Perdi os código do MS Auth, um problema com mais de 2 fatores 😐

vinicgobbi · Maio 4, 2024, 2:46pm

Bom dia colegas, hoje resolvi realizar o feito de formatar o telefone, e como tudo quando é formatado, precisei configurar minhas aplicações novamente, como o titulo sugere, eu baixe o MS Auth (Microsoft Authenticator) para conseguir meu códigos de verificação, fiz o login, e como de costume ativei o backup como sempre fiz, bem…
Nenhuma senha aparecia, aguardei alguns minutos e nada, entrei na documentação já em desespero, e vi q tinha uma opção de restaurar na hora de fazer login, bom, limpei os dados e tentei, novamente nada (acredito q o backup sem nada tenha sobreposto o antigo), agora perdi esse códigos, e consequentemente perdi acesso a apps e sites q uso no dia a dia, felizmente alguns q eu lembro de cabeça eu já desativei a verificação e loguei no celular, ou usei métodos alternativos, por muita sorte acredito estar logado na maioria pelo PC, isso me dá uma vantagem de poder baixar códigos de recuperação ou desativar como mencionei antes

Mas se vcs não quiserem ter o mesmo problema que eu tive, não recomendo usar o Microsoft Authenticator, gostava muito dele, mas depois dessa situação fiquei muito triste (e desesperado tbm, afinal poderia perder coisas importantes), e não usarei mais ele para essa finalidade
É apenas um relato meu

Aliás a titulo de curiosidade

Contas recuperadas:

Google (sim eu usava ele para logar no Google junto com outros meios)
LinkedIn
X (vulgo Twitter)
Discord
Instagram (Ainda não consegui migrar o app de Autenticação, aparentemente terei de esperar um tempo)
Diolinux Plus

Contas decretadas como perdidas:

Discord (Conta alternativa)

wmassis · Maio 4, 2024, 3:06pm

Quando se trata de backup e senhas/códigos, todo cuidado é pouco.

Nada de ruim em usar a tecnologia para facilitar, mas nunca dispenso o velho e bom papel para senhas/códigos. Se a tecnologia falhar, o papel vai valer e livrar de muita dor de cabeça.

Se o backup da nuvem falhar e você tiver um backup “físico”, ainda que não na mesma periodicidade do da nuvem, poderá salvar sua vida.

Nunca confie nos “outros”, quando se tratar de coisas muito importantes. Eles podem te deixar na mão. O próprio Dio passou um baita sufoco com problemas no backup do fórum, no início do ano. E a empresa responsável? Pouco se importou.

vinicgobbi · Maio 4, 2024, 3:19pm

Fico chateado pois era uma camada extra, felizmente tenho meios para recuperar a senha muito eficazes sim, além dos digitais, mas quando se fala da verificação em dois fatores, eu fico a merce da tecnologia, já que é gerado um código aleatório em um determinado tempo, e embora alguns sites disponibilizem códigos alternativos, não foram todos q me permitiram

OrlyonBR · Maio 4, 2024, 3:24pm

eu tenho varios meios de verificaçao, sim no telefone, sms, outro celular, pc, um emulador no pc com android, e tbm uma vm no virtualbox que ta no hd externo ae posso usar quando quiser em outro pc. será que ta bom de opções ksks

wmassis · Maio 4, 2024, 3:29pm

Você está certo.
A gente sente o valor de ter mais opções/alternativas, só quando algo dá errado.
É nessa hora que você percebe que não exagerou e agradece, aliviado.

kevinlucasilva · Maio 4, 2024, 6:07pm

Uns 5 anos atrás eu testei pela primeira vez TOTP na minha conta do Mercado Livre, que exigiu na época, e usei o Google Autenticador. Daí meu telefone deu defeito e não tive como recuperá-lo, perdendo o acesso à essa conta.

Até comprar um aparelho e recuperar a conta por meio da minha identidade e reconhecimento facial, fiquei completamente cético a usar TOTP, e sempre fuji de usar.

Aí recentemente, tenho usado o KeePassXC (desktop) e KeePassDX (mobile), pois vi que dessa forma consigo manter um bom nível de segurança dessas informações apenas guardando o arquivo database (.kdbx), e daí coloquei TOTP em todas as contas possíveis.

