Gateway Guide
中文 / English / Tiếng Việt / Filipino / Português Cadastrar

Segurança · SEGURANÇA DA CONTA

Segurança da conta Gate: quais configurações ativar (em ordem de prioridade)

Equipe Gateway Guide Atualizado em 2026-06-21 Cerca de 9 min
Configurações de segurança da conta Gate dispostas por prioridade, da mais importante para baixo
Assim que você se cadastrar, ative estas primeiro — ordenadas da maior prioridade para baixo.

No instante em que seu dinheiro entra numa corretora, metade do trabalho de manter a conta segura cai no seu colo. A plataforma faz a parte dela, mas a última porta de ações como entrar e sacar — a chave dessa porta está na sua mão. O problema é que a página de segurança da Gate tem uma boa quantidade de botões, e na primeira vez que um iniciante abre aquilo a reação costuma ser ficar olhando pro vazio: quais desses são indispensáveis e quais são só bom ter? Este texto coloca tudo em ordem para você, de cima para baixo, começando pelo que deve ser ativado primeiro. Passe por ele uma vez e em cerca de dez minutos você terá a base da sua conta trancada.

Um aviso antes: o que vem a seguir explica, para cada configuração, o que ela é, por que vale a pena ativar e o que observar ao fazê-lo. Em qual menu exatamente cada botão fica, e qual a cara dele, muda de versão para versão — então, ao longo do texto, vamos dizer apenas "a página de configurações de segurança da Gate", e, na hora de fazer de verdade, siga o que você vê na Gate.

Ative isto no momento em que se cadastrar

Muita gente termina o cadastro e corre direto para comprar uma moeda, deixando a segurança para "depois" — e o "depois" costuma nunca chegar. Só que a janela mais arriscada é justamente esses primeiros dias: a conta está novinha, suas defesas estão nuas, e é exatamente quando você acabou de pôr o primeiro dinheiro lá. Então a ordem deve ser invertida: levante as defesas primeiro, depois coloque dinheiro atrás delas.

Ordenada por importância, a sequência para ativar as coisas é mais ou menos esta: autenticação em dois fatores (ative esta primeiro), código antiphishing, lista branca de endereços de saque, senha de saque, mais a gestão de dispositivos de login como um extra sensato. As quatro primeiras são defesas duras no nível das configurações — impedem que outra pessoa chegue à sua conta. A seção de phishing no fim impede que enganem você para que você mesmo faça isso. Com os dois lados cobertos, a conta está de fato segura. Abaixo, pegamos uma de cada vez: por que ficam nessa ordem e o que observar ao ativar cada uma.

Dica Nenhuma dessas configurações conflita entre si, então dá para ativar todas de uma sentada só. Melhor resolver no dia do cadastro, enquanto você ainda lembra quais senhas definiu — não deixe para depois.

Dois fatores: comece pelo app autenticador, não dependa só de SMS

A autenticação em dois fatores (2FA) é, disparada, a maior prioridade. O que ela faz: mesmo que alguém ponha a mão na sua senha de login, sem o código rotativo do seu celular essa pessoa ainda não entra. Em outras palavras, ela tira a "segurança da conta" do "uma senha carrega tudo" e leva para "duas portas independentes". Pule esta e toda configuração abaixo perde parte do sentido.

Mas, dentro do 2FA, escolher entre SMS e app autenticador faz uma diferença grande. Se você pode usar um app autenticador, não dependa só de SMS. O motivo é que a rota por SMS tem dois pontos fracos embutidos:

  • Seu chip pode ser sequestrado. Usando engenharia social, alguém se passa por você na operadora e consegue emitir um chip substituto; uma vez com o chip na mão, seus códigos por SMS vão direto para o celular dessa pessoa. Esses ataques não são raros lá fora e miram especificamente contas que guardam cripto.
  • O SMS tem que passar pela operadora. O código viaja pela rede e pelos sistemas da operadora — cada salto a mais é mais um lugar onde ele pode ser interceptado.

