Todos nós já passamos por isso. Você está tentando acessar sua conta bancária às 3 da manhã, apenas para se deparar com aquela mensagem terrível. “Verifique sua identidade inserindo o código enviado para o seu telefone”. É um pequeno inconveniente que se acumula à medida que mais e mais serviços exigem a autenticação de dois fatores. Por que isso é necessário?
A autenticação de dois fatores (2FA) é uma ferramenta de segurança essencial no cenário digital atual. Claro, mas precisa ser tão irritante? Por que você precisa de um aplicativo autenticador quando pode receber códigos SMS? Bem, a resposta óbvia é que você não pode receber SMS sem seu telefone, então ficar sem celular significa perder o acesso a todas as suas contas. Menos óbvio, mas igualmente importante, é o risco de clonagem de chip. Isso permite que hackers acessem suas contas sem precisar do seu celular.
Você pode pensar: “mas por que alguém iria querer hackear um Zé Ninguém como eu?”. Veja bem, os hackers não estão procurando fama ou fortuna, eles estão procurando oportunidades. Mesmo que você ache que não tem nada que valha a pena roubar, suas informações pessoais são valiosas para os hackers. Acontece que não se trata apenas de você, pois ser hackeado também pode afetar aqueles que você ama. Suas contas e fotos podem ser usadas para aplicar golpes em seus entes queridos. Suas informações podem ser usadas para se passar por você financeiramente, fazendo empréstimos em seu nome. Até mesmo seu endereço IP pode ser usado para cometer crimes e botar a culpa em você.
Mas não são apenas os hackers com quem você precisa se preocupar. Sua seguradora, por exemplo, encontraria grande valor em suas mensagens privadas. Digamos que você descobriu recentemente que tem uma condição genética. Ou talvez você tenha voltado a beber depois do seu divórcio. Essas pequenas pistas podem alertar seu seguro de que seus custos com saúde podem aumentar no futuro. Isso pode levar aumento do seguro ou à recusa de cobertura. Tudo baseado discriminatoriamente em suas escolhas de saúde ou estilo de vida.
É por isso que você deve usar um aplicativo autenticador. Se você já experimentou o Google Authenticator, já sabe que é terrível. O da Microsoft é melhor, mas não muito. Até recentemente, o Authy era minha recomendação preferida, embora não seja de código aberto. O Authy unicamente oferecia um cliente para desktop, levando seus tokens 2FA para vários dispositivos. É claro que o Authy tem seus problemas, e no início de 2024 eles descontinuaram o aplicativo de desktop. Então, claramente, precisamos de opções melhores.
Multiplataforma
Ente Auth
Depois de revolucionar o cenário de backup de fotos com o Ente, eles foram atrás do 2FA. O Ente Auth é um presente para o mundo dos mesmos desenvolvedores. Seu autenticador é o melhor que já experimentei. Não porque é bonito e FOSS. Também não é porque mostra o próximo código antes mesmo de estar ativo. Não são os logotipos, a fixação ou as etiquetas organizacionais. Nem mesmo o suporte a chave de acesso ou o bloqueio do aplicativo.
A melhor coisa sobre o Ente Auth é a combinação de tudo isso que te faz querer usar 2FA com mais frequência. Todos nós sabemos que devemos usar 2FA para tudo, mas é um incômodo. O Ente tira a insanidade do 2FA e o torna fácil de gerenciar. Grande parte disso também se deve ao aplicativo para desktop, que garante que você sempre tenha o 2FA disponível, mesmo se perder seu telefone.
No final das contas, não faz sentido ter segurança aprimorada se você não vai usar. Pra quem esta agora começando com segurança, um único aplicativo para senhas e 2FA é certamente mais fácil de gerenciar. Mas quando estiver pronto para elevar o nível da sua segurança com um aplicativo autenticador dedicado, o Ente é o melhor que existe.
ProtonPass
O ProtonPass não é uma solução 2FA independente. Em vez disso, ele está integrado ao gerenciador de senhas do Proton. Infelizmente, é um recurso premium. O ProtonPass é de código aberto e está disponível em todos os dispositivos e navegadores.
Bitwarden
Assim como o ProtonPass, o Bitwarden não é um aplicativo 2FA dedicado. É o padrão ouro quando se trata de gerenciamento de senhas auto-hospedado e vem com 2FA. Seu nível gratuito não inclui 2FA, mas pode habilitar com uma assinatura de $10/ano ou auto-hospedando.
Nextcloud
O OTPManager é um provedor 2FA simples como um aplicativo Nextcloud. Ele faz o que diz na lata e nada mais. Oferece clientes oficiais para Android e iOS, bem como extensões de navegador.
Também existe o gerenciador de senhas do Nextcloud. Ele não inclui 2FA por padrão, mas alguns de seus aplicativos móveis de terceiros incluem.
Android
FreeOTP Plus
O FreeOTP Plus é o aplicativo autenticador para desenvolvedores. É um autenticador simples, mas bastante avançado. Além do básico, ele permite adicionar tokens com configurações personalizadas. Você pode escolher o algoritmo, o segredo, o número de dígitos, o intervalo e até mesmo se é um TOTP ou HOTP. A maioria dos usuários nunca usará essas opções, agora que os códigos QR são onipresentes. Eles são mais para desenvolvedores que integram 2FA em seus próprios projetos.
O FreeOTP Plus também se destaca por te dar a opção de exportar tokens específicos para outros aplicativos de autenticação. Claro, você ainda pode exportar todos os seus tokens de uma vez.
Aegis
O Aegis é a recomendação mais popular na categoria. A UX é muito polida e personalizável, mas mantém a configuração avançada do FreeOTP Plus. Na verdade, ele ainda permite mais tipos de OTP além de TOTP e HOTP.
Com o Aegis, você pode proteger o aplicativo com uma senha (ou biometria) para maior segurança. Também tem a opção de fazer backup dos tokens usando o backup integrado do Android.
iOS
Tofu
O Tofu é um aplicativo autenticador de código aberto para iOS. É muito parecido com o FreeOTP Plus em simplicidade e atrativo para desenvolvedores. O Tofu é totalmente offline e usa a segurança integrada e as estruturas de backup do iOS. Isso torna a migração entre dispositivos (iOS) perfeita.
Raivo
O Raivo é uma alternativa FOSS atraente para iOS e Mac. Ele sincroniza automaticamente entre seus dispositivos Apple e até permite que você defina ícones personalizados. Assim como o Aegis, ele mantém os recursos apreciados pelos desenvolvedores, mas em um pacote mais polido.
Authenticator
O Authenticator não é de código aberto!
O Authenticator é uma solução 2FA comercial para todos os dispositivos Apple, incluindo relógios. Eles também oferecem extensões para todos os navegadores da web existentes. No entanto, não é de código aberto e chamar de “gratuito” seria enganoso. Você só pode adicionar duas contas gratuitamente. Eu só incluí pelo interessante suporte para Apple Watch.