Google Authenticator com sincronia na nuvem pode não ser boa ideia

O Google Authenticator, aplicativo de senhas temporárias (OTP, na sigla em inglês) usado para autenticação em dois fatores (2FA), foi atualizado. Agora, os códigos temporários podem ser sincronizados via Conta Google.

Segundo Christiaan Brand, gerente de produtos do Google, era um pedido antigo dos usuários que, ignorando os códigos de backup gerados durante a configuração da 2FA, se viam sem saída quando perdiam o celular, ficando trancados para fora das suas contas digitais.

Não há dúvida de que a sincronia via Conta Google é mais conveniente. Por outro lado, essa solução fragiliza um pouco a proteção que a 2FA oferece. Alguém que invada sua Conta Google, por exemplo, teria a faca e o queijo na mão.

Piora. Aparentemente, os dados do Google Authenticator não são criptografados de ponta a ponta, o que significa que o Google ou autoridades com um mandado de busca e apreensão da Justiça poderiam apossar-se dos códigos.

O que fazer, então? O Google ainda permite o uso do Authenticator sem fazer a sincronia. É o ideal. Caso perca seu celular, existe uma saída segura que são os códigos de backup gerados durante a configuração da 2FA. É importante guardá-los em local seguro e acessível.

Quem procura conveniência pode tentar aplicativos do tipo que fazem o backup online/sincronia com criptografia de ponta a ponta, como o Authy. Via Blog de segurança do Google, @mysk@defcon.social/Mastodon (ambos em inglês).

Newsletter

O Manual no seu e-mail. Três edições por semana — terça, sexta e sábado. Grátis. Cancele quando quiser.

Deixe um comentário

É possível formatar o texto do comentário com HTML ou Markdown. Seu e-mail não será exposto. Antes de comentar, leia isto.

8 comentários

  1. Eu não sou fã da sincronização de códigos OTP pelo fato de que, uma vez na web, não se torna algo “físico” que eu tenha, perdendo seu valor de segurança.

    Pra iOS eu uso o Raivo OTP. Dá pra exportar os códigos caso for migrar de celular e é de código aberto.

    https://raivo-otp.com/

  2. Authy já resolveu esse problema há tempos. Desde que troquei de serviço tenho estado muito mais satisfeito.

  3. O Bitwarden, no serviço pago, permite armazenar/sincronizar os códigos de MFA e acessá-los de qualquer lugar. O que lhes parece?

  4. O Aegis permite exportar um JSON do cofre criptografado, que depois você pode importar em outro Aegis e recuperar os dados com a senha original. Me parece uma boa saída também.

  5. O que eu faço é instalo o aplicativo em um celular antigo e deixo guardado, se por acaso eu perder meu principal eu uso esse. Afinal, até onde eu saiba, quando eu faço a transferência pelo QR code de um celular para o outro, os dados não são perdidos, ele faz uma cópia, então ambos os celulares podem acessar o 2FA do Google authenticator.