2FA é realmente seguro?

Olá pessoal.

Acabei de baixar o app Autheticator da Google para usar 2FA em um serviço. Sendo que fiquei pensando… O que acontece se, por acaso, meu celular der problema?

Habilitando a 2FA em um serviço, eu só consigo fazer login se tiver o número gerado pelo app.

Daí a pergunta se “é seguro”, do ponto de vista de eu mesmo terminar perdendo o acesso, devido a imprevistos.

Obrigado

é justamente esse meu receio também, por isso não uso 2fa, uso apenas o bitwarden para gerar e salvar senhas, pelo menos não é a mesma em 200 serviços

4 curtidas

São seguros sim, alias é o mais recomendado hoje em dia, geralmente os sites que implementam o 2FA ao ativar esse recurso fornecem códigos alternativos para usar em emergências, basta guardar os códigos em um local seguro.

Eu andei pesquisando sobre o Google Authenticator e na própria Play Store há relatos de pessoas que tiveram esse problema que imaginei. Vi o Microsoft Authenticator e pelo menos a nota é bem maior.

Meu problema com o Google é esse: para mim é impossível falar com eles. Uma vez eles cismaram de barrar o acesso à minha conta e só conseguir acessar após tentar do computador do trabalho (eu acho que criei a conta lá há anos atrás). Sorte a minha que tive esse “insight” senão perderia o email e tudo atrelado a ele.

Vou procurar algum authenticator que ponha numa VM, por exemplo, ou vou testar esse da Microsoft.

@daniloancilotto

Danilo, essa parte eu sei, o que falo de segurança é a questão de a pessoa perder o acesso ao App.

Quanto ao autenticador do Google eu não sei, mas eu utilizo o Authy, e com ele temos algumas camadas de redundância. Por ex:

  • O Authy pode ser instalado tanto no celular quanto no PC (Linux, Windows e Mac). Então perder o celular não é um problema quanto a perder o acesso aos códigos 2FA;
  • No momento em que ativamos a autenticação em dois fatores em um site/serviço, comumente são gerados códigos de backup pelo próprio site, e basta que você os guarde para ter acesso ao site caso perca o app de 2FA. Isso, pelo que eu sei, funciona para qualquer app de 2FA, inclusive o do Google;
  • Ao criar a sua conta no Authy você cria tbm uma senha de backup. Com essa senha o seu Authy pode ser acessado através de um novo dispositivo à qualquer momento.

Isso é apenas o que me veio à mente agora, mas tendo em mente esses dados, a pessoa precisa fazer muita “M” pra conseguir perder o acesso a 2FA. Ao menos através do Authy (que é o que eu melhor conheço).

Eu anotei todos os meus códigos de BackUp dos sites nos quais ativei a autenticação em dois fatores, isso significa que mesmo que eu perca o acesso ao Authy no celular, no computador, e também a senha de backup, mesmo assim não perderei o acesso a nenhum desses sites.

7 curtidas

Obrigado pela ajuda, Jedi.

Ao invés do Authy, que é proprietário, recomendo o andOTP e o Aegis:

3 curtidas

Eu também li reclamações do aplicativo do Google na Play Store, mas tenho a impressão de que as pessoas não estavam cientes de que deveriam fazer backup da chave que é usada para gerar os tokens e as deixaram apenas no app, quando por algum motivo tiveram que formatar, perderam a possibilidade de gerar os códigos de autenticação.
Você pode fazer backup destas chaves, mas mantenha-as em segurança, elas são a segunda parte da sua senha.

O Authy não me passa confiança o suficiente, então eu uso o andOTP.

Geralmente os serviços disponibilizam códigos para se utilizar em casos de perda do software de autenticação de dois fatores, daí basta você salvar em algum gerenciador de senhas, tipo o Bitwarden, para utilizar em caso de emergência :slight_smile: :v:

Eu utilizo o FreeOTP, que se não me engano é da Red Hat :thinking:

Eu utilizei o Google Auth mas ele tem um problema sério, ele não fica salvo nos backups do celular,s e você trocar de celular perde todas as chaves.

como Solução tenho usado o LastPass como banco de senhas e o Autheticator da lastpass que sincroniza entre os dispositivos e mantem um backup

Porém, quanto falamos de contas importantes como a do Google (afinal tem tudo ali email fotos arquivos) eu opto por:

1 - Senhas diferentes e trocadas periodicamente
2 - utilizo 2FA mas uso um usb da ubikey
3 - os 10 códigos de recuperação são impressos e guardados em casa e no escritório em gaveta segura

O legal da Ubikey é que você usa a mesma em vários sistemas e maquinas, utilizo para acesso ao meu Desktop, liberação de sudo, acesso ao Github, Google, Facebook, etc

Também faço isso. É certamente a forma mais segura.

1 curtida

Para quem não possui nada contra aos produtos/serviços da Microsoft, o Microsoft Authenticator provê backups automático dos códigos. Caso perca ou mude de aparelho, basta logar na conta Microsoft cadastrada, no primeiro acesso ao Authenticator, que as contas salvas serão recuperadas.

O Aegis parece ser uma alternativa bem interessante, quem tiver usando, verifique se ele consegue salvar o backup (encriptado) em um “Drive da vida”.

Só não mude de celular :sweat_smile:

Tive o celular roubado e comprei outro. Ao usar o Microsoft Authenticator, o 2FA estava ativado e como meu número antigo já não existia mais, pedi para cadastrar um novo. E não é que depois disso, pediram 30 dias para validar o novo número.
Então fiquei sem usar o Microsoft Authenticator e mudei o 2FA do meu trabalho, que era o motivo de eu usar, para SMS (inseguro).

Depois descobri que não preciso usar necessariamento o MSA para 2FA do Office, pode ser qualquer um.

Eu utilizo o app da Microsoft, o bom que ele fica atrelado a sua conta da própria Microsoft, junto com o Bitwarden.

Isso seria contornado se:

  • Tiver cadastrado um segundo email nas opções de recuperação de conta.
  • O principal, impresso, salvo ou anotado os códigos de backup que são fornecidos ao ativar o 2FA (isso pra qualquer conta onde ele seja ativo).

Realmente, eu falhei em adicionar essas opções a mais. Era porque eu não usava muito o outlook, apenas para login do windows e alguns apps Microsoft do Android.

Mas 30 dias foi tenso.