Revisitando o meu modelo de segurança digital
Segurança digital é o que resulta do equilíbrio entre defesas e conveniência. De nada adianta blindar-se completamente se o acesso a seus espaços particulares é difícil; por outro lado, uma senha fácil de lembrar (123456, por exemplo) é quase o mesmo que não ter senha.
Este Manual sempre pendeu para o lado da blindagem, às vezes dificultando um bocado situações em que um desfecho ruim (invasão, perda/roubo de dados) é improvável. Em 2024, fiz uma correção de curso que prometi compartilhar. Cá está essa atualização.
O “momento eureka” se deu quando me dei conta de um terceiro elemento naquela equação segurança × conveniência: o ser humano a ser protegido.
Alguém politicamente exposto ou que lide com dados sensíveis de terceiros, por exemplo, precisa de um aparato de segurança mais robusto. Alguém como eu? Nem tanto.
Nessa reflexão, mudei duas coisas que julgo mais relevantes.
A primeira foi abandonar a YubiKey, uma chave criptográfica física usada como segundo fator de autenticação. Em vez de digitar aquele código aleatório de seis dígitos (TOTP, na sigla em inglês) gerado por apps como o Google Authenticator, eu espetava a YubiKey ou tocava nela com as “costas” do telefone para acioná-la por NFC. Falei da YubiKey em junho de 2021.
O abandono da YubiKey foi motivado mais pela conveniência, ou pela inconveniência em seu uso, desde cenários frustrantes (estar na rua e precisar acessar um site ou app dependente da chave deixada em casa) até os mais corriqueiros, mas que se somam na frustração (a chave estar em outro cômodo da casa).
TOTPs já oferecem uma camada extra de segurança boa o bastante para alguém que não seja alvo de atores sofisticados — eu e provavelmente você. E está sempre comigo, no celular e no computador.
A segunda mudança foi em relação às TOTPs. Em vez de criá-los e gerenciá-los em um aplicativo específico, migrei-as para o gerenciador de senhas.
Essa mudança contraria as melhores recomendações, porque se o gerenciador de senhas for comprometido, a barreira proporcionada pelo TOTP cai junto. É mais ou menos como ter duas trancas na porta e carregar ambas as chaves no mesmo chaveiro.
O “risco contratado” aqui é maior que o da dispensa da YubiKey. Estou ciente e quero continuar.
A metáfora com as trancas e chaves não dá conta de um cenário mais provável que o da violação do gerenciador de senhas: o vazamento de senhas pelos próprios serviços. É o que me preocupa mais. Mesmo nesse arranjo “todos os ovos na mesma cesta”, a TOTP continuaria útil. Com a senha, mas sem o código aleatório, minha conta que teve a senha vazada continuaria segura.
Em paralelo, chaves-senha (passkeys) são uma nova proposta para complementar ou substituir de vez senhas e o segundo fator de autenticação. Já me debrucei no assunto (abril de 2024) e revi minha opinião um mês depois. Continuo acompanhando o desenvolvimento da tecnologia com interesse genuíno.
só quem teve celular roubado sabe o quanto é ruim esse negócio de 2fa.
eu uso o mínimo possível. a suposta segurança adicional (lembrando que muita coisa ainda usa SMS como duplo fator) não compensa a inconveniência. meu setup ideal tem sido 2fa por e-mail, acessível de qualquer lugar, que use outra senha, e que vc não se ferre caso vc perca acesso ao seu celular.
Sofri um pouco com isso esses tempos, meu celular quebrou e perdi acesso a algumas contas, felizmente foi só do Discord, nada de importante.
Daí a importância de salvar os “códigos de becape”, que são gerados durante a configuração do segundo fator de autenticação. Eles servem justamente para situações desse tipo.
Pior que tenho backup disso mas só de coisas importantes(Email, GitGiHub, hospedagem etc). Honestamente o Discord eu só lembrei que tinha ativado quando fui logar,mas não é uma perde de verdade, só uso pra falar com os amigos mesmo. Os demais consegui tranquilamente logar. Mas realmente é muito importante guardar, a gente acha que nunca vai usar, mas pode ocorrer de precisar.
Então… Por isso eu uso sempre serviços de 2FA que tenham sincronização. O Ente Auth é o meu preferido atualmente.
Faço assim: guardo os 2FAs no gerenciador de senhas (Bitwarden) e guardo o 2FA do Bitwarden no Ente.
Outro jeito de fazer as coisas é guardar o backup dos códigos. O Aegis permite exportar um arquivo . json que você poderia guardar em algum lugar criptografado, como em uma pasta do Cryptomator na nuvem. Mas aí tudo me parece um pouquinho mais improvisado.
Até semana passada estava usando o KeePass, mas como acesso algumas coisas do trabalho, era muito ruim usar a senha no PC corporativo, eu abria o celular, copiava a senha, mandava para uma conversa minha no WhatsApp e ia para a versão web, pegava a senha e colava no site, dava um trabalho, então mudei para o Bitwarden, acesso tudo pela extensão do navegador, e de quebra tem verificador de TOTP (tinha uns 15 sites que não tinha configurado) e verificar se a minha senha já foi vazada, coisas que no KeePass não tem.
A parte ruim é que perdi o gerenciamento dos dados, mas estou fazendo backup para um pendrive como precaução e baixei o aegis como gerador de TOTP somente para o Bitwarden.
Will, o TOTP no Bitwarden só está disponível no plano premium ou também tem no gratuito?
só tem no premium
eu assinei pq acho muito mais prático ter tudo num lugar só, aí uso o Aegis com o código TOTP somente para entrar no bitwarden
Curiosamente, o Bitwarden tem um aplicativo à parte para TOTPs que é… gratuito.
Salvo engano, ele só não sincroniza. É 100% local, como o Aegis.
Will, você não usava a extensão do navegador pro KeePass?
Eu hoje uso a função de passkey do S24. Tem funcionado bem pra mim. Cheguei a cogitar utilizar uma chave da Yubiko para as plataformas de jogos (Steam, Epic, GoG etc) que são plataformas que são vítimas de ataques o tempo todo (toda a semana uma das minhas contas é atacada) mas, como você disse, os ataques param no segundo fator (TOTP).
Não faz sentido uma pessoa não-alvo ter todo esse cuidado o tempo todo. Em mim gerava ansiedade (fora o contratempo constante que você mesmo citou) e por sugestão do terapeuta (por conta da ansiedade) eu decidi ficar no mínimo.