Se você usa a autenticação de dois fatores com códigos únicos gerados em um aplicativo, o Google Authenticator não é sua única opção. Desde que a solução original do Google foi criada há cerca de uma década, uma série de alternativas que a superam em conveniência e funcionalidade entraram em cena.
Há apenas três anos, você poderia contar os aplicativos autenticadores disponíveis com os dedos de uma mão, mas com dezenas estando disponíveis agora, é fácil se perder entre as opções. Para ajudá-lo a escolher um autenticador que funcione com seus sistemas operacionais, agrupamos os 10 mais notáveis divididos por SO:
- Apps autenticadores para Android: andOTP, Twilio Authy, Google Authenticator, Microsoft Authenticator, Cisco Duo Mobile, FreeOTP
- Apps autenticadores para iOS 15: OTP auth, Step Two, Twilio Authy, Google Authenticator, Microsoft Authenticator, Cisco Duo Mobile, FreeOTP, iOS built-in authenticator
- Apps autenticadores para Windows: WinAuth, Twilio Authy
- Apps autenticadores para macOS: Step Two, OTP auth (apenas versão paga), Twilio Authy
1. Google Authenticator
Sistemas operacionais: Android, iOS
Qualquer um que esteja lendo este post provavelmente já está familiarizado com o popular Google Authenticator. Portanto, não podemos escrever sobre aplicativos autenticadores sem mencionar este — e podemos usar o autenticador do Google como base para avaliar os outros programas.
No geral, o Google Authenticator é uma solução conveniente para aqueles que preferem não se envolver com a sincronização de tokens por meio da nuvem. Em vez disso, o aplicativo pode exportar todos os tokens criados nele, criando um único QR code para importá-los em massa para um novo dispositivo. Na versão iOS, recentemente tornou-se possível pesquisar tokens e proteger o acesso ao aplicativo com Touch ID ou Face ID, diferentemente da versão Android. O Google Authenticator ainda não oculta os códigos gerados da visualização, o que pode ser problemático se você o usar em público. (A propósito, todos os autenticadores para Android restringem a captura de capturas de tela, portanto, todas as capturas de tela deste post vêm das versões iOS dos aplicativos.)
Prós:
- Não há necessidade de criar uma conta,
- Proteção Face ID/Touch ID para acesso ao aplicativo (somente versão iOS),
- Interface simples com configurações mínimas,
- Capacidade de exportar e importar todos os tokens de uma só vez,
- Capacidade de pesquisar pelo nome do token (somente versão iOS).
Contras:
- Sem proteção de login (versão Android),
- Incapacidade de ocultar códigos,
- Sem backup/sincronização na nuvem,
- Maior risco potencial, devido à facilidade de exportação de tokens, caso o aplicativo desbloqueado caia em mãos erradas.
Resumo
O Google Authenticator carece de alguns recursos úteis, mas se você não quiser se envolver com o armazenamento de tokens na nuvem, é uma opção razoável.
2. Microsoft Authenticator
Sistemas operacionais: Android, iOS
Muitas pessoas que procuram uma alternativa ao Google Authenticator recorrem ao Microsoft Authenticator com base apenas na reputação do desenvolvedor. Isso se justifica, em partes: o aplicativo da Microsoft inclui algumas funcionalidades extras úteis ao conjunto básico de recursos. Por exemplo, ele pode ocultar códigos na tela e armazenar tokens na nuvem, e as versões iOS e Android protegem os logins do aplicativo. O Microsoft Authenticator também é útil se você trabalha com contas da Microsoft regularmente; nesse caso, você não precisa inserir um código, basta tocar no botão no aplicativo para confirmar o login.
No entanto, este aplicativo também tem desvantagens. Primeiro, os aplicativos Android e iOS usam sistemas de backup em nuvem completamente incompatíveis e você não pode transferir tokens de outra maneira. Para usuários de dispositivos com sistemas operacionais diferentes, isso pode ser um fator decisivo. Em segundo lugar, o Microsoft Authenticator precisa de cerca de 10 vezes o espaço de armazenamento do Google Authenticator, 150 MB a 200 MB em comparação com 15 MB a 20 MB.
Prós:
- Acesso protegido por PIN, impressão digital ou Face ID,
- Backup/sincronização na nuvem,
- Oculta códigos,
- Nenhuma conta necessária (desde que você mantenha o backup na nuvem desativado),
- Login de conta da Microsoft bastante simplificado,
- Suporte para Apple Watch (versão iOS).
Contras:
- Login de conta da Microsoft necessário para backup/sincronização (somente na versão Android),
- Incompatibilidade entre os sistemas de backup/sincronização iOS e Android,
- Incapacidade de exportar ou importar tokens,
- Grande (requer de 150 MB a 200 MB).
Resumo
O Microsoft Authenticator simplifica bastante o login nas contas da Microsoft, mas é difícil deixar passar seu enorme tamanho — e o fato de que os backups em nuvem iOS e Android são incompatíveis.
3. Twilio Authy
Sistemas operacionais: Android, iOS, Windows, macOS, Linux
A principal vantagem do Twilio Authy é seu amplo suporte multiplataforma. O Authy não apenas oferece versões para todos os sistemas operacionais atuais, mas o aplicativo também sincroniza todos eles com facilidade. Esse acesso fácil vem com uma desvantagem, no entanto. O aplicativo requer uma conta vinculada ao seu número de telefone para funcionar.
A interface do aplicativo é muito diferente das de outros autenticadores. Em vez de uma lista, ele tem algo como um conjunto de guias, então, a cada momento, ele exibe apenas o token selecionado, enquanto o resto aparece como pequenos ícones que você pode alternar na parte inferior da tela. Se você tiver muitos tokens, isso pode ser um inconveniente. Os usuários de desktop podem exibir tokens como uma lista, mas a opção não está disponível na versão móvel.
Prós:
- Acesso protegido por PIN, impressão digital ou Face ID,
- Backup/sincronização na nuvem,
- Disponibilidade para todos os sistemas operacionais populares,
- Suporte para Apple Watch (versão iOS),
- Capacidade de pesquisar por token.
Contras:
- Requer uma conta vinculada a um número de telefone,
- Exibe apenas um token por vez,
- Dificuldade de procurar tokens,
- Não oculta o código do token ativo,
- Não exporta ou importa tokens.
Resumo
Você não pode usar o Twilio Authy sem configurar uma conta, e a interface do smartphone não é tão intuitiva quanto gostaríamos, mas com aplicativos para todos os sistemas operacionais sincronizando perfeitamente entre si, vale a pena dar uma olhada neste aplicativo.
4. Cisco Duo Mobile
Sistemas operacionais: Android, iOS
O Duo Mobile, adquirido pela Cisco em 2018, é um dos aplicativos autenticadores mais antigos. Sua principal vantagem é uma interface limpa e acessível aos usuários. O Duo Mobile também oculta os códigos da visualização e não requer uma conta. No entanto, o software carece de outros recursos importantes: em primeiro lugar, proteção de acesso, que nem a versão iOS nem a versão Android possuem.
O Duo Mobile utiliza dois sistemas para backup em nuvem: Google Cloud na plataforma Android e iCloud na plataforma iOS. As contas existentes do Google e da Apple do usuário do smartphone servem para isso, o que significa que os usuários não precisam criar uma nova conta para que o aplicativo funcione. No entanto, os usuários não podem sincronizar dados entre as versões Android e iOS, o aplicativo não suporta a exportação de arquivos e não há opção de visualizar uma chave secreta ou QR code para tokens que já estão salvos (o que seria útil se você precisasse fazer uma sincronização manual).
Prós:
- Interface simples e fácil de usar,
- Capacidade de ocultar códigos,
- Não há necessidade de criar uma conta,
- Backup/sincronização na nuvem,
- Suporte para Apple Watch (versão iOS).
Contras:
- Sem proteção de acesso,
- Não exporta ou importa tokens,
- Sistemas de backup/sincronização incompatíveis para iOS e Android.
Resumo
O Cisco Duo Mobile pode atender às suas necessidades se você usar, e planeja sempre usar, apenas um sistema operacional móvel.
5. FreeOTP
Sistemas operacionais: Android, iOS
Este aplicativo autenticador de código aberto foi criado depois que o Google fechou o código-fonte do seu Autenticador. A interface FreeOTP é ultraminimalista, sem nada supérfluo. Essa abordagem minimalista é especialmente aparente na versão iOS, que não possui sequer a opção de criar um token baseado em uma chave secreta, deixando apenas a opção de digitalização do QR code. A versão Android mantém as duas opções e oferece muita flexibilidade na criação manual de tokens, permitindo que os usuários escolham o tipo de geração (TOTP ou HOTP), o número de caracteres no código, o algoritmo e o intervalo de atualização dos códigos .
