Twilio authy преглед и оценка

Паролата е ужасен начин да защитите онлайн акаунт, защото всеки, който научи паролата ви, е собственик на акаунта, дори и да е на половин свят. Мениджърът на пароли ви позволява да използвате строги за запомняне пароли, но при нарушаване на данните няма значение дали вашата парола е била "*" или "парола." Можете значително да подобрите сигурността си, като използвате двуфакторна схема за удостоверяване, а Twilio's Authy прави двуфакторната автентификация по-лесна от всякога.

Експертите разделят факторите за удостоверяване на три вида: нещо, което знаете (парола например), нещо, което имате (физически обект), и нещо, което сте (пръстов отпечатък или друга биометрична черта). Authy превръща вашия смартфон във физически маркер, който е необходим за влