Відео: Twilio Verify: The best phone verification solution (Жовтень 2024)
Пароль - це жахливий спосіб захисту онлайн-облікового запису, оскільки кожен, хто дізнається ваш пароль, володіє обліковим записом, навіть якщо вони не на півсвіту. Менеджер паролів дозволяє використовувати жорсткі запам'ятовувальні паролі, але при порушенні даних не має значення, чи був ваш пароль "*" або "пароль". Ви можете значно підвищити свою безпеку за допомогою двофакторної схеми аутентифікації, а Twilio's Authy робить двофакторну автентифікацію простішою, ніж будь-коли.
Фахівці поділяють коефіцієнти аутентифікації на три типи: щось, що ви знаєте (наприклад, пароль), щось у вас є (фізичний об’єкт) і щось, що ви є (відбиток пальця чи інша біометрична ознака). Authy перетворює ваш смартфон у фізичний маркер, необхідний для входу, разом із паролем. Хакер, який вкраде або вгадає ваш пароль, буде зірваний кроком аутентифікації, який вимагає цей маркер.
Як це працює
У 2011 році Інженерна група Internet Engineering випустила стандарт одноразових паролів (TOTP). Концепція досить проста. Коли користувач реєструє пристрій, що підтримує TOTP, на захищеному веб-сайті, створюється унікальний спільний ключ. І пристрій, і сервер можуть генерувати одноразовий пароль на основі часу, обробляючи цей ключ разом із поточним часом. За умовами, кожен TOTP хороший протягом 30 секунд. Ви входите, використовуючи звичайний пароль, потім вводите поточний одноразовий пароль зі свого пристрою, і ви перебуваєте. Зловмисник, який якимось чином вирве цей одноразовий пароль з ефіру, вважає його марним протягом 30 секунд.
Authy та Google Authenticator обидва базуються на TOTP, і ви можете використовувати Authy на будь-якому сайті, що підтримує Google Authenticator. Чому ви б перейшли на Authy? Причин досить багато; Я детально розберуся пізніше.
Початок роботи з Authy
Налаштувати Authy для використання свого смартфона в якості маркера просто. Ви встановлюєте додаток Authy на телефон, надаєте йому свій номер телефону або клацаєте посилання для підтвердження або вводите код підтвердження. Це воно; Authy готовий до використання. Початок роботи на моєму Apple iPhone 6 майже не займав часу.
Точна методика налаштування двофакторної аутентифікації залежить від сайту до сайту. Однак для більшості сайтів ви будете дотримуватися підказок, поки не отримаєте шанс вибрати Google Authenticator. У цей момент на сайті відображається QR-код. Прив’яжіть QR-код з Authy та bam! У вас двофакторна автентифікація. Заглибившись у додаток, я виявив, що він безпосередньо підтримує щонайменше два десятки популярних сайтів, серед яких Gmail, Facebook, Outlook, Lastpass, Evernote та WordPress. Понад 10 000 інших веб-сайтів і додатків, великих і малих, використовують Authy безпосередньо для аутентифікації, не підключаючись до Google Authenticator.
Зареєстровані сайти відображаються внизу вікна програми. Якщо натиснути один, відображається поточний код автентифікації для цього сайту, а також таймер зворотного відліку, який показує, яка частина 30-секундного терміну дії коду залишається. Він працює так само, як на Android та iOS, хоча я помітив, що видання iOS відображає кругову панель прогресу з відліком мітки, яка відбиває секунди, в той час як версія Android використовує просту панель прогресу.
Звичайно, якщо хакер з навичками вибору кишені зуміє отримати і ваш пароль, і ваш смартфон для аутентифікації, ви можете потрапити в біду. Як і в тому випадку, коли суворо захищена на пристрої система, яка використовується oneID, вам потрібно ретельно закріпити свій пристрій. Використовуйте надійний пароль або біометричну автентифікацію та ввімкніть захист PIN-коду Authy (користувачі iPhone можуть перейти на автентифікацію Touch ID).
LastPass 3.0 та LastPass 3.0 Premium підтримують Google Authenticator. Це означає, що ви можете захистити свій рахунок LastPass за допомогою Authy, а потім перейти до використання Authy для двофакторної автентифікації інших захищених сайтів. Ви можете зробити те ж саме з Dashlane 3.
Функції мультипристроїв
Для початку роботи з Authy потрібен смартфон, але як тільки це завдання буде виконано, ви можете встановити Authy на інші смартфони, планшети чи настільні комп'ютери та синхронізувати дані між пристроями. Authy підтримує мобільні пристрої iOS, Android та BlackBerry, а також Windows, Mac OS та Linux. Є навіть додаток Authy для Apple Watch; просто погляньте на зап'ястя на код автентифікації.
Встановивши настільний додаток Authy та розширення Chrome, ви можете повністю обійти смартфон. Додаток для настільних програм пропонує вам створити головний пароль, але його не вимагає (на мою думку, нагляд). Зауважте, що головний пароль залежить від пристрою, тому, якщо ви встановите на декількох робочих столах, ви могли б створити кілька основних паролів. Коли основний пароль встановлений, додаток вимагає періодично вводити його. Використовуючи розширення Chrome, ви можете отримати поточний код для будь-якого із зареєстрованих сайтів, скопіювати його у буфер обміну та вставити його, не виймаючи телефон.
Так, це, безумовно, відколюється при визначенні двофакторної аутентифікації. Хтось, хто має доступ до вашого настільного комп'ютера, міг би зламатись, тому що настільний комп'ютер стає фактором "щось у вас є". Якщо ви вирішили використовувати додаток Authy для настільних комп'ютерів, вам потрібно обов’язково захистити його сильним головним паролем. Крім того, вам слід захистити свій обліковий запис користувача на робочому столі та заблокувати обліковий запис кожного разу, коли ви відступите.
Є ще одна користь для розширення Chrome, яку я не помітив одразу. Якщо натиснути, щоб переглянути поточний код для веб-сайту, а цей сайт не відкритий, ви отримаєте попередження про фішинг. Це зручно!
Увімкнення програми Authy на іншому смартфоні чи планшеті - це зовсім нескладно. На новому пристрої ви вводите номер свого смартфона та відповідаєте на запит про доступ, який з’являється на цьому смартфоні. Так само, Authy включений на новому пристрої.
Втратили пристрій? Ви можете скористатися програмою Authy, щоб видалити цей пристрій із процесу синхронізації. Зауважте, що для сайтів, що використовують реалізацію TOTP від Google, маркер продовжує поставляти коди для вже зареєстрованих сайтів. Розумний користувач вимкне та повторно включить двофакторну автентифікацію на цих сайтах.
Якщо ви зареєстрували всі потрібні пристрої, ви можете встановити Authy, щоб припинити приймати більше пристроїв. Також є можливість зберегти зашифровану резервну копію захищених ключів у хмарі.
Я помітив опцію Bluetooth у додатку Authy iOS. Я ввімкнув це, але не зміг знайти спосіб взаємодіяти з моїм ПК. Виявляється, ця функція характерна для Mac, і що навіть на Mac це проблеми з деякими останніми змінами в реалізації Bluetooth.
Чому Афі?
Раніше я згадував, що ви можете використовувати Authy на будь-якому веб-сайті, який підтримує Google Authenticator. Але навіщо ти турбуєшся? Ну, Ауті просто кращий у багатьох напрямках.
Коли ви налаштували обліковий запис для аутентифікації через Google Authenticator, доступ до цього облікового запису на мобільних пристроях буде відключений. Ви повинні ввести тривалий "малий пароль програми", щоб повторно ввімкнути доступ для кожної програми на кожному пристрої. Користувачі Authy можуть просто встановити Authy на свій пристрій, уникаючи необхідності цього дратівливого процесу.
Якщо ви отримаєте новий телефон, ви можете легко передати всі ваші реєстрації Authy. За допомогою Google Authenticator вам доведеться знову пройти процедуру реєстрації для кожного сайту. І Google Authenticator не пропонує жодного способу відкликати доступ до втраченого або викраденого телефону.
Вся концепція паролів на основі часу розпадається, якщо клієнт і сервер не синхронізовані часом. Authy має репутацію залишатися синхронізованою навіть тоді, коли ваш пристрій не має доступу до мережі, тим більше, ніж Google Authenticator. Однак я не знайшов способу перевірити це.
Існує також невелика, але зростаюча колекція сайтів, які підтримують Authy, але не аутентифікатор Google. Мій контакт із Authy повідомив, що Coinbase, Cloudflare та HumbleBundler є одними з цих сайтів, призначених лише для Authy.
Легко це робить
Двофакторна автентифікація справді є чудовим підвищенням безпеки для захисту чутливих веб-сайтів, але користувачі часто торгують безпекою для зручності. Початок роботи з Authy вимагає початкових зусиль, коли ви конвертуєте захищені сайти для використання двофакторного. Після цього це дуже просто у використанні та чітке вирізання вище Google Authenticator. Якщо ви серйозно ставитеся до безпеки своїх вхідних даних в Інтернет, подумайте про поєднання Authy з LastPass 3.0 або Dashlane 3, обидва з яких є менеджерами паролів вибору редакторів. Сам Authy цілком може заслужити честь вибору редакторів за двофакторну автентифікацію; ми просто не переглянули достатньо подібних продуктів, щоб бути впевненими.
