BitcoinTalk agora tem 2FA!

[TryNinja]

Graças aos esforços do PowerGlove, a funcionalidade de 2FA com OTP foi adicionada ao fórum! Agora você pode proteger a sua conta com aqueles apps autenticadores como Authy, Google Authenticator, etc...

Pra mim isso é gigante, visto que sou defensor ferrenho do 2FA. Se um site me dá essa opção, eu vou habilitar.

Tópico da proposta de patch: A concise 2FA/TOTP implementation (SMF patch)
Tópico de anúncio do theymos: 2FA added

Para habilitar a função, é só ir no seu Profile -> Account Related Settings (link direto: https://bitcointalk.org/index.php?action=profile;sa=account)

Já habilitei e testei aqui, login falhou sem colocar o 2FA e deu certo com o código gerado na hora.

[1714638409]

1714638409

[1714638409]

1714638409

[1714638409]

1714638409

[1714638409]

1714638409

[1714638409]

1714638409

[sabotag3x]

Vou habilitar, também sou um grande fã do 2FA..

Aproveitando, minha dica é imprimir todos QR codes de 2FA, assim você tem um backup igual como em uma carteira de Bitcoin.

[Paredao]

Acho que não vou habilitar isso não. De repente dá um problema e o negócio trava e não entra. Daí não sei o que fazer. Vou deixar do jeito que está. Se quiserem invadir minha conta, que invadam. Não vou fazer isso não. Já tive problemas de 2FA em outros lugares.

[TryNinja]

Vou habilitar, também sou um grande fã do 2FA..

Aproveitando, minha dica é imprimir todos QR codes de 2FA, assim você tem um backup igual como em uma carteira de Bitcoin.

Tenho usado o Authy por conveniencia, aí eles cuidam do backup e tudo fica encriptado com uma senha... melhor do que não usar. Mas o ideal seria isso que você falou mesmo, sem nenhum terceiro que possa ter uma falha, ser hackeado, ter dados vazados, etc...

Acho que não vou habilitar isso não. De repente dá um problema e o negócio trava e não entra. Daí não sei o que fazer. Vou deixar do jeito que está. Se quiserem invadir minha conta, que invadam. Não vou fazer isso não. Já tive problemas de 2FA em outros lugares.

Deixa de ser do contra, Paredao.

Se travar é só criar uma conta Paredao_help e postar lá no Meta. Imagina se alguem invade a sua conta e sai roubando o pessoal aqui, abusando da sua senioridade no nosso ambiente de trabalho?

[sabotag3x]

Acho que não vou habilitar isso não. De repente dá um problema e o negócio trava e não entra. Daí não sei o que fazer. Vou deixar do jeito que está. Se quiserem invadir minha conta, que invadam. Não vou fazer isso não. Já tive problemas de 2FA em outros lugares.

Deixa de ser do contra, Paredao.

Se travar é só criar uma conta Paredao_help e postar lá no Meta. Imagina se alguem invade a sua conta e sai roubando o pessoal aqui, abusando da sua senioridade no nosso ambiente de trabalho?

Lembrando que também tem um tópico para assinar uma mensagem com seu endereço de Bitcoin: https://bitcointalk.org/index.php?topic=996318.0

Ótimo para provar que você é você caso perca sua conta.. pessoal mais novo aqui também pode se interessar nessa medida de segurança extra.. lembrando que não precisa ser o endereço onde você guarda seus 50 bitcoins pode ser qualquer um.

[criptoevangelista]

Muito top, segurança sempre é bem vinda.

Será que funciona com aqueles 2FA físicos também?

[TryNinja]

Muito top, segurança sempre é bem vinda.

Será que funciona com aqueles 2FA físicos também?

Infelizmente, não. Esse é um 2FA limitado ao OTP (One Time Passwords). Você adiciona a secret key no app e ele vai ficar gerando um código único a cada 30 segundos.

O que você mencionou com dispositivos físicos é o U2F (Universal 2nd Factor).

[tg88]

Opa grande noticia e veio em um momento que eu nem tinha mais esperanças de que essa funcionalidade seria implementada nessa versão do fórum, pra mim ela é muito bem vinda e daqui pra frente vou até ficar um pouco mais tranquilo caso precisar logar em um computador que não é meu sendo que hoje isso é uma coisa que nem cogito fazer pois apenas login com senha é muito frágil. Ainda mais que aqui não existe a possiblidade de processar o dono do fórum caso alguém roubar minha senha. (Nesse caso do processo estou me inspirando na historia da Janja que pretende processar o Elon Musk.)

