O Google Authenticator é bom justamente por não ter backup proprietário das suas chaves.
O Authy é arriscado, pois sua recuperação depende do seu numero de telefone, que é altamente fraudável.
Topic: 2FA (Autentificação em dois Passos) - Cuidado com o Google Authenticator (Read 275 times)
March 26, 2018, 08:35:10 PM
March 26, 2018, 06:33:04 PM
Parabéns pelo alerta á comunidade!!
Eu uso o Google Authenticator e para já nunca tive problemas e funciona 5*.
Por acaso eu tomo sempre nota da chave de backup, assim como valido se o site tem algum mecanismo de recuperação.
É preciso prestar muita atenção aos pequenos detalhes quando estamos a falar de segurança informática!!!
PS: Neste momento não tenho merit disponível para te dar. Sem duvida um post que merece! Nunca é demais alertar os restantes utilizadores para possíveis problemas.
Espero que o post seja reconhecido pelos restantes. Vou colocar este post na minha watchlist e quando puder darei o merecido mérito.
Eu uso o Google Authenticator e para já nunca tive problemas e funciona 5*.
Por acaso eu tomo sempre nota da chave de backup, assim como valido se o site tem algum mecanismo de recuperação.
É preciso prestar muita atenção aos pequenos detalhes quando estamos a falar de segurança informática!!!
PS: Neste momento não tenho merit disponível para te dar. Sem duvida um post que merece! Nunca é demais alertar os restantes utilizadores para possíveis problemas.
Espero que o post seja reconhecido pelos restantes. Vou colocar este post na minha watchlist e quando puder darei o merecido mérito.
March 26, 2018, 06:18:18 PM
Uma coisa que talvez seja ligeiramente fora do contexto das cryptos, mas pra quem curte "dispositivos criptograficos" como a Ledger Nano $, eu acho importante tambem olhar os dispositivos chamados Yubikeys que servem justamente para uma segurança 2FA em um dispositvo usb. E outra, tanto a Ledger (so da S para diante) como o yubikey possuem o Fido U2F para autenticação em dois passos (é algo parecido como a Gauth, mas propriamente criado para dispositivos usb externos - muito mais seguro), ou seja, a nano S, alem de servir como carteira funciona para o proprio 2FA.
March 23, 2018, 09:59:55 PM
O grande problema do Authy.com é que você volta a ficar a merce de uma senha. Acho que se tiver o backup dos códigos da GA impressos já resolve o problema da perda do celular. Acho que a ideia é seguro, nem sempre muito prático.
March 23, 2018, 08:43:46 PM
obrigado pelas dicas nao sabia de algumas coisas que voce falou obrigado mesmo ,eu salvo num papel sempre
March 23, 2018, 10:40:07 AM
Lembrando que o Authy tem a opção de fazer um backup criptografado dos tokens do usuário na sua nuvem (Authy).
Ou seja, tudo que você precisa fazer é gerar uma senha forte e guardá-la num local seguro.
Aliando backup criptografado com o fato de poder desabilitar múltiplos devices, torna o Authy uma opção relativamente segura e viável.
Ou seja, tudo que você precisa fazer é gerar uma senha forte e guardá-la num local seguro.
Aliando backup criptografado com o fato de poder desabilitar múltiplos devices, torna o Authy uma opção relativamente segura e viável.
March 23, 2018, 07:03:50 AM
Se caso eu não tenha nenhum tipo de backup do 2FA
Como faço pra pegar os codes pra imprimir? Eu tenho 3 contas de 2FA mas por um descuido meu não imprimi nenhum código mas o certo é fazer desde já porque meu celular é meio ruim sempre necessita de formatar e não quero dar essa burrada justo agora que dobrei minha banca.
Como faço pra pegar os codes pra imprimir? Eu tenho 3 contas de 2FA mas por um descuido meu não imprimi nenhum código mas o certo é fazer desde já porque meu celular é meio ruim sempre necessita de formatar e não quero dar essa burrada justo agora que dobrei minha banca.