Um app autenticador (Google Authenticator, Authy e afins) funciona com outra lógica: o código rotativo é calculado localmente no seu celular a partir da hora atual, nunca passa por SMS, nunca passa pela operadora, e sem o seu aparelho específico ninguém consegue o código. A segurança sobe um degrau claro. Então a configuração recomendada é esta: app autenticador como o cavalo de batalha, SMS como rota de recuperação reserva, e vincule os dois se puder — assim, se um dia o celular com seu autenticador não estiver com você, ainda tem o SMS de reserva para entrar.

A verdadeira dor de cabeça com um app autenticador não é ativá-lo — é trocar de celular. É aqui que muita gente se enrosca: pega um celular novo, formata e reseta o antigo, e só então descobre que a sequência de código do autenticador foi junto, enquanto a conta segue trancada nessa sequência, deixando o login a ver navios. Por isso, antes de vincular, pense bem: onde mora aquele código rotativo e como você o leva para o próximo aparelho? Dois caminhos. Ao vincular, copie a chave de backup à parte (também chamada de seed ou chave de recuperação) e use-a para gerar de novo no app novo quando trocar; ou use um autenticador com sincronização na nuvem e migre o conjunto inteiro. O essencial é confirmar que você tem uma saída enquanto o celular antigo ainda está na sua mão — não espere o dia da troca para se ver preso.

Além do autenticador em si, a página de configurações de segurança da Gate geralmente também oferece um conjunto de códigos de backup de uso único — cada um usado uma vez e então gasto — justamente como reserva para o caso extremo em que o autenticador fica totalmente inutilizável. Trate esses códigos como chaves: escreva no papel e guarde numa gaveta, ou armazene num gerenciador de senhas, mas não tire print deles para a galeria do celular — se a galeria for raspada algum dia, os códigos de backup e o autenticador ficam no mesmo aparelho, e as duas linhas de defesa caem juntas. Salve-os enquanto estiver ativando o 2FA: um minuto de trabalho compra uma tranquilidade real.

Faça o backup, sem falta Ao vincular o app autenticador, a página mostra uma chave de backup (ou um QR Code). Copie e guarde à parte — se o celular for perdido ou o app for apagado por acidente, essa chave é o seu único caminho para vincular de novo e não ficar bloqueado para fora. Não tire print só dela no mesmo celular.

Código antiphishing: dê aos e-mails oficiais uma "marca antifalsificação" embutida

O código antiphishing é uma configuração muito subestimada — um minuto para ativar e bloqueia um dos golpes mais comuns que existem. A ideia é simples: você mesmo define uma sequência (algumas letras e dígitos, ou uma frase que só você reconhece) e, depois de definida, todo e-mail legítimo que a Gate te envia traz essa sequência num lugar visível.

É como carimbar nos e-mails oficiais uma marca antifalsificação que você definiu. Um golpista pode forjar um e-mail de "atividade incomum na conta" ou de "confirmação de saque" idêntico, mas não sabe o código que você definiu — então o e-mail falso dele ou não tem sequência ou tem uma inventada. A partir daí, com qualquer e-mail que diga vir da Gate, primeiro confira se o seu código está lá e se está correto; o que não bater, trate como falso. Um gesto simples que filtra a imensa maioria dos e-mails de phishing.

Vale um momento para entender por que esse truque é tão difícil de vencer. E-mails de phishing enganam as pessoas por "parecerem o real": o nome do remetente, o layout, o logo, a redação — um golpista pode copiar tudo isso direto do original, e só de olho você quase não distingue. O que torna o código antiphishing poderoso é que ele troca a base do julgamento real-versus-falso de "parece certo" para "carrega a sequência que só você e a plataforma conhecem". Essa sequência não está em nenhum modelo de e-mail público; ela existe apenas entre as configurações da sua conta e o sistema de e-mail da plataforma, e nenhuma imitação, por melhor que seja, coloca essa sequência nas mãos do golpista. Em resumo, você adicionou um segredo que o outro lado não consegue copiar entre o e-mail real e o falso — por mais convincente que seja a imitação, divergência é divergência.

