Olá
Recentemente, o Bitwarden anunciou que vai exigir 2FA para logins em novos dispositivos.
Eu entendo de onde vem essa exigência. O problema é que isso quebra um fluxo de segurança do meio maior medo atualmente: ter o celular roubado/furtado desbloqueado, e os ladrões conseguirem usar de alguma forma meus aplicativos de banco ou de redes sociais para dar golpe.
É o meu maior medo porque é algo muito comum, e já passei por isso pelo menos duas vezes:
Na primeira, em que fui furtado numa festa, peguei o celular de um amigo pra deslogar do dispositivo, e o google exigia confirmação do login por um dispositivo conhecido.
Logo depois disso, troquei todos meus 2FA pra TOTP dentro do próprio bitwarden.
Com isso, na segunda vez que me furtaram, meses depois da primeira, peguei o celular de um amigo, loguei no bitwarden e consegui deslogar de todas as contas importantes.
Na primeira, tive que sair do rolê, ir pra casa, e demorei mais de meia hora pra conseguir deslogar.
Na segunda, em menos de 10 minutos depois do furto eu já tava curtindo a festa de novo, tranquilo que não ia ter mais prejuízos (ainda que puto com o furto).
Então minha pergunta pros amigos desse sítio: o que sugerem que eu faça, pra seguir usando o bitwarden (não queria trocar), manter o 2FA do email (acho que o google nem permite que eu desligue), e siga podendo acessar as contas de um celular novo?
4 comentários
Mas o 2FA não necessariamente precisa ser em um dispositivo conhecido. Você pode ter um aplicativo gerenciador de 2FA que você possa baixar e acessar em outro dispositivo. De preferência, um que não esteja associado à conta principal.
Algumas opções: Ente Auth (o que eu uso), 2FA, Microsoft Authenticator, Aegis, o próprio Bitwarden Authenticator, mas em uma conta diferente, etc.
PS: não recomendaria o Google Authenticator, por motivos óbvios. O 2FA oferece backup pelo Google Drive o que eu não recomendaria, porém, não sei se tem outra forma de sincronizar a conta. E não recomendaria o Authy, já usei ele durante o tempo, e ele só permite acessar de outro dispositivo se autorizar pelo dispositivo principal. Além do fato de ele não permitir exportar os dados para outro aplicativo.
Ressalvas:
¹: o 2FA
Obs.: por conta principal me refiro à conta onde está a maioria dos seus cadastros e o próprio celular (geralmente uma conta do Google), mas também é interessante ser uma conta diferente do gerenciador de senhas.
A parte de “ressalvas” pensei que tinha deletado do comentário, pois acabei sintetizando tudo no último parágrafo mesmo.
Boa!
Meu principal receio com um segundo aplicativo pro 2fa (que me fez usar o próprio bitwarden, mesmo sabendo do maior risco) era ter uma segunda senha forte que eu preciso lembrar, sendo que essa eu quase nunca vou usar (diferente do Bitwarden, que uso várias vezes por dia). Mas acho que é a solução, mesmo.
Gostei da sugestão do Ente Auth, que não conhecia. Comecei a usar aqui, e acho que vai ser minha escolha definitiva.
Valeu demais :)
você provavelmente já deve saber disso, mas uma forma que você pode contornar esse problema de decorar uma senha forte pra esse segundo 2FA é você pegar uma música, uma poesia, uma oração, alguma coisa que você possa relacionar com o desespero que cê vai sentir se te roubarem de novo e que você com certeza vai se lembrar de qual é. porque decorar uma senha de 30 caracteres é difícil e pouco prático, mas decorar 30 letras do seu salmo favorito, citacao, música etc é tranquilo e diminui bastante esse problema