Bitcoin Forum

Aqui nesse mundo de criptomoedas usamos muito 2FA (2Factor Authenticator, ou autentificação em 2 passos), para web wallets, exchanges, etc...

É altamente recomendável usar 2FA. Eu uso em quase todas as minhas contas. Existem vários apps que fazem 2FA, sendo os mais usados Authy e Google Authenticator.

Mas uma coisa que muitas pessoas não sabem é que se você usa o Google Authenticator(GA), deve tomar alguns cuidados adicionais. O GA não salva as suas contas de acesso na sua conta google. Então fique ligado, se você perder seu telefone, já era. Isso mesmo, perde o acesso a todas as contas com 2FA (a não ser que o site tenha algum mecanismo adicional de recuperação).

Então se você usa o GA vale a pena tomar essas duas precauções:
-Deve sempre anotar a chave ao cadastrar a conta de 2FA. Pouca gente percebe, mas sempre aparecem uma sequencia de números abaixo do QR code (ou em algum outro lugar na página) quando você cadastra aquela conta no seu GA.
-Cadastrar a conta em outro dispositivo, como um tablet.

Uma excelente alternativa ao GA é o  Authy  (https://authy.com/). Esse programa funciona igual ao GA, mas ele guarda as suas contas de acesso. Dessa forma, se você perder o celular, não tem problema.
Ele também tem uma opção de proibir o cadastramento de novos dispositivos. Assim se uma pessoa roubar a senha do seu Authy, ela não poderá adicionar um dispositivo adicional se um dispositivo autorizado permitir adicionar novos dispositivos.

Quase me ferrei uma vez com o GA rsrs Fica o alerta aí!!

Não sabia que o Authy tem essa opção de proibir o cadastramento de novos dispositivos, se realmente o GA não tiver essa opção de proibir o cadastramento em duas contas ao mesmo tempo então o authy está na frente, porém, o authy guarda uma cópia das suas chaves no servidor web que eles tem acesso, já o google autenticator suas chaves só ficam salvas no dispositivo.

Caramba oO.
Se eu tivesse merits te dava um agora.
Eu uso o google, mas só tenho o login da bitcointrade cadastrado, então se eu perder, eu consigo falar diretamente com eles.
De qualquer forma, vou instalar esse outro para necessidades futuras.

Acho que alguém me deu um merit, que gerou 1 pra mim. Tá meritado.

Bom alerta.

Porem continuo usando Google authenticator, para mim fica claro que ele não possui backup pois isso abre as portas para vulnerabilidades... quanto mais simples menor a probabilidade de falhar.

Você pode fazer o backup com o Google Authenticator. Só dá um trabalho adicional, adicionar cada conta em outro aparelho, ou então anotar cada chave em algum lugar... Realmente a segurança do GA é maior, mas acho que não vale o risco e o trabalho. Pois o hacker precisaria hacker o Authy e minhas senhas. É um nível de segurança razoável pra mim.

Realmente essa parte chata do GA,  já aconteceu comigo de perder celular e me ferrar, mas aprendi da pior forma, agora tenho backup de todas as contas até com qrcode. Mas como citado isso abre uma brecha de segurança, mas não usar acho que abre uma maior ainda  ;D.

Ótima recomendação.

Eu uso Google Auth e tenho backup de todos meus códigos. Recentemente perdi meu telefone e ao comprar outro foi muito fácil recuperar aproximadamente 20 códigos de 2FA.


O Authy, concorrente do google, em minha opinião não é muito recomendado, se você fizer uma pesquisa em sites como reddit e até mesmo aqui no forum vai ver diversos casos de pessoas que tiveram suas contas hackeadas porque o Auth não garante tanta segurança, acho que ele entra em contradição com seu próprio propósito de manter a segurança em 1 dispositivo apenas.

Ora, se é possível recuperar códigos com uma senha então alguém pode hackear sua senha. (Pensamento rápido), logicamente que vai de usuário pra usuário e cada um tem seu próprio critério de criar senhas.

Eu trabalho com segurança da informação e a maioria dos pentest que eu vejo a senha é descoberta sem muito esforço, existe um padrão de "Primeira letra maiúscula" e" últimos dígitos sendo número", basta configurar um brute force com alguns critérios padrões e descobrir a senha, hoje em dia , hacking é executado muito mais com engenharia social / phishing do que com backdoors ou trojans.


Eu falo sobre isso aqui: https://livecoins.com.br/o-que-fazer-em-caso-de-perda-de-celular-com-o-google-authenticator/

+ Merit

Tempos atrás eu imprimi todos os QR codes das chaves privadas.. Criem um documento no word ou photoshop no tamanho de uma folha A4, colem as imagens, salvem num pendrive e imprimam em alguma gráfica/lan house..

Também tenho um celular velho que baixei o GA e tenho tudo salvo lá, assim se alguém roubar meu celular, tenho as chaves no outro como garantia..

Não é algo impossível de resolver, geralmente você envia um e-mail pra exchange/outro relatando o ocorrido, porém as vezes leva um bom tempo para a equipe fazer algo e também bloqueiam a sua conta por um determinado tempo (para evitar roubos)..

Para quem ainda não usa 2FA: Usem!

Boa dica
Isso é aquele tipo de coisa que você sempre deixa pra fazer depois, e quando perde ou estraga o celular já é tarde demais

Esperando ansioso pela implementação da 2Fa aqui no forum... com esses "merits" as contas estão muiiiiiiiito mais valiosas, começar do zero e stackar merits é muito impossível.

Nunca me atentei em fazer backup das chaves no GA. Vou fazer no meu tablet por garantia.  ;D

Belo post! Só uso o Authy agora. Como o amigo disse, tive uma baita dor de cabeça com o Google Authenticator quando o meu celular deu pau. Tiver que entrar em contato com todas as exchanges pra conseguir ter acesso às contas novamente, consumindo bastante tempo até ter tudo resolvido. GA nunca mais!!!

Ótima dica pois também acho que o Authy é o melhor aplicativo para 2FA, pois ele permite fazer back ups. E em caso de perda você conseguirá colocar os seus dados novamente em um novo aparelho sem grande complicações.

Dá pra fazer o backup no Google Authenticator? Como? Alguém indica algum tutorial?

Eu faço backup em papel, imprimindo o qrcode e a chave antes de ativar.

Caso já tenha ativado basta desativar o 2fa e antes de ativar novamente realizar o backup.

Se caso eu não tenha nenhum tipo de backup do 2FA
Como faço pra pegar os codes pra imprimir? Eu tenho 3 contas de 2FA mas por um descuido meu não imprimi nenhum código mas o certo é fazer desde já porque meu celular é meio ruim sempre necessita de formatar e não quero dar essa burrada justo agora que dobrei minha banca.

Só gerando um novo código, resetando o 2FA.

Lembrando que o Authy tem a opção de fazer um backup criptografado dos tokens do usuário na sua nuvem (Authy).

Ou seja, tudo que você precisa fazer é gerar uma senha forte e guardá-la num local seguro.

Aliando backup criptografado com o fato de poder desabilitar múltiplos devices, torna o Authy uma opção relativamente segura e viável.

obrigado pelas dicas  nao sabia de algumas coisas que voce falou obrigado mesmo ,eu salvo num papel sempre

O grande problema do Authy.com é que você volta a ficar a merce de uma senha. Acho que se tiver o backup dos códigos da GA impressos já resolve o problema da perda do celular. Acho que a ideia é seguro, nem sempre muito prático.

Uma coisa que talvez seja ligeiramente fora do contexto das cryptos, mas pra quem curte "dispositivos criptograficos" como a Ledger Nano $, eu acho importante tambem olhar os dispositivos chamados Yubikeys que servem justamente para uma segurança 2FA em um dispositvo usb. E outra, tanto a Ledger (so da S para diante) como o yubikey possuem o Fido U2F para autenticação em dois passos (é algo parecido como a Gauth, mas propriamente criado para dispositivos usb externos - muito mais seguro), ou seja, a nano S, alem de servir como carteira funciona para o proprio 2FA.

Parabéns pelo alerta á comunidade!!

Eu uso o Google Authenticator e para já nunca tive problemas e funciona 5*.
Por acaso eu tomo sempre nota da chave de backup, assim como valido se o site tem algum mecanismo de recuperação.

É preciso prestar muita atenção aos pequenos detalhes quando estamos a falar de segurança informática!!!

PS: Neste momento não tenho merit disponível para te dar. Sem duvida um post que merece! Nunca é demais alertar os restantes utilizadores para possíveis problemas.
Espero que o post seja reconhecido pelos restantes. Vou colocar este post na minha watchlist e quando puder darei o merecido mérito.

O Google Authenticator é bom justamente por não ter backup proprietário das suas chaves.

O Authy é arriscado, pois sua recuperação depende do seu numero de telefone, que é altamente fraudável.