Eles todos geram os mesmos códigos
Vamos deixar isso claro: todo aplicativo autenticador que suporta TOTP produz os mesmos códigos de 6 dígitos. O algoritmo é padronizado (aqui está como o TOTP funciona se tiver curiosidade). Então os códigos do Google Authenticator, Authy e um aplicativo open-source aleatório são idênticos para a mesma chave secreta.
As diferenças vêm para tudo ao redor dos códigos: opções de backup, suporte a múltiplos dispositivos, a interface, e se você confia na empresa por trás do aplicativo.
Aqui está como cinco opções populares se comparam.
A comparação
| Recurso | Google Authenticator | Microsoft Authenticator | Authy | 2FAS | Aegis |
|---|---|---|---|---|---|
| Plataforma | Android, iOS | Android, iOS | Android, iOS, Desktop | Android, iOS | Apenas Android |
| Backup na nuvem | Sincronização com conta Google | Backup iCloud / Google | Sincronização criptografada na nuvem | Google Drive / iCloud | Apenas exportação manual |
| Multi-dispositivo | Via sincronização Google | Um telefone + backup | Sim, integrado | Via backup na nuvem | Não |
| Código aberto | Não | Não | Não | Sim | Sim |
| Uso offline | Sim | Sim | Sim | Sim | Sim |
| Bloqueio biométrico | Não | Sim | Sim | Sim | Sim |
| Preço | Grátis | Grátis | Grátis | Grátis | Grátis |
Google Authenticator
Google Authenticator é o aplicativo que a maioria das pessoas pensa quando ouve “autenticador”. Está por aí desde 2010, e durante a maior parte de sua vida foi deliberadamente básico: sem backup, sem sincronização, sem frescuras. Você tinha seus códigos em um dispositivo, e se perdesse aquele dispositivo, estava começando do zero.
Isso mudou em 2023 quando o Google adicionou sincronização de conta. Seus segredos agora fazem backup para sua conta Google e restauram quando você entra em um novo dispositivo. Isso consertou a maior reclamação sobre o aplicativo.
Ainda é minimal. Não há PIN ou bloqueio biométrico no próprio aplicativo, o que significa que qualquer um que pegar seu telefone desbloqueado pode ver seus códigos. A interface é limpa mas básica. Funciona bem.
Bom para: Pessoas que querem algo simples de um nome que reconhecem. Se você já vive no ecossistema Google, a sincronização é conveniente.
Cuidado com: Sem bloqueio no nível do aplicativo. Seus códigos são tão protegidos quanto a tela de bloqueio do seu telefone.
Microsoft Authenticator
O aplicativo da Microsoft faz mais que TOTP. Ele lida com aprovações de notificação push para contas Microsoft, pode armazenar senhas e suporta preenchimento automático. Se você usa Microsoft 365 no trabalho, há uma boa chance de seu departamento de TI já ter apontado para este.
Para TOTP especificamente, funciona bem. Suporta backup iCloud no iOS e backup de conta Google no Android. O aplicativo tem uma opção de bloqueio biométrico, então você pode exigir Face ID ou impressão digital antes de os códigos ficarem visíveis.
A interface é mais ocupada que o Google Authenticator por causa de todos os recursos extras. Se você está usando apenas para códigos TOTP, há muita coisa que você vai ignorar.
Bom para: Pessoas já no ecossistema Microsoft, especialmente se o usa para trabalho. As notificações push para login Microsoft 365 são genuinamente convenientes.
Cuidado com: O aplicativo pode parecer desorganizado se você não usa o gerenciador de senhas ou recursos de preenchimento automático.
Authy
Authy foi um dos primeiros autenticadores a oferecer backup criptografado na nuvem e sincronização multi-dispositivo, época em que o Google Authenticator ainda não tinha nenhum dos dois. Você pode instalar o Authy no seu telefone, tablet e desktop, e todos os seus códigos ficam sincronizados.
