Acabei de baixar o app Autheticator da Google para usar 2FA em um serviço. Sendo que fiquei pensando… O que acontece se, por acaso, meu celular der problema?
Habilitando a 2FA em um serviço, eu só consigo fazer login se tiver o número gerado pelo app.
Daí a pergunta se “é seguro”, do ponto de vista de eu mesmo terminar perdendo o acesso, devido a imprevistos.
São seguros sim, alias é o mais recomendado hoje em dia, geralmente os sites que implementam o 2FA ao ativar esse recurso fornecem códigos alternativos para usar em emergências, basta guardar os códigos em um local seguro.
Eu andei pesquisando sobre o Google Authenticator e na própria Play Store há relatos de pessoas que tiveram esse problema que imaginei. Vi o Microsoft Authenticator e pelo menos a nota é bem maior.
Meu problema com o Google é esse: para mim é impossível falar com eles. Uma vez eles cismaram de barrar o acesso à minha conta e só conseguir acessar após tentar do computador do trabalho (eu acho que criei a conta lá há anos atrás). Sorte a minha que tive esse “insight” senão perderia o email e tudo atrelado a ele.
Vou procurar algum authenticator que ponha numa VM, por exemplo, ou vou testar esse da Microsoft.
Quanto ao autenticador do Google eu não sei, mas eu utilizo o Authy, e com ele temos algumas camadas de redundância. Por ex:
O Authy pode ser instalado tanto no celular quanto no PC (Linux, Windows e Mac). Então perder o celular não é um problema quanto a perder o acesso aos códigos 2FA;
No momento em que ativamos a autenticação em dois fatores em um site/serviço, comumente são gerados códigos de backup pelo próprio site, e basta que você os guarde para ter acesso ao site caso perca o app de 2FA. Isso, pelo que eu sei, funciona para qualquer app de 2FA, inclusive o do Google;
Ao criar a sua conta no Authy você cria tbm uma senha de backup. Com essa senha o seu Authy pode ser acessado através de um novo dispositivo à qualquer momento.
Isso é apenas o que me veio à mente agora, mas tendo em mente esses dados, a pessoa precisa fazer muita “M” pra conseguir perder o acesso a 2FA. Ao menos através do Authy (que é o que eu melhor conheço).
Eu anotei todos os meus códigos de BackUp dos sites nos quais ativei a autenticação em dois fatores, isso significa que mesmo que eu perca o acesso ao Authy no celular, no computador, e também a senha de backup, mesmo assim não perderei o acesso a nenhum desses sites.
Eu também li reclamações do aplicativo do Google na Play Store, mas tenho a impressão de que as pessoas não estavam cientes de que deveriam fazer backup da chave que é usada para gerar os tokens e as deixaram apenas no app, quando por algum motivo tiveram que formatar, perderam a possibilidade de gerar os códigos de autenticação.
Você pode fazer backup destas chaves, mas mantenha-as em segurança, elas são a segunda parte da sua senha.
O Authy não me passa confiança o suficiente, então eu uso o andOTP.
Geralmente os serviços disponibilizam códigos para se utilizar em casos de perda do software de autenticação de dois fatores, daí basta você salvar em algum gerenciador de senhas, tipo o Bitwarden, para utilizar em caso de emergência
Eu utilizei o Google Auth mas ele tem um problema sério, ele não fica salvo nos backups do celular,s e você trocar de celular perde todas as chaves.
como Solução tenho usado o LastPass como banco de senhas e o Autheticator da lastpass que sincroniza entre os dispositivos e mantem um backup
Porém, quanto falamos de contas importantes como a do Google (afinal tem tudo ali email fotos arquivos) eu opto por:
1 - Senhas diferentes e trocadas periodicamente
2 - utilizo 2FA mas uso um usb da ubikey
3 - os 10 códigos de recuperação são impressos e guardados em casa e no escritório em gaveta segura
O legal da Ubikey é que você usa a mesma em vários sistemas e maquinas, utilizo para acesso ao meu Desktop, liberação de sudo, acesso ao Github, Google, Facebook, etc
Para quem não possui nada contra aos produtos/serviços da Microsoft, o Microsoft Authenticator provê backups automático dos códigos. Caso perca ou mude de aparelho, basta logar na conta Microsoft cadastrada, no primeiro acesso ao Authenticator, que as contas salvas serão recuperadas.
O Aegis parece ser uma alternativa bem interessante, quem tiver usando, verifique se ele consegue salvar o backup (encriptado) em um “Drive da vida”.
Tive o celular roubado e comprei outro. Ao usar o Microsoft Authenticator, o 2FA estava ativado e como meu número antigo já não existia mais, pedi para cadastrar um novo. E não é que depois disso, pediram 30 dias para validar o novo número.
Então fiquei sem usar o Microsoft Authenticator e mudei o 2FA do meu trabalho, que era o motivo de eu usar, para SMS (inseguro).
Depois descobri que não preciso usar necessariamento o MSA para 2FA do Office, pode ser qualquer um.
Realmente, eu falhei em adicionar essas opções a mais. Era porque eu não usava muito o outlook, apenas para login do windows e alguns apps Microsoft do Android.