Uma desvantagem é que nenhuma versão do aplicativo suporta sincronização na nuvem ou exportação e importação de token na forma de arquivo; portanto, quando você começa a usar o aplicativo, fica preso a ele. Além disso, no FreeOTP, você não pode definir um PIN ou proteger o acesso ao aplicativo de outra forma (na versão iOS, você pode proteger tokens individuais com Touch ID ou Face ID). O aplicativo oculta os códigos por padrão e também os oculta automaticamente após 30 segundos de inatividade. A vantagem final do FreeOTP é que ele ocupa um espaço de armazenamento mínimo, cerca de 2 MB a 3MB (em comparação, o Google Authenticator requer 15 MB a 20 MB e o Microsoft Authenticator ocupa 150 MB a 200 MB).
Prós:
- Não há necessidade de uma conta,
- Interface simples,
- Códigos ocultos como padrão,
- Códigos ocultos automaticamente após 30 segundos de inatividade,
- Requer espaço mínimo de armazenamento,
- Proteção Touch ID ou Face ID para tokens (somente na versão iOS),
- Capacidade de pesquisar por nome de token (versão iOS).
Contras:
- Incapacidade de gerar um token com chave secreta (versão iOS; requer a digitalização de um QR code),
- Não exporta ou importa tokens,
- Não faz backup/sincronização,
- Falta de proteção de acesso.
Resumo
Como todos os aplicativos de código aberto, o FreeOTP é um pouco peculiar, mas demos uma colher de chá porque sua interface e os requisitos gerais de armazenamento são muito leves.
6. andOTP
Sistema operacional: Android
O autenticador andOTP tem tudo o que você pode imaginar para salvar tokens de forma conveniente e segura, e muito mais. Por exemplo, os recursos do andOTP incluem suporte a tags e pesquisa de tokens por nome. Há também a opção de conectar um “botão de pânico” para que, em caso de emergência, você possa apagar todos os tokens do aplicativo e resetar.
O aplicativo permite que você visualize sua chave secreta ou QR code para cada token individualmente. Você também pode salvar todos os seus tokens de uma só vez em um arquivo criptografado no Google Drive — isso significa que com um toque você pode fazer backup na nuvem ou exportar para um arquivo. O acesso ao aplicativo pode ser protegido com uma senha ou com a impressão digital que você usa para fazer login no seu dispositivo Android. Para maior segurança, no entanto, você pode configurar um PIN separado ou até mesmo uma senha longa especificamente para o andOTP, além de configurar o aplicativo para bloquear após um período de inatividade (que você define). Existem mais três ou quatro telas de configurações — este aplicativo é o sonho de qualquer geek.
Prós:
- Proteção de acesso com um PIN ou senha definido no aplicativo, ou com o PIN de login do SO ou impressão digital,
- Capacidade de visualizar a chave secreta ou QR code para qualquer token,
- Capacidade de exportar todos os tokens de uma só vez para um arquivo criptografado no Google Drive,
- Ocultação de código,
- Ocultação automática de códigos quando o usuário está inativo (após 5 a 60 segundos, configurável),
- Bloqueio automático do aplicativo quando o usuário está inativo (após 10–360 segundos, configurável),
- Pesquisa flexível de tokens por nome ou usando tags personalizáveis,
- Opção de usar o botão de pânico para apagar todos os tokens,
- Configurações flexíveis e variadas.
Contras:
- Disponibilidade apenas para Android,
- Facilidade de recuperação da chave, o que significa maior risco se o aplicativo desbloqueado cair em mãos erradas.
Resumo
O andOTP é o autenticador mais rico em recursos para Android e certamente agradará a todos os geeks.
7. OTP auth
Sistemas operacionais: iOS, macOS ($5.99)
Se você é um usuário de iPhone que leu as descrições do andOTP acima e começou a sentir inveja dos donos de Android, temos boas notícias para você: um aplicativo autenticador de última geração para iOS também está disponível. Os criadores do OTP auth entendem claramente os problemas das pessoas que usam 2FA em muitos serviços, então este aplicativo possui um sistema de pastas para organizar o armazenamento de tokens.