Só gerando um novo código, resetando o 2FA.
March 23, 2018, 06:36:17 AM
Se caso eu não tenha nenhum tipo de backup do 2FA
Como faço pra pegar os codes pra imprimir? Eu tenho 3 contas de 2FA mas por um descuido meu não imprimi nenhum código mas o certo é fazer desde já porque meu celular é meio ruim sempre necessita de formatar e não quero dar essa burrada justo agora que dobrei minha banca.
Como faço pra pegar os codes pra imprimir? Eu tenho 3 contas de 2FA mas por um descuido meu não imprimi nenhum código mas o certo é fazer desde já porque meu celular é meio ruim sempre necessita de formatar e não quero dar essa burrada justo agora que dobrei minha banca.
March 23, 2018, 06:23:00 AM
Dá pra fazer o backup no Google Authenticator? Como? Alguém indica algum tutorial?
Eu faço backup em papel, imprimindo o qrcode e a chave antes de ativar.
Caso já tenha ativado basta desativar o 2fa e antes de ativar novamente realizar o backup.
March 23, 2018, 02:23:30 AM
Dá pra fazer o backup no Google Authenticator? Como? Alguém indica algum tutorial?
March 23, 2018, 01:38:58 AM
Ótima dica pois também acho que o Authy é o melhor aplicativo para 2FA, pois ele permite fazer back ups. E em caso de perda você conseguirá colocar os seus dados novamente em um novo aparelho sem grande complicações.
March 22, 2018, 07:54:22 PM
Belo post! Só uso o Authy agora. Como o amigo disse, tive uma baita dor de cabeça com o Google Authenticator quando o meu celular deu pau. Tiver que entrar em contato com todas as exchanges pra conseguir ter acesso às contas novamente, consumindo bastante tempo até ter tudo resolvido. GA nunca mais!!!
March 22, 2018, 05:38:15 PM
Nunca me atentei em fazer backup das chaves no GA. Vou fazer no meu tablet por garantia. 
March 22, 2018, 02:03:55 PM
Esperando ansioso pela implementação da 2Fa aqui no forum... com esses "merits" as contas estão muiiiiiiiito mais valiosas, começar do zero e stackar merits é muito impossível.
March 22, 2018, 08:28:14 AM
Boa dica
Isso é aquele tipo de coisa que você sempre deixa pra fazer depois, e quando perde ou estraga o celular já é tarde demais
Isso é aquele tipo de coisa que você sempre deixa pra fazer depois, e quando perde ou estraga o celular já é tarde demais
March 22, 2018, 08:07:31 AM
Tempos atrás eu imprimi todos os QR codes das chaves privadas.. Criem um documento no word ou photoshop no tamanho de uma folha A4, colem as imagens, salvem num pendrive e imprimam em alguma gráfica/lan house..
Também tenho um celular velho que baixei o GA e tenho tudo salvo lá, assim se alguém roubar meu celular, tenho as chaves no outro como garantia..
Não é algo impossível de resolver, geralmente você envia um e-mail pra exchange/outro relatando o ocorrido, porém as vezes leva um bom tempo para a equipe fazer algo e também bloqueiam a sua conta por um determinado tempo (para evitar roubos)..
Para quem ainda não usa 2FA: Usem!
Também tenho um celular velho que baixei o GA e tenho tudo salvo lá, assim se alguém roubar meu celular, tenho as chaves no outro como garantia..
Não é algo impossível de resolver, geralmente você envia um e-mail pra exchange/outro relatando o ocorrido, porém as vezes leva um bom tempo para a equipe fazer algo e também bloqueiam a sua conta por um determinado tempo (para evitar roubos)..
Para quem ainda não usa 2FA: Usem!
March 22, 2018, 06:48:40 AM
Ótima recomendação.
Eu uso Google Auth e tenho backup de todos meus códigos. Recentemente perdi meu telefone e ao comprar outro foi muito fácil recuperar aproximadamente 20 códigos de 2FA.