Um pequeno macete na hora de definir: não use nada fácil de adivinhar — datas de nascimento, os últimos dígitos do seu telefone, palavras como "gate" ou "secure" que qualquer um tentaria — escolha uma combinação irregular que você ainda reconheça num relance. E não tome o atalho preguiçoso de usar a mesma sequência da sua senha de login ou de saque: o código é exibido abertamente nos e-mails por design, então reaproveitar uma senha deixa parte dela à mostra.

Mais duas coisas para manter firme. Primeira, nunca passe o código antiphishing adiante — não tire print num grupo, não digite em nenhuma página que peça para "verificar sua identidade". O valor inteiro dele está em que só você e a plataforma o conhecem; compartilhe uma vez e ele vira lixo. Segunda, ele só cobre o canal de e-mail — "avisos da Gate" que chegam por SMS, mensagens dentro do app ou plataformas de terceiros estão fora dessa proteção, e esses você terá que julgar à parte. Pense nele como um remédio mirado diretamente nos e-mails de phishing: certeiro no alvo, mas não espere que cure tudo.

Lista branca de endereços de saque: tranque a saída

As configurações acima protegem o "ninguém entra". A lista branca de endereços de saque protege outra coisa: mesmo que alguém entre, não consegue ir embora com o seu dinheiro. Com a lista branca ligada, sua conta só pode enviar moedas para endereços que você adicionou e verificou de antemão; qualquer endereço fora da lista, o sistema bloqueia na hora.

Isso é especialmente útil contra um ataque que já chegou aos seus ativos. O objetivo final de quem sequestra a conta é tirar as moedas, e tirar as moedas significa informar um endereço; enquanto esse endereço não estiver na sua lista branca, ele empaca no último passo. É conveniente para você também: adicione os poucos endereços que usa com frequência e não vai precisar copiá-los à mão toda vez — menos trabalho e menos risco de digitar um endereço errado.

Muitas plataformas deixam adicionar um bloqueio de tempo por cima da lista branca — um endereço recém-adicionado precisa cumprir um período de carência antes de poder ser usado, de modo que, mesmo se alguém colocar sorrateiramente o próprio endereço na sua lista, você tem uma janela para perceber e desfazer. Ative essa opção se ela existir. Algumas plataformas também podem ser configuradas para "saques só para endereços da lista branca", soldando todas as saídas fora da lista; se seus endereços de saque são sempre o mesmo punhado, essa é a configuração mais despreocupada — e na rara ocasião em que sacar para um endereço novo, é só adicionar, esperar a carência e enviar.

Para a lista branca cumprir seu papel, ela tem que trabalhar junto com a sua gestão diária de endereços de saque; ative e ignore e as coisas ainda saem dos trilhos. Duas coisas para observar. Primeira, não deixe a lista lotar de endereços antigos que você não usa mais — uma carteira que você trocou, um endereço de depósito que aposentou — deixá-los ocupa espaço e abre uma brecha para explorar; pode os não usados com regularidade, quanto mais enxuto melhor. Segunda, não tome o atalho preguiçoso de rotular cada endereço como "endereço 1", "carteira 2"; alguns meses depois você não vai conseguir casar um com o outro. Escreva etiquetas claras como "depósito da corretora XX" ou "carteira fria de hardware" que você lê num relance, para que ao sacar uma olhada já diga para onde vai — rápido e com menos chance de escolher o errado. Trate como uma agenda de endereços que você cuida com frequência, não algo para configurar uma vez e esquecer. Para o fluxo completo de saque em si, leia junto com o passo a passo de saque na Gate.

