Códigos de backup são a coisa que você desejará ter tido
Quando você configura autenticação de dois fatores, a maioria dos serviços te dá um conjunto de códigos de backup de uso único. Estes são suas chaves de emergência. Se seu telefone quebrar, for roubado, ou você acidentalmente deletar seu aplicativo autenticador, os códigos de backup são como você volta a entrar.
Muitas pessoas pulam essa etapa durante a configuração. Acham que vão lidar com isso depois, ou fazem um screenshot dos códigos e esquecem onde a imagem foi parar. Então seis meses depois, estão bloqueadas do email e abrindo tíquetes de suporte.
Não seja essa pessoa. Salvar códigos de backup leva dois minutos e pode poupar horas de dores de cabeça de recuperação.
O que códigos de backup realmente são
Códigos de backup são strings pré-geradas de uso único (geralmente 8-12 caracteres) que funcionam como substituto para seu código TOTP. Cada código pode ser usado exatamente uma vez. A maioria dos serviços te dá entre 5 e 10 deles.
Eles são gerados ao mesmo tempo que você ativa 2FA, e estão vinculados à sua conta. Não expiram a menos que você gere um novo conjunto, o que invalida os antigos.
Pense neles como chaves reserva de casa. Você não os usa todo dia, mas quando precisa de uma, você realmente precisa.
Onde armazená-los
Há algumas abordagens razoáveis, cada uma com compensações.
Em um gerenciador de senhas
Essa é provavelmente a opção mais prática para a maioria das pessoas. Se você já está usando um gerenciador de senhas (1Password, Bitwarden, KeePass, etc.), adicione seus códigos de backup como uma nota anexada à entrada de login relevante.
Por que funciona: Seu gerenciador de senhas é criptografado, sincronizado entre dispositivos, e você já está abrindo quando faz login em coisas. Os códigos estão bem ali quando você precisa.
O risco: Se você perder acesso ao seu gerenciador de senhas e seu autenticador ao mesmo tempo, você está preso. Isso é improvável se seu gerenciador de senhas usa um método diferente de desbloqueio (como uma senha mestra ou passkey) que seu aplicativo autenticador, mas vale pensar nisso.
Mitigação: Mantenha pelo menos um método de backup fora do seu gerenciador de senhas (como uma cópia impressa).
Impressos em papel, armazenados em algum lugar seguro
Imprima seus códigos de backup e coloque em algum lugar fisicamente seguro: um cofre em casa, uma gaveta trancada, uma caixa à prova de fogo. Um lugar onde você guardaria passaporte ou certidão de nascimento.
Por que funciona: Papel não pode ser hackeado remotamente. Não precisa de baterias ou conexão de internet. Ainda será legível em dez anos.
O risco: Papel pode queimar, inundar, ou ser jogado fora por alguém que não sabe o que é. Também não é ótimo se você precisar dos códigos enquanto viaja.
Mitigação: Rotule o papel claramente (mas não tão claramente que um estranho saberia o que os códigos são para). Algo como “Códigos de recuperação de conta” está bom. Não escreva as senhas associadas ao lado deles.
Em um pen drive criptografado
Copie seus códigos de backup em um arquivo de texto, coloque em um pen drive, e criptografe o drive (ou no mínimo, criptografe o arquivo). Guarde o drive em algum lugar seguro, como junto com suas cópias impressas.
Por que funciona: Você obtém uma cópia digital que é portátil e criptografada. Se precisar viajar com seus códigos, pode trazer o drive.
O risco: Pen drives falham. Também se perdem facilmente porque são pequenos. Criptografia só funciona se você lembrar a senha. E se você é o tipo de pessoa que tem uma gaveta cheia de pen drives misteriosos, boa sorte encontrando o certo.
Mitigação: Rotule o drive. Teste periodicamente para garantir que ainda funciona. Guarde a senha de criptografia no seu gerenciador de senhas (sim, isso cria uma dependência, mas é uma razoável se você tem um backup impresso também).
Onde não armazenar
Alguns lugares que parecem convenientes mas não são ótimos:
- Um arquivo de texto simples na sua área de trabalho. Qualquer um que ganhe acesso ao seu computador obtém seus códigos. Malware pode lê-los. Você provavelmente vai deletar o arquivo acidentalmente durante uma limpeza.
- Um screenshot no rolo de fotos. Bibliotecas de fotos de telefone sincronizam para a nuvem, aparecem em álbuns compartilhados, e surgem em lugares inesperados. Não é criptografada.
- Um email para si mesmo. Se alguém compromete seu email, obtém seus códigos de backup, o que é especialmente ruim já que email é geralmente a chave mestra para redefinir tudo o mais.
- Um post-it no seu monitor. Queria que isso fosse óbvio.
Quantos métodos de backup você deve ter?
Dois é um bom número. Um digital (gerenciador de senhas) e um físico (cópia impressa em um lugar seguro). Isso cobre os modos de falha principais: se a cópia digital está inacessível, você tem o papel; se o papel está indisponível, você tem a cópia digital.
Ir além de dois adiciona complexidade sem muito benefício a menos que você esteja protegendo algo de valor incomum.
Regenere códigos quando você os usar
Cada vez que você usa um código de backup, ele é consumido. Não funcionará novamente. Se você recorreu aos seus códigos, entre no serviço e gere um novo conjunto. Depois atualize todos os lugares onde guardou os antigos.
Alguns serviços mostram quantos códigos de backup você tem restantes. Verifique isso ocasionalmente. Se você está com um ou dois, regenere.
Uma rotina rápida para novas contas
Sempre que ativar 2FA em uma nova conta:
- Complete a configuração e confirme que seu autenticador funciona
- Copie os códigos de backup
- Cole em uma nota no seu gerenciador de senhas
- Imprima uma cópia para seu backup físico
- Siga com sua vida
Leva dois minutos. Estabeleça isso como hábito e você nunca será a pessoa desesperadamente pesquisando “bloqueado da conta telefone perdido” à meia-noite.
Se você quer testar sua configuração TOTP e garantir que os códigos estão gerando corretamente, pode tentar 2fa.zip. Funciona no seu navegador e não envia nada para um servidor.