O Authy, concorrente do google, em minha opinião não é muito recomendado, se você fizer uma pesquisa em sites como reddit e até mesmo aqui no forum vai ver diversos casos de pessoas que tiveram suas contas hackeadas porque o Auth não garante tanta segurança, acho que ele entra em contradição com seu próprio propósito de manter a segurança em 1 dispositivo apenas.
Ora, se é possível recuperar códigos com uma senha então alguém pode hackear sua senha. (Pensamento rápido), logicamente que vai de usuário pra usuário e cada um tem seu próprio critério de criar senhas.
Eu trabalho com segurança da informação e a maioria dos pentest que eu vejo a senha é descoberta sem muito esforço, existe um padrão de "Primeira letra maiúscula" e" últimos dígitos sendo número", basta configurar um brute force com alguns critérios padrões e descobrir a senha, hoje em dia , hacking é executado muito mais com engenharia social / phishing do que com backdoors ou trojans.
Eu falo sobre isso aqui: https://livecoins.com.br/o-que-fazer-em-caso-de-perda-de-celular-com-o-google-authenticator/
+ Merit
Eu uso Google Auth e tenho backup de todos meus códigos. Recentemente perdi meu telefone e ao comprar outro foi muito fácil recuperar aproximadamente 20 códigos de 2FA.
O Authy, concorrente do google, em minha opinião não é muito recomendado, se você fizer uma pesquisa em sites como reddit e até mesmo aqui no forum vai ver diversos casos de pessoas que tiveram suas contas hackeadas porque o Auth não garante tanta segurança, acho que ele entra em contradição com seu próprio propósito de manter a segurança em 1 dispositivo apenas.
Ora, se é possível recuperar códigos com uma senha então alguém pode hackear sua senha. (Pensamento rápido), logicamente que vai de usuário pra usuário e cada um tem seu próprio critério de criar senhas.
Eu trabalho com segurança da informação e a maioria dos pentest que eu vejo a senha é descoberta sem muito esforço, existe um padrão de "Primeira letra maiúscula" e" últimos dígitos sendo número", basta configurar um brute force com alguns critérios padrões e descobrir a senha, hoje em dia , hacking é executado muito mais com engenharia social / phishing do que com backdoors ou trojans.
Eu falo sobre isso aqui: https://livecoins.com.br/o-que-fazer-em-caso-de-perda-de-celular-com-o-google-authenticator/
+ Merit
March 22, 2018, 06:43:34 AM
Realmente essa parte chata do GA, já aconteceu comigo de perder celular e me ferrar, mas aprendi da pior forma, agora tenho backup de todas as contas até com qrcode. Mas como citado isso abre uma brecha de segurança, mas não usar acho que abre uma maior ainda .
. 
March 22, 2018, 06:15:50 AM
Bom alerta.
Porem continuo usando Google authenticator, para mim fica claro que ele não possui backup pois isso abre as portas para vulnerabilidades... quanto mais simples menor a probabilidade de falhar.
Porem continuo usando Google authenticator, para mim fica claro que ele não possui backup pois isso abre as portas para vulnerabilidades... quanto mais simples menor a probabilidade de falhar.
Você pode fazer o backup com o Google Authenticator. Só dá um trabalho adicional, adicionar cada conta em outro aparelho, ou então anotar cada chave em algum lugar... Realmente a segurança do GA é maior, mas acho que não vale o risco e o trabalho. Pois o hacker precisaria hacker o Authy e minhas senhas. É um nível de segurança razoável pra mim.
March 22, 2018, 06:12:06 AM
Bom alerta.
Porem continuo usando Google authenticator, para mim fica claro que ele não possui backup pois isso abre as portas para vulnerabilidades... quanto mais simples menor a probabilidade de falhar.
Porem continuo usando Google authenticator, para mim fica claro que ele não possui backup pois isso abre as portas para vulnerabilidades... quanto mais simples menor a probabilidade de falhar.
Jump to: