Então, como prometido, aqui está um post explicando como quase perdi um monte de senhas por causa de uma política de segurança do Bitwarden (e bastante incompetência minha).
Então, há alguns meses, eu passei por uma transição social, onde fui mudando meus pronomes, e a minha identidade na internet, e com isso, precisei me livrar de alguns nomes de usuários, e emails que faziam referência ao meu nome antigo.
Eu usava um email da proton, e aproveitei esse momento, pra migrar pra um email da tuta (e tô gostando bastante!), como fui mudando de emails, e nomes de usuários em tudo quanto era canto, precisei atualizar vários registros no meu gestor de senhas, que era o bitwarden. Mas como meu bitwarden tava uma bagunça, preferi criar uma conta nova usando meu novo email, e ir passando as senhas antigas, e atualizadas aos poucos pra essa conta nova.
Nesse meio tempo, o bitwarden atualizou, e agora exigia confirmação de email toda vez que eu entrasse usando outro dispositivo, eu precisava confirmar meu email, mas isso ainda não tinha sido ativado na minha conta, então meio que toda vez que eu entrava na minha conta do bitwarden, aparecia uma mensagem pedindo pra ativar isso aí, coisa que não fiz, porque eu tava pra apagar a conta, e já tinha parado de usar minha conta da proton, então não teria como acessar o bitwarden, porque o email que iria receber o código de confirmação (o email da proton), eu já não tinha mais acesso.
O que aconteceu, foi que em algum momento, sem minha permissão, o bitwarden ativou sozinho a confirmação por email, então quando eu fui entrar, ele pediu um código de confirmação que foi enviado para o meu email da proton, mas como eu já não tinha mais acesso a esse email, não pude receber o código. E não dava pra logar no email, porque a senha dele tava no bitwarden bloqueado, então eu fiquei trancada do lado de fora, sem acesso a várias senhas que eu ainda não tinha migrado.
Isso foi há uns meses atrás, recentemente consegui acessar o email da proton por um sms de recuperação enviado para o meu celular, e tive acesso as senhas de novo, mas sem isso, eu ia ficar travada pra sempre .-.
Apesar de reconhecer meu erro, de ter tomado pouco cuidado com minhas senhas, acho que nenhum aplicativo deveria ficar ativando coisas nas nossas contas sem permissão, então… complicado.
Caramba! Dá medo só de pensar nisso acontecer comigo. Eu passei por vários gerenciadores de senha ( LastPass, Bitwarden, etc) e, ultimamente, estou usando 1Password há pouco mais de 2 anos.
Sim, é pago. Não, não curto muito software pago, mas eu cansei de ficar migrando todas as senhas pra outro gerenciador toda vez que saia uma notícia de comprometimento/vazamento de senhas em um deles. Já aconteceu tanto no caso do LastPass quanto no do Bitwarden.
Sei que ambos possuem versões pagas, mas eu sempre usei as versões gratuitas deles. Em algum momento eu cansei disso e entendi que se eu quisesse algum sossego eu teria que botar a mão no bolso.
Não quis assinar a versão paga dos outros que tinha usado antes exatamente porque já havia rolado problemas com eles. O 1Password é bastante usado, muito bem recomendado e não encontrei histórico de problemas com ele. É multiplataforma: funciona em Windows, Linux, macOS, Android, iOS, etc.
Todas as vezes que passei por esse processo de migrar senhas de uma solução pra outra, nunca foi suave. Exportar e importar nunca funcionou tão bem assim pra mim, até porque eu não tinha costume de organizar as senhas muito bem.
É exatamente nesse processo de migração, ainda usando algumas senhas na solução antiga e outras na nova, que sempre tive receio de fazer algo errado e me trancar pra fora. Você teve “sorte” (no bom sentido, claro, não foi nada legal) porque tem muita solução atual que está eliminando uso de envio de chave de recuperação via SMS.
SMS acaba sendo fácil de burlar porque tem os casos de clonagem de números, então o número clonado pode receber a chave de recuperação via SMS no celular clonado e ter acesso a sua senhas. O que costumo fazer atualmente é :
Com os códigos de recuperação, se por acaso você perder acesso a sua conta você pode usar um dos códigos como último recurso pra ganhar acesso de volta a sua conta (e gerar novos códigos pra usar no futuro, se for o caso).
Eita, que comentário completinho, valeu!
Eu tava pensando em migrar pra algo local, mas tenho medo de ser irresponsável com minhas senhas e perder tudo de vez sksk
Obrigado :-)
Sim, tem soluções locais que encriptam tudo localmente, inclusive soluções opensource. O problema é que, nesse caso, você fica com o problema de ter que fazer backup dessas senhas e de criar alguma rotina pra gerar esse backup periodicamente e, preferencialmente, de maneira automatizada.
Se você troca de dispositivo, no entanto, tudo fica no outro dispositivo. Nem só em casos de comprar um celular novo, mas sim, por exemplo, no dia a dia, como em um momento estar no celular e depois em desktop/laptop. Teria que trazer a solução de backup pra todos os dispositivos e lidar com o problema do backup que rodou a partir de um dispositivo não poder sobrescrever (mas sim complementar) o backup do outro, e entender qual dos dispositivos tem a versão mais atual dos dados.
Resumindo, é chato, muito propenso a erros, e geralmente muita gente acaba metendo os pés pelas mãos e perdendo informações/senhas no processo.
Eu fiquei muitos anos (mais de uma década, provavelmente quase duas décadas) pulando de uma solução opensource pra outra, e sempre encontrando problemas específicos com elas. Até que, como eu disse, botei a mão no bolso e comecei a pagar o 1Password.
Desde então, não precisei mais perder mais tempo/paciência com isso.