escaneie o QR Code com Google Authenticator/Authy.
  3. Informe o código de 6 dígitos gerado.
  4. Salve os códigos de recuperação exibidos.

Encerrar todas as sessões

Objetivo: Proteger a conta após suspeita de acesso indevido.

Passos:

  1. Acesse SegurançaSessões Ativas.
  2. Clique em Encerrar todas as outras sessões.
  3. Reautentique-se se necessário.

Registrar uma chave de segurança (YubiKey)

Objetivo: Usar hardware key no login.

Passos:

  1. Em SegurançaPasskeys, clique em Adicionar credencial.
  2. Conecte/toque a chave física.
  3. Confirme no navegador.

Integrações

  • WebAuthn via app/Auth/Controllers/WebAuthnController.php.
  • Push Auth via PushAuthController (notificações para aprovar login).
  • QR Code Auth via QRCodeAuthController (estilo WhatsApp Web).
  • FaceService (selfie login) com múltiplos providers configuráveis.

Perguntas frequentes

Perdi o app de 2FA. Como entrar? Use os códigos de recuperação salvos na ativação. Se também perdeu, abra ticket em /dashboard/support para validação manual.

Por que o sistema me pediu para logar de novo? Sessões têm TTL e são regeneradas em eventos sensíveis (mudança de senha, 2FA, alteração de email).

Posso ter várias passkeys na mesma conta? Sim. Cada dispositivo/chave pode ter uma credencial própria. Gerencie em /api/webauthn/credentials.

O P8W envia minha senha em texto puro? Nunca. Senhas são armazenadas com hash (bcrypt/argon2) e nunca aparecem em logs.

Como vejo de onde entraram na minha conta? Em SegurançaHistórico de Login, com IP, dispositivo e data.

Dispositivo confiável desativa o 2FA? Não. Apenas evita o 2FA recorrente naquele dispositivo específico, por um período configurado.

Posso bloquear acesso por país/IP? Funcionalidade administrativa. Solicite ao admin do tenant configurar as políticas em /admin/settings/security.

Limitações e políticas

  • CSP nonce aplicado em todas as páginas (scripts inline proibidos).
  • Cookies com HttpOnly, Secure, SameSite=Lax.
  • Logs de segurança no canal security incluem IP, user agent, tenant_id.
  • Nunca logar senhas, tokens OAuth, CVV de cartões.
  • Rate limiting progressivo em login e reset de senha.
  • CSRF token obrigatório em todo POST/PUT/DELETE.

Relacionados

  • Cadastro e Login
  • Meu Perfil
  • LGPD e Privacidade de Dados
  • API Keys e Integrações

Este artigo foi útil?

Perguntas e Respostas

Nenhuma pergunta ainda. Seja o primeiro a perguntar!

Tem uma dúvida sobre este artigo?

CAPTCHA

Sua pergunta será publicada após aprovação. O e-mail é usado apenas para notificação da resposta.