Lendo o recente post sobre burocracia digital aqui no Órbita, percebi que um ponto em particular foi levantado várias vezes: a falta de backups para códigos de A2F, principalmente ao se utilizar o Google Authenticator, aplicativo que se tornou um padrão de facto para este serviço.
Primeiro de tudo, eu consigo entender a frustração de se ficar completamente travado para fora de um serviço de que se precise, mas quero incentivar as pessoas a não desconsiderarem o uso de A2F para todas as contas importantes que tiverem.
Eu dei uma pesquisada breve antes de escrever este post, e parece que o caminho de ataque mais frágil ao sistema de A2F é quando o código é recebido por SMS, ou por vezes e-mail (desconsiderando phishing, malware e similares, pois estou focando no sistema de A2F em si). Desta forma, permaneço confiante de que uma boa autenticação realizada via app continua sendo uma proteção muito sólida contra ataques.
Dito isso, passamos aos problemas principais do Google Auth: a já mencionada dificuldade (impossibilidade?) de fazer backup ou exportar seus códigos, e também o próprio fato de que não devemos deixar uma parte importante da nossa infraestrutura digital, a de segurança, sob o controle opaco de uma plataforma de Big Tech – ou qualquer outra mega-corporação.
Fui refinando as soluções que eu adotava ao longo do tempo, e cheguei já há alguns anos na recomendação deste post: o Aegis Authenticator. Se trata de um aplicativo de A2F gratuito, livre, de código aberto – e que convida o usuário a checá-lo já na página inicial -, e que dá destaque, inclusive, para download via F-Droid.
A parte que, pra mim, foi a que mais me motivou a adotá-lo é o fato de que é possível fazer backup de todos os códigos em um arquivo criptografado, de modo que eu não me sinto preocupado com meus acessos se perder meu celular.
Minha estrutura de segurança digital (a parte de acesso, pelo menos) no momento é a seguinte:
– Senhas salvas no meu desktop em casa dentro do KeePassXC, com backup deste database no celular/nuvem/etc, e senha-mestra muito forte guardada apenas na minha mente. Serviços como internet banking eu acesso apenas de casa.
– Senhas menos críticas salvas no Bitwarden, que acesso em outros computadores, como no trabalho, para ter comodidade. A senha deste é muito forte, também apenas memorizada.
– Autenticação em 2 fatores via Aegis, no celular, com backup deste database também no desktop/nuvem/etc, protegido por uma terceira senha bastante forte, que apenas guardo na memória.
Desta forma, preciso memorizar ‘apenas’ 3 senhas fortes; acredito que é algo que a maioria das pessoas consegue fazer, se realmente se preocupar com isso, mesmo não sendo tão paranóico quanto eu. A minha segurança e acesso aos serviços críticos está nas mãos de programas de código aberto, com boa reputação (pelo que consegui verificar), e que todos são hosteados localmente.
Como disse, tenho confiança de que o A2F bem utilizado é uma barreira muito sólida, e também acredito que este software atende a meus critérios de ética e transparência bem o suficiente para eu vir aqui fazer “merchan” de graça pra ele rs. Mesmo assim, convido os leitores do Órbita a comentarem se concordam ou discordam comigo, e também sobre o que acham da implementação do Aegis.
5 comentários
Eu uso o Ente Auth, que também é livre, de código aberto, e tem versão para todos os dispositivos.
Até cansei em ler todo o processo que você adotou. Rs
Brincadeiras a parte, eu guardo tudo no bitwarden, agora os códigos de backup eu deixo tudo no Gdrive. Pensando bem, preciso fazer backup local desses dados.
como o Ghedin disse, não me preocupo tanto porque também não sou uma pessoa visada. eu uso o Aegis já tem um tempo pra gerenciar o A2F e Bitwarden para gerenciamento de senhas e passkey, minha experiência com os dois tem sido a melhor possível (tirando quando configurei errado um vault no Linux, mas aí foi problema de burrice minha e não do software XD)
Tenho usado o Zoho One Auth, que tem proteção por PIN, permite múltiplos dispositivos e até coordena as sessões autenticadas deles.
Serviços que oferecem 2FA por aplicativos (TOTP), como o Google Authenticator, geram códigos de becape quando são configurados. É bom ter esses salvos em local seguro para cenários catastróficos.
O Google Authenticator permite passar manualmente as contas de um celular para outro, mas é preciso ter os dois celulares por perto. O que eu uso, o iCloud da Apple, exporta os códigos 2FA em um padrão que pode ser lido por outros apps, como o KeePassXC — que, além de senhas, também lida com 2FA.
Eu não sou uma pessoa visada, por isso simplifiquei bastante o meu gerenciamento de senhas. Mantenho tudo no iCloud (senhas e 2FA) e só guardo aqueles códigos de becape em um cofre à parte no KeePassXC. É mais cômodo e igualmente seguro na maioria esmagadora das situações.