Os backups são criptografados com uma senha que você define (separada da senha da sua conta Authy). Segundo sua documentação, o Authy não pode ler seus segredos em seus servidores.
Uma coisa para saber: Authy descontinuou seus aplicativos desktop em 2024. Se o acesso desktop era um ponto de venda para você, isso acabou. Os aplicativos mobile ainda funcionam e ainda sincronizam.
O Authy é de propriedade da Twilio, uma grande empresa de comunicações. Não é código aberto, então você está confiando na implementação e infraestrutura da Twilio.
Bom para: Pessoas que querem sincronização automática multi-dispositivo sem pensar nisso. A configuração é simples e o backup é integrado.
Cuidado com: Não é código aberto. Aplicativos desktop foram descontinuados. Você está confiando na Twilio com seu cofre criptografado.
2FAS
2FAS é a opção de código aberto que não faz você abrir mão da conveniência. Suporta backup na nuvem através do Google Drive ou iCloud, tem uma interface limpa, e inclui uma extensão de navegador que pode preencher automaticamente códigos TOTP quando você faz login em sites.
Ser código aberto significa que o código é publicamente auditável. Se você se importa em verificar o que um aplicativo está fazendo com seus segredos, isso importa.
A extensão de navegador é um toque legal. Quando um site pede seu código TOTP, você recebe uma notificação no telefone para aprová-lo, e o código preenche automaticamente. É similar a como o 2FA por notificação push funciona, mas construído sobre TOTP padrão.
Bom para: Pessoas que querem software de código aberto sem sacrificar usabilidade. A extensão de navegador é um recurso de conveniência real.
Cuidado com: Comunidade menor que os grandes nomes. Menos reconhecimento de nome se isso importa para você em termos de confiança.
Aegis
Aegis é apenas para Android e totalmente código aberto. É a opção mais transparente aqui: nenhum serviço de nuvem, nenhuma conta para criar, nenhuma sincronização a menos que você configure você mesmo. Você exporta um arquivo de cofre criptografado e gerencia backups como quiser.
O aplicativo suporta bloqueio biométrico, tem uma interface limpa e lida com todo o material padrão de TOTP/HOTP sem complicação. Você pode importar da maioria dos outros aplicativos autenticadores se estiver mudando.
A falta de sincronização na nuvem integrada é ou um recurso ou uma desvantagem dependendo da sua perspectiva. Se você quer controle total sobre onde seus segredos estão armazenados, o Aegis te dá isso. Se você quer que as coisas simplesmente sincronizem automaticamente, você precisará parear com algo como o Syncthing ou gerenciar backups manuais.
Bom para: Usuários Android que querem controle e transparência totais. Pessoas orientadas à segurança que preferem gerenciar seus próprios backups.
Cuidado com: Não tem versão iOS. Não tem sincronização integrada. Você é responsável por sua própria estratégia de backup.
Então qual você deve usar?
Não há uma única melhor resposta. Aqui está um guia de decisão aproximado:
- Você só quer algo que funcione: Google Authenticator ou Microsoft Authenticator. Escolha qualquer ecossistema que você já usa.
- Você quer sincronização na nuvem entre múltiplos dispositivos: Authy ou 2FAS.
- Você se importa com código aberto: 2FAS (multiplataforma) ou Aegis (Android).
- Você quer controle máximo: Aegis. Você gerencia tudo, nada telefona para casa.
- Você usa Microsoft 365 no trabalho: Microsoft Authenticator, já que provavelmente precisa dele de qualquer forma.
A verdade honesta é que qualquer um desses aplicativos está bem. A diferença de segurança entre eles é pequena comparada à diferença entre usar qualquer aplicativo autenticador e não usar nenhum. Escolha um, configure suas contas, guarde seus códigos de backup e siga em frente.
Se você quer entender a mecânica por trás dos códigos que esses aplicativos geram, confira O que é TOTP?. E para testar códigos sem se comprometer com nada, experimente 2fa.zip — funciona no seu navegador e não armazena nada em um servidor.