Alternativas ao Authy e Bitwarden

>

Mencionei outro dia o serviço Ente Auth como alternativa ao Authy (que vai acabar), para autenticação de dois fatores (2FA) em logins. Por que esse tipo de programa é útil também está resumido nesse link.

Mas fui atrás de opções mais sólidas e achei.

Bitwarden

Como já uso Bitwarden para gerenciamento de senhas, considerei o plano pago, que oferece autenticação de dois fatores do tipo TOTP (time-based one-time password). É barato: US$ 10 por ano.

Acabei escolhendo outra solução não por causa do preço, mas porque não quero depender de uma empresa para algo tão sensível como a autenticação de logins em serviços cruciais.

Atualização (2024.05.04): a empresa agora oferece um aplicativo TOTP gratuito para celular.

KeePass

Não sabia que o formato aberto KeePass já lida com TOTP. O programa oficial é um pouco desajeitado, mas há dezenas de outros compatíveis — isso é um ótimo sinal da solidez e durabilidade do formato.

Um clássico é o KeePassXC, disponível para todos os sistemas. Como é possível importar as senhas do Bitwarden (com alguns ajustes nas colunas do arquivo .csv), experimentei como uma possível alternativa para largar de vez o Bitwarden.

Há também a extensão de navegadores keepassxc-browser que preenche senhas ou as salva de modo seguro e automático, como no Bitwarden.

Poderia certamente usar isso. Mas o programa (flatpak no Arch Linux) me pareceu instável e pesado. A extensão de navegador também, e ela ainda exige que o programa principal esteja aberto para funcionar.

Fica para uma próxima. Isso deve melhorar com o tempo.

Secrets

O Secrets (para Gnome) é um gerenciador de senhas, e outras chaves delicadas, baseado no formato KeePass. É o que procurava: algo simples e eficiente.

Uso só para 2FA. As senhas por enquanto continuam no Bitwarden.

Vale alertar que o programa não salva automaticamente. Ao incluir uma nova senha ou alteração, é preciso salvar manualmente, ou deixar isso ser feito automaticamente no fechamento do programa — algo arriscado já que tudo pode acontecer até lá (aconteceu comigo). Mas há uma opção na configuração para salvar automaticamente.

Uma curiosidade que pouca gente conhece é que as chaves que serviços fornecem (para a configuração 2FA inicial) são permanentes e funcionam em vários programas simultaneamente. Por exemplo, ao pegar o código QR (ou em texto) que um serviço fornece para ativar o autenticador, é possível usá-lo simultaneamente em quantos programas quiser, mesmo depois.

Tanto o Secrets quanto o KeePassXC mostram a chave inicial de uma entrada, que pode ser colada em outro aplicativo. Essa é uma opção para sincronizar em diferentes aparelhos.

Keepass2Android

Para celular (Android e cia), há o Keepass2Android. Como ele usa o mesmo formato, basta abrir o arquivo sincronizado. A sincronização pode ser feita com serviços como Mega.nz ou Dropbox. Eu prefiro o SyncThing para não depender de nuvem.

Armadilha da conveniência

Esse é um arranjo menos conveniente do que usar um único aplicativo, que não existe mais de qualquer jeito (de forma gratuita). Mas, no final, preferiria assim mesmo se o Authy continuasse.

Apesar de funcionar na maioria das vezes, quando serviços online te deixam na mão, lá vem algo muito perturbador e disruptivo. Ainda mais se envolver senhas e logins. Sofri isso algumas vezes e, desde então, prefiro organizar tudo eu mesmo sempre que há a opção.

A beleza do formato KeePass é que tudo se resume a um arquivo .kdbx (criptografado, claro). Basta saber como cuidar de um arquivo e sincronizá-lo com outros aparelhos. Mais simples do que parece. Parece-me exagero depender de servidores em nuvem para acessar um único arquivo.

Big techs acertam em cheio ao mirar essas possíveis inconveniências. Elas oferecem produtos com ótimo design e funcionalidade, poupando dores de cabeça. De graça!

Só que não. A estratégia por trás dessas soluções é anexar um vigiador íntimo de nossas vidas em cada app que instalamos. Pior ainda são "serviços grátis" para desenvolvedores como o Google Analytics, que vigia também todas as pessoas que acessam o site desenvolvido (sem avisá-las, e está na maioria absoluta dos sites).

É comum imaginar que entregar dados pessoais, hábitos etc é um preço barato e justo pela conveniência oferecida. Fico pensando se isso é ingenuidade tecnológica, falta de conhecimento sobre os danos dessas megacorporações1, ou se há ideologia por trás.

Isso porque a justificativa costuma evoluir para uma defesa ideológica das big techs, envolvendo tecno-otimismo, neoliberalismo, tecnocracia, necessidade de existir bilionários etc.

Vou parar a digressão big tech por aqui. Fica para outro texto.

  1. Esse desconhecimento é totalmente justificado, já que não se fala sobre isso. Em vez disso, se fala sobre iPhone, iVision, fulano se torna o maior bilionário do planeta, corporação bate recorde de faturamento etc.