[bitmover]

Acho que não vou habilitar isso não. De repente dá um problema e o negócio trava e não entra. Daí não sei o que fazer. Vou deixar do jeito que está. Se quiserem invadir minha conta, que invadam. Não vou fazer isso não. Já tive problemas de 2FA em outros lugares.

Na verdade, no proprio tópico o theymos explica que você pode resetar o 2FA usando apenas o seu email.
Então, você não corre o risco de dar merda desse tipo que voce mencionou aqui no forum.

If you use the forgotten-password function, then there's an option to remove the 2FA. So 2FA does not provide any protection in case of a compromised email. Make sure that your email address is secure. If you don't want to set an email address, use something like yourUserName@invalid.bitcointalk.org; don't use a random nonsense email like y@x.com, since somebody might create that domain/email.

[darkv0rt3x]

Agora podiam desactivar por completo o esquema de captchas na página de login. Assim a malta já podia desactivar por completo os serviços da Google. Nomeadamente javascripts que estão sempre prontos a recolher dados e não só, a consumir memória e etc.
Ainda ontem enquanto via uns vídeos sobre provacidade nos telefones, vi um em que eles demonstram como mesmo sem Gapps, há serviços Google a correr!

[TryNinja]

Agora podiam desactivar por completo o esquema de captchas na página de login.

Aí quem não usa 2FA ia ficar suscetivel ao ataque de brute force.

Só se forçassem para todo mundo, mas ainda teria o problema de vários usuários não terem configurado (i.e membros inativos).

Para quem não gosta do captcha é só pegar o link que burla ele: https://bitcointalk.org/captcha_code.php

[rdluffy]

Aproveitando a boa notícia da inclusão do 2FA, qual aplicativo vocês estão usando?

Aqui eu tenho algumas coisas mais antigas que fiz no Google Authenticator mesmo, porém as coisas mais novas eu já fiz e uso pelo Authy, que considero muito bom
Tem algo diferente e mais seguro no mercado ou já está bom o Authy?

[TryNinja]

Aqui eu tenho algumas coisas mais antigas que fiz no Google Authenticator mesmo, porém as coisas mais novas eu já fiz e uso pelo Authy, que considero muito bom
Tem algo diferente e mais seguro no mercado ou já está bom o Authy?

Eu pessoalmente uso o Authy, mas tenho conhecimento que não é exatamente a melhor escolha por conta do backup em seus servidores terceiros. É a troca de um pouco de segurança pela convenciencia, né?

Se fosse pra ser raiz, eu buscaria uma opção open source e bem estabelecida. Nada de apps desconhecidos.

Para android conheço o Aegis: https://getaegis.app/

iOS não conhecia nenhum (tanto que uso o Authy ), mas vi recomendações quanto ao Raivo, talvez até migre pra ele uma hora: https://raivo-otp.com

[bitmover]

É fácil transferir todos os seus dados do author para o aegis. Eu fiz isso uns anos atrás e botei um passo a passo aqui.

https://bitcointalk.org/index.php?topic=5405454.msg60524698#msg60524698

[darkv0rt3x]

Agora podiam desactivar por completo o esquema de captchas na página de login.

Aí quem não usa 2FA ia ficar suscetivel ao ataque de brute force.

Só se forçassem para todo mundo, mas ainda teria o problema de vários usuários não terem configurado (i.e membros inativos).

Para quem não gosta do captcha é só pegar o link que burla ele: https://bitcointalk.org/captcha_code.php

Boa. Obrigao. Não sabia que isso existia. Já fiz essa coisa e já guardei o link nos bookmarks. Será que posso agora evitar  por completo ter que activar os javscrits do Google e gstatic? Para a próxima já testo!

Aproveitando a boa notícia da inclusão do 2FA, qual aplicativo vocês estão usando?

Aqui eu tenho algumas coisas mais antigas que fiz no Google Authenticator mesmo, porém as coisas mais novas eu já fiz e uso pelo Authy, que considero muito bom
Tem algo diferente e mais seguro no mercado ou já está bom o Authy?

eu também uso o Authy, mas vou procurar alternativas na store do Fdroid!

[Disruptivas]

Lembrando que também tem um tópico para assinar uma mensagem com seu endereço de Bitcoin: https://bitcointalk.org/index.php?topic=996318.0

Ótimo para provar que você é você caso perca sua conta.. pessoal mais novo aqui também pode se interessar nessa medida de segurança extra.. lembrando que não precisa ser o endereço onde você guarda seus 50 bitcoins pode ser qualquer um.