Senha de saque e gestão de dispositivos de login

A senha de saque é uma segunda fechadura, separada da sua senha de login, e é exigida em operações sensíveis como sacar ou alterar configurações de segurança. Há só um ponto a martelar aqui: a senha de saque tem que ser, sem exceção, diferente da senha de login. Defina as duas iguais e você equipou as duas fechaduras com a mesma chave, o que torna essa linha extra de defesa uma ficção. Escolha uma combinação que você consiga lembrar e que não tenha nada a ver com a sua senha de login, e grave na memória — esta aqui é bem mais chata de recuperar do que a senha de login.

Por falar em senha, vamos acertar a senha de login já que estamos nisso, pois ela é a camada mais externa de todo o conjunto. A regra que vale guardar acima de tudo: não use numa corretora uma senha que você já usou em outro site. Vazamentos de banco de dados acontecem todo ano, e a dupla e-mail-mais-senha que você um dia usou em algum site sem relação muito provavelmente já foi recolhida numa lista pronta de "credential stuffing", rodada site após site — no dia em que ela bater na sua conta da corretora, a porta está, na prática, destrancada. Tentar manter algumas senhas de cabeça e então cortar caminho reaproveitando-as ou só somando um dígito no fim é o caminho mais arriscado. Use um gerenciador de senhas para gerar e guardar senhas longas, aleatórias e diferentes para cada site, e você só precisa lembrar de uma senha mestra — uma conta de corretora merece, em especial, uma própria, única e forte.

Gaste também um minuto com a gestão de dispositivos de login. A página de configurações de segurança costuma mostrar uma lista dos dispositivos e locais atualmente logados na sua conta; dê uma olhada de vez em quando, expulse qualquer dispositivo que você não reconheça e troque a senha de quebra. Muitas plataformas também deixam ativar alertas de login incomum: um acesso de um dispositivo desconhecido, ou um local de login que você nunca viu, e você recebe um e-mail ou notificação. Ative isso se estiver disponível — coloca o sinal "alguém mexeu na minha conta" bem na sua frente no instante em que acontece, em vez de deixar você descobrir só quando der a próxima checada na lista de dispositivos. Combina bem com o código antiphishing: se houver mesmo um login incomum, o e-mail de alerta traz o seu código antiphishing, o que confirma que o aviso é genuíno e te diz na hora que algo está errado. Mesmo que as defesas acima sejam de algum jeito contornadas, você percebe cedo que "alguém esteve aqui" — em vez de descobrir só quando o dinheiro já se foi.

Suporte falso, apps falsos, URLs falsas: a plataforma de verdade nunca pede sua senha

Ative todas as configurações acima e a porta técnica está basicamente fechada. Mas existe uma classe de risco que nenhuma configuração para — porque contorna toda fechadura e vem direto em cima de você, para que você mesmo abra a porta. É o phishing por personificação em todas as suas formas. Primeiro, decore uma regra que cobre quase todo o terreno: a plataforma genuína, a qualquer momento, jamais vai entrar em contato para pedir sua senha de login, sua senha de saque ou um código de verificação. Quem pede é golpista, sem exceções.

  • Suporte falso. Alguém se passando por "suporte da Gate" te adiciona numa rede social ou num grupo de chat, diz que sua conta tem um problema e que precisa que você "coopere com a verificação", e então te conduz passo a passo a entregar um código ou clicar num link. O suporte de verdade só responde de forma passiva pelos canais oficiais — ele não te manda mensagem do nada pedindo informação sensível.
  • Apps falsos. Um "instalador da Gate" postado num site de download de terceiros ou nos arquivos de um grupo pode ter código de roubo de conta embutido. Baixe o app apenas pelos canais oficiais e, na dúvida, prefira a loja de aplicativos oficial ou o site oficial entrando pelo seu próprio favorito; nunca instale um pacote que alguém te enviou.
  • URLs falsas. Sites de phishing usam um domínio quase idêntico ao real (uma letra trocada, um sufixo diferente) para te induzir a digitar usuário e senha. Crie o hábito: confira a barra de endereço uma vez antes de entrar e, de preferência, salve o site oficial nos favoritos e acesse pelo favorito — nunca por um resultado de busca ou por um link que alguém mandou.

Para a camada mais profunda de conhecimento de segurança em torno de carteiras e chaves privadas, o guia de segurança da Ethereum Foundation cobre o assunto de forma razoavelmente sistemática e vale a leitura se você quiser ir além. Quanto a se esta corretora é sólida no geral e qual é o histórico dela, aprofundamos isso em a Gate é segura.

A prioridade, em resumo

Se você está sem tempo e só quer o essencial, esta ordem é tudo o que precisa guardar:

  • Primeira prioridade, obrigatório: autenticação em dois fatores (use um app autenticador, não dependa só de SMS). É a base de toda defesa seguinte.
  • Segunda prioridade, fortemente recomendado: um código antiphishing e uma lista branca de endereços de saque. Um ajuda a flagrar um e-mail falso, o outro solda a saída dos fundos — um minuto de esforço, retorno alto.
  • Terceira prioridade, básicos: defina a senha de saque diferente da senha de login e dê uma olhada nos seus dispositivos de login de tempos em tempos.
  • Correndo por trás de tudo, no hábito: proteja-se contra suporte falso e URLs falsas — qualquer coisa que peça sua senha ou um código, presuma golpe primeiro.

Nada disso custa nada; os botões estão na página de configurações de segurança da Gate, com a localização exata conforme a página. Passe por essa lista do começo ao fim e a segurança da sua conta já está à frente da da maioria. Essas defesas pertencem ao chassi que você deve levantar na fase de iniciante; para o fluxo completo de abertura de conta, volte ao guia completo da Gate para iniciantes. E, se quiser uma senha realmente forte de partida, use o gerador de senha forte aqui do site, que roda inteiro no seu navegador.

Volte e revise de tempos em tempos

Configurações de segurança não são coisa de fazer uma vez e esquecer. Conforme você usa a conta, as coisas mudam: você troca de celular, adiciona um endereço novo, testa alguma ferramenta de terceiros, entra uma vez num computador que normalmente não usa — cada uma deixa um rastro nas configurações, e com o tempo isso vira uma confusão. De tempos em tempos (digamos a cada trimestre, ou depois de cada troca de aparelho ou faxina de carteira), gaste dez minutos revisando — compensa bem. Aqui está a lista curta para olhar.

A lista de dispositivos autorizados. É a que mais vale checar com regularidade. Percorra cada dispositivo que ainda consegue logar na sua conta — aquele celular antigo que você vendeu faz tempo, o computador que pegou emprestado, o navegador onde entrou uma única vez — e expulse o que não reconhecer ou não precisar mais. Quanto mais limpa a lista, mais fácil notar num relance quando um dispositivo realmente estranho aparecer. De quebra, passe os olhos pelos registros de login atrás de algum local ou horário esquisito.

A lista branca de endereços de saque. Como dito, trate como uma agenda de endereços para cuidar; a revisão é quando você de fato faz esse cuidado. Apague endereços que não usa mais e verifique se as etiquetas dos demais ainda batem e se nenhum dos endereços foi adulterado. Mantenha a lista enxuta — mais fácil de usar e de menor risco.

Chaves de API (se você chegou a criar alguma). Uma chave de API é uma chave feita para programas, comum quando você conecta uma ferramenta quant, um auxiliar de cotações ou um robô de copy trading. Se você é um usuário comum, sem necessidade dela, simplesmente não a crie; uma vez criada, vira uma brecha fácil de esquecer. Dois princípios para manter. Primeiro, privilégio mínimo — marque só as poucas permissões de que realmente precisa; "somente leitura" basta para a maioria das ferramentas de terceiros, e nunca conceda permissão de saque, porque uma chave de API com saque habilitado, uma vez vazada, equivale a entregar a chave da carteira. Segundo, vincule uma lista branca de IP para restringir a chave a endereços de servidor em que você confia. Na revisão, apague qualquer chave que não use mais — muita gente liga uma ferramenta uma vez e depois deixa a chave parada ali; a ferramenta foi abandonada há muito, mas a chave segue viva, um perigo pendurado à toa.