Além disso, o OTP auth permite visualizar a chave secreta ou QR code a qualquer momento para qualquer token ou exportá-los todos de uma vez para um arquivo no smartphone. O aplicativo também suporta sincronização com iCloud. Os usuários podem proteger o login do aplicativo com Touch ID ou Face ID ou usar uma senha separada para o OTP auth. Preferimos essa última opção, dada a facilidade de exportação de tokens deste aplicativo. O único recurso útil ausente é a capacidade de ocultar códigos.
Prós:
- Capacidade de visualizar a chave secreta ou código QR de qualquer token,
- Capacidade de exportar todos os tokens de uma só vez para um arquivo,
- Backup/sincronização com iCloud,
- Sistema de pastas para armazenamento organizado de token,
- Suporte ao Apple Watch,
- Configuração do formato de exibição do código,
- Proteção de acesso com senha ou Touch ID/Face ID.
Contras:
- Existe apenas para iOS e macOS (e apenas como versão paga para macOS),
- Incapacidade de ocultar códigos,
- Personalização de ícones disponível apenas na versão paga,
- Maior risco potencial, devido à facilidade de recuperação da chave, se o aplicativo desbloqueado cair em mãos erradas.
Resumo
O OTP auth é o autenticador mais rico em recursos para iOS e possui exportação de token fácil e conveniente.
8. Step Two
Sistemas operacionais: iOS, macOS
Se o andOTP parecer exagerado e o requisito de inscrição do Twilio Authy o assusta, mas você ainda precisa de um autenticador para iOS e macOS, considere seriamente o Step Two. A interface é minimalista: as versões iOS e macOS lembram o aplicativo Calculator da Apple, e isso é bom a seu modo.
Para combinar com sua interface minimalista, o Step Two possui configurações e recursos mínimos, embora ofereça sincronização com iCloud. Além disso, o aplicativo de desktop suporta digitalização de QR code, o que é feito por meio de captura de tela (exigindo que os usuários concedam permissão, o que torna o recurso um pouco arriscado; em teoria, permite que o programa veja tudo o que está fazendo).
Prós:
- Sem recursos desnecessários,
- Não há necessidade de criar uma conta,
- Backup/sincronização com iCloud,
- Capacidade de digitalizar QR codes (versão macOS),
- Suporte ao Apple Watch,
- Capacidade de pesquisar por nome de token.
Contras:
- Sem proteção de acesso,
- Não oculta códigos,
- Incapacidade de exportar e importar tokens,
- Máximo de dez tokens na versão gratuita,
- Permissão de captura de tela necessária para digitalizar um código QR (versão macOS).
Resumo
O Step Two é um autenticador minimalista para quem tem um Mac e iPhone e não precisa de recursos supérfluos.
9. WinAuth
Sistema operacional: Windows
O WinAuth visa principalmente os jogadores. O superpoder exclusivo do aplicativo é o suporte a tokens não padronizados para autenticação em jogos Steam, Battle.net e Trion/Gamigo. Se você está procurando uma alternativa ao Steam Guard, Battle.net Authenticator ou Glyph Authenticator/RIFT Mobile Authenticator, este pode ser o aplicativo para você.
Para garantir, o aplicativo também suporta tokens padrão, incluindo tokens para Guild Wars 2 e outros jogos NCSoft (que por algum motivo os desenvolvedores listam separadamente) e todos os outros: Google, Facebook, Instagram, Twitter e assim por diante. O WinAuth usa uma senha para fazer login e para tokens individuais. O aplicativo oculta códigos por padrão, inclusive automaticamente, e permite criptografar os dados que armazena e exporta.
Prós
- Suporte para tokens não padrão para serviços de jogos, o que significa que pode substituir o Steam Guard e o Battle.net Authenticator, bem como o Glyph Authenticator e o RIFT Mobile Authenticator,
- Suporte para exportação de token em um arquivo de texto não criptografado ou em um arquivo criptografado,
- Códigos ocultos,
- Ocultação automática de código após mais de 10 segundos de inatividade do usuário,
- Proteção de acesso por senha ou YubiKey (ou seja, U2F),
- Proteção de senha adicional disponível para cada token,
- Portátil, com opções de pendrive e armazenamento em nuvem,
- Pode criptografar dados armazenados,
- Capacidade de digitalizar o QR code do arquivo (local ou na Internet).
Contras:
- A criação do token Steam requer que você forneça ao WinAuth seu nome de usuário e senha do Steam,
- O uso de um aplicativo de autenticação de dois fatores em um PC não é aconselhável em geral,
- Nenhuma versão para outros sistemas operacionais,
- Maior risco potencial, devido à facilidade de recuperação da chave, se o aplicativo desbloqueado cair em mãos erradas.
