# Guia de segurança e 2FA — V8

## Ativar o segundo fator

1. Iniciar sessão.
2. Abrir o menu do perfil.
3. Selecionar **Segurança e 2FA**.
4. Carregar em **Ativar agora**.
5. Ler o QR Code com a aplicação autenticadora.
6. Introduzir o código de seis dígitos.
7. Guardar os dez códigos de recuperação.

## Entrar com 2FA

1. Introduzir utilizador/email e palavra-passe na janela única.
2. Introduzir o código temporário.
3. Em caso de perda do telemóvel, usar um código de recuperação.

Cada código de recuperação só pode ser utilizado uma vez.

## Obrigar a equipa interna

No `.env`:

```text
K4W_REQUIRE_2FA_FOR_STAFF=True
```

Depois reiniciar o servidor. Os utilizadores internos sem dispositivo confirmado são encaminhados para a configuração.

## Desativar

A desativação requer:

- palavra-passe atual;
- código temporário ou código de recuperação.

Quando a política interna obrigatória está ativa, os colaboradores não podem desativar o segundo fator.

## Eventos registados

O backoffice inclui **Sistema → Eventos de segurança** com:

- logins concluídos;
- logins falhados;
- códigos OTP válidos e inválidos;
- ativação e desativação;
- utilização de códigos de recuperação;
- regeneração de códigos;
- atualização do perfil;
- IP e navegador.

## Recomendações de produção

```text
DEBUG=False
DEMO_CREDENTIALS_VISIBLE=False
K4W_REQUIRE_2FA_FOR_STAFF=True
SESSION_COOKIE_SECURE=True
CSRF_COOKIE_SECURE=True
SECURE_SSL_REDIRECT=True
```

Também deve existir HTTPS, backups externos e uma conta administrativa de emergência guardada num cofre de palavras-passe.