Enfim, têm sido uma maneira segura de ter esse controle, o que exige uma certa responsabilidade de não perder ou corromper esse arquivo, mas não dependo de um dispositivo específico, e aí mantenho backups em vários locais.

Deleterium · Maio 4, 2024, 7:33pm

Um problema que eu vejo é usar código de autenticação de dois fatores com apenas dois métodos de login. Nesse caso perder um dos meios é perder o acesso à conta. Portanto, se você vai usar autenticação em 2 fatores, precisa ter pelo menos 3 métodos para logar. Não se esqueça que cada método está em um dispositivo específico, e isso também deve ser levado em conta. Entre os métodos comuns:

Senha
TOTP (baseado em qual dispositivo?)
Código de login de uso único
SMS
E-mail (sabes a senha de cabeça ou está no arquivo de senha?)

Agora vejamos alguns casos:

Se a senha está salva no computador e o código de login único está no computador, uma falha no computador e vc perderá dois meios de login.
Se há recuperação por SMS e o programa TOTP está no celular, então perdeu o celular, perdeu dois métodos.
Se tem recuperação por email, e vc usa a senha para login: caso não memorize a senha do email e ela esteja no arquivo de senhas, então perdeu o arquivo de senhas, perdeu dois métodos de login.
Caso extremo: Se a senha está salva em papel e em arquivo do computador, caso a casa pegue fogo, então perdeu o acesso.
Os casos citados também vale para roubo/invasão do dispositivo, onde um malfeitor pode comprometer um dispositivo e ter acesso a mais de um meio de autenticação.

Para ver, cada caso é um caso e cada um deve fazer a própria análise de segurança de seus meios de autenticação. Saber cuidar dos acessos aos serviços digitais faz parte de uma vida adulta saudável e independente. Pra quem viveu antes da internet, seria como se preocupar em ter uma assinatura própria e difícil de ser falsificada.

edsons.barbosa32 · Maio 7, 2024, 3:23pm

Passei por algo semelhante a pouco amis de um anos ai acabei migrando para o dashlane pagava equivalente 10 R$ por meês e tina tudo senhas e os codigos, porem o mesmo começou a querer renovar somente anual ai acabei saindo.
Hoje o meu cenario é o seguinte utilizo o Keepassxc com senha mestre e 3 bancos de dados 1 para senhas outro para os codigos TOTP e um terceiro para os codigos de backup e armazeno os 3 bancos de dados em um pendrive e no meu servidor Nextcloud caso precise acessar alguma senha ou codigo no celular. Mesmo por que no celular se você parar para pensar você so usa mais alguma senha ou codigo dependendo da pessoa somente quando formata o celular.

Algumas outras ideias utilizando programas gratuitos e com possibilidade de backup que vi ate o momento que talvez eu faça:

Montar um servidor VaultWarden e usa-lo para armazenar tudo ou no caso 3 contas uma para cada funcionalidade ou utilizar o vaultwarden para senhas e o keepass para os codigos assim não preciso expor todos os meus bancos de dados.

Quanto o banco de dados de Codigos de Recuperação eu deixo ele somente no pendrive pois sei que só irei usa-los caso perca o banco de dados contendo os codigos de autentificação

henriqueffc · Maio 7, 2024, 6:57pm

Recomendo o app Aegis. Ele permite exportar o cofre criptografado. O trabalho a mais em relação à apps que salvam na nuvem é exportar o cofre e salvar em outro dispositivo ou USB. O recomendado é fazer uma senha forte para usar o Aegis e criptografar o cofre.

Para gerir as senhas uso no desktop o KeePassXC e no mobile KeepassXD. Para sincronizar o banco de dados entre os dispositivos uso o Syncthing. Faço como o @kevinlucasilva, mas sem usar o recurso de TOTP. Prefiro não concentrar tudo em um aplicativo. Por esse motivo que uso o Aegis. As dicas do @Deleterium são muito boas. Costumo criptografar e salvar os códigos de login de uso único usando o Cryptomator.

kevinlucasilva · Maio 7, 2024, 7:33pm

É… realmente é mais seguro ter um cofre/banco de dados para as senhas e outro para os TOTPs, já que seriam necessários quebrar duas seguranças. Eu não fiz isso por conveniência, mas quem sabe futuramente, só que continuaria usando o KeePassXC e KeePassDX para isso (ou seja, outro arquivo.kdbx).