Resumo
Os jogadores vão adorar o WinAuth porque ele permite a criação de tokens fora do padrão que os editores de jogos preferem.
10. Autenticadores integrados iOS e macOS
Sistemas operacionais: iOS (integrado ao sistema), macOS (integrado ao navegador Safari)
A partir do iOS 15, todas as versões do sistema operacional do iPhone possuem um gerador de código único 2FA integrado. Para encontrá-lo, vá para Configurações → Senhas, selecione uma conta armazenada (ou crie uma nova) e, sob o título Opções de conta, toque em Configurar código de verificação…. O resto é como de costume: você pode digitalizar o QR code ou inserir manualmente a chave secreta — ou digitalizar o QR code do autenticador diretamente do aplicativo da câmera e adicionar um token a uma conta existente em Senhas. Infelizmente, o último método não solicitará que você crie uma nova conta.
Um autenticador integrado agora também está disponível no macOS, ou mais especificamente, nas versões 15 e posteriores do navegador Safari. Para encontrá-lo, abra o Safari e, no menu na parte superior da tela, vá para Safari → Preferências → Senhas. Selecione uma conta (ou toque em + para criar uma nova), toque em Editar e, na janela que se abre, toque em Adicionar senha… (não há opção de QR code aqui). Os tokens são sincronizados automaticamente usando o iCloud, portanto, você não precisará ativá-los novamente no Маc se já os tiver criado em um iPhone.
Em teoria, o autenticador integrado do iOS/macOS suporta o preenchimento automático, mas, na prática, ainda não funciona muito bem. Fizemos um pequeno experimento com uma conta do Twitter e autenticação de dois fatores com o código que recebemos. Os resultados foram mistos: quando entramos no aplicativo do Twitter, o sistema preencheu com sucesso um código de autenticação, mas quando tentamos fazer login no site do Twitter no Safari, o código nunca apareceu, seja no iOS ou no macOS.
Prós:
- Disponibilidade em todos os iPhones (iOS 15 e posterior) e todos os Маc (independentemente do SO, Safari 15 e posterior),
- Não há necessidade de criar uma conta separada,
- Capacidade de adicionar um token diretamente do aplicativo da câmera (mas apenas para uma conta existente; não funcionará para criar uma nova),
- Preenchimento automático para códigos únicos,
- Proteção de acesso usando Touch ID ou Face ID,
- Backup/sincronização com iCloud.
Contras:
- Localização nas profundezas das configurações do iOS ou Safari,
- Exibição de apenas um token por vez,
- Incapacidade de ocultar códigos,
- Senha da conta visível ao lado do código (versão iOS),
- Armazenamento de tokens e senhas 2FA juntos, contrariando os princípios de autenticação de dois fatores,
- Não exporta ou importa tokens.
Resumo
À primeira vista, incluir um autenticador no sistema operacional parece uma boa ideia. No entanto, neste caso, o preenchimento automático não funciona de forma consistente e o recurso é muito difícil de encontrar.
Lembre-se de fazer uma cópia de segurança
Para encerrar, aqui estão algumas dicas. Primeiro, você nunca está limitado a usar um único aplicativo autenticador. Uma opção pode ser melhor para alguns propósitos, outra para outros. Você pode — e deve — combinar aplicativos dependendo de suas necessidades.
Em segundo lugar, recomendamos prestar atenção à segurança. Instale um bloqueio de dispositivo confiável e sempre se certifique de ativar a proteção de acesso ao aplicativo, especialmente se você planeja usar um dos autenticadores que permitem exportar tokens facilmente (Google Authenticator e andOTP, OTP auth ou WinAuth). Com esses aplicativos, que priorizam a facilidade de acesso, um invasor em potencial pode não apenas roubar um código único que funciona por 30 segundos, mas também clonar rapidamente todos os tokens.
Terceiro, lembre-se de fazer uma cópia de backup de seus tokens, especialmente se você escolheu um dos aplicativos em que não pode visualizar a chave secreta ou QR code ou exportar tokens para um arquivo (ou seja, a maioria deles). A cópia de segurança será útil se você perder seu smartphone ou se, por exemplo, o aplicativo parar de funcionar corretamente após uma atualização de rotina. Na maioria dos casos, recuperar um autenticador sem uma cópia de backup será muito mais difícil.