Dois fatores e dados vinculados. Aproveitando, confirme que o autenticador ainda está gerando códigos normalmente e que o e-mail e o telefone vinculados são os que você ainda usa. Tem gente que troca de número ou encerra um e-mail antigo, mas esquece de atualizar os vínculos na conta, e só descobre, na hora em que de fato precisa recuperar a conta, que a rota foi cortada faz tempo. Confira isso na revisão para não ser pego de surpresa quando contar.

Essa passada não leva muito tempo; o que importa é criar o hábito de olhar para trás. As configurações não estragam sozinhas — o que estraga é quando elas se desencontram da sua situação real e ninguém percebe. Confira-as contra a realidade de tempos em tempos, mantenha o estado da conta casando com o que está na sua cabeça, e aquele chassi continua de pé.

Relato da equipe

O que a nossa equipe quer sinalizar

Passamos pela página de configurações de segurança item por item, seguindo o fluxo oficial, e os dois pontos que realmente diríamos para você ficar de olho são: a chave de backup ao vincular o app autenticador — copie e guarde à parte, já que é o seu único caminho de volta se algo acontecer com o celular, e pular isso é a forma mais fácil de se trancar para fora; e não definir a senha de saque igual à de login — este é o passo em que as pessoas mais cortam caminho, mas no momento em que você faz isso aquela linha extra de defesa foi acrescentada à toa. O resto dos botões raramente dá errado se você seguir os avisos da página. Não inventamos detalhes do tipo "tal conta foi hackeada em tal hora com tal prejuízo" — os nomes e localizações exatos dessas configurações seguem o que você vê na Gate e podem mudar levemente conforme a plataforma atualiza.

Chassi montado — pronto para começar?

Cadastre-se pelo link de convite deste site para um desconto na taxa da Gate. O botão passa antes por uma página de aviso aqui no site, que explica de onde vem a oferta e os riscos antes de te mandar para o site oficial.

*Desconto conforme exibido nas páginas da Gate · este site não é afiliado à Gate.

Cadastrar & garantir o desconto

Perguntas frequentes

Sozinho, o código por SMS ou o app autenticador já basta?
Um deles já dá para o gasto, mas comece pelo app autenticador. O código por SMS pode ser derrotado por troca de chip (SIM swap) ou por engenharia social com a operadora; os códigos rotativos do app autenticador ficam guardados localmente no seu celular, não passam pela operadora e são bem mais difíceis de interceptar remotamente. Se puder, ative os dois, com o autenticador como principal e o SMS como reserva para recuperação.
Um golpista consegue ver o meu código antiphishing?
Não. O código antiphishing é uma sequência que você mesmo define, e ele só aparece nos e-mails legítimos que a Gate envia. Os golpistas não conhecem o seu código, então os e-mails falsos deles ou não trazem a sequência ou chutam errado — e é exatamente assim que você diferencia um e-mail verdadeiro de um falso. Depois de definir, nunca tire print nem compartilhe em lugar nenhum.
Com todas essas configurações ativadas, minha conta fica totalmente segura?
Nada é totalmente seguro. Essas configurações bloqueiam a grande maioria dos ataques comuns voltados a contas pessoais, mas não impedem que você mesmo seja convencido a entregar um código, ou a digitar sua senha num site clonado. As configurações são o chassi; a vigilância é o volante — você precisa dos dois. Regras e botões seguem o que está nas páginas da Gate; veja a Central de Ajuda da Gate.

Equipe Gateway Guide

Uma pequena equipe editorial independente que escreve sob pseudônimos. Percorremos nós mesmos o fluxo completo da Gate e depois colocamos tudo em português claro. Não damos recomendação de investimento; os dados são marcados com "veja a página oficial" e revisados com regularidade. Achou um erro? Veja correções.