Fiquei curiosa @Paredao se você já habitou essa recuperação com assinatura?

Eu gosto da questão de 2FA do Google porque ele tem umas 5-6 opções e você pode escolher a que quiser, inclusive não escolher nada ou escolher todas. Acho que vamos encaminhar pra isso, pra várias opções e cada um escolhendo a sua. E talvez um sistema de ``multi-sig-2fa''em que você habita umas 6 e escolhe se precisa usar 1-2-3 pra permitir determinadas funções e talvez até sistemas diferentes pra funções diferentes.

Tipo 1/6 pra ler email
2/6 pra responder
4/6 pra mudar senha...

[TryNinja]

Eu gosto da questão de 2FA do Google porque ele tem umas 5-6 opções e você pode escolher a que quiser, inclusive não escolher nada ou escolher todas. Acho que vamos encaminhar pra isso, pra várias opções e cada um escolhendo a sua. E talvez um sistema de ``multi-sig-2fa''em que você habita umas 6 e escolhe se precisa usar 1-2-3 pra permitir determinadas funções e talvez até sistemas diferentes pra funções diferentes.

Tipo 1/6 pra ler email
2/6 pra responder
4/6 pra mudar senha...

Seria interessante, mas acho que a demanda para esse tipo de solução ainda é baixa para justificar todo o trabalho necessário em sua criação. A maior parte das pessoas nem se preocupa com segurança, tanto que repetem suas senhas por todos os sites. Imagina comprar dispositivo físico, ter que confirmar em 2 ou 3 partes, etc... o próprio Paredao ali já fala que não gosta do mais básico de todos, o 2FA em app.

[criptoevangelista]

Lembrando que também tem um tópico para assinar uma mensagem com seu endereço de Bitcoin: https://bitcointalk.org/index.php?topic=996318.0

Ótimo para provar que você é você caso perca sua conta.. pessoal mais novo aqui também pode se interessar nessa medida de segurança extra.. lembrando que não precisa ser o endereço onde você guarda seus 50 bitcoins pode ser qualquer um.

Fiquei curiosa @Paredao se você já habitou essa recuperação com assinatura?

Eu gosto da questão de 2FA do Google porque ele tem umas 5-6 opções e você pode escolher a que quiser, inclusive não escolher nada ou escolher todas. Acho que vamos encaminhar pra isso, pra várias opções e cada um escolhendo a sua. E talvez um sistema de ``multi-sig-2fa''em que você habita umas 6 e escolhe se precisa usar 1-2-3 pra permitir determinadas funções e talvez até sistemas diferentes pra funções diferentes.

Tipo 1/6 pra ler email
2/6 pra responder
4/6 pra mudar senha...

tinha um de celular, agora nao sei se era do google ou da microsoft... q se perder ou estragar o celular ja era seu 2FA...

[rdluffy]

Se fosse pra ser raiz, eu buscaria uma opção open source e bem estabelecida. Nada de apps desconhecidos.

Para android conheço o Aegis: https://getaegis.app/

iOS não conhecia nenhum (tanto que uso o Authy ), mas vi recomendações quanto ao Raivo, talvez até migre pra ele uma hora: https://raivo-otp.com

É fácil transferir todos os seus dados do author para o aegis. Eu fiz isso uns anos atrás e botei um passo a passo aqui.

https://bitcointalk.org/index.php?topic=5405454.msg60524698#msg60524698

Obrigado aos dois
Eu vou dar uma boa olhada no Raivo e no Aegis, talvez eu possa distribuir um pouco entre os 3 ou 4 aplicativos

tinha um de celular, agora nao sei se era do google ou da microsoft... q se perder ou estragar o celular ja era seu 2FA...

Mas se você tem acesso a ele, pode fazer um backup ou habilitar em outro dispositivo, não precisa perder o 2fa

[bitmover]

tinha um de celular, agora nao sei se era do google ou da microsoft... q se perder ou estragar o celular ja era seu 2FA...

Mas se você tem acesso a ele, pode fazer um backup ou habilitar em outro dispositivo, não precisa perder o 2fa

O importante é você salvar o segredo de todo 2fa que você ativar em um local seguro.  Pode ser inclusive outro 2fa, ou um arquivo codificado com uma senha forte

Todo 2fa antes de ser ativado tem um segredo associado, que vem na forma de texto e de qr code.
As pessoas costumam ignorar o texto e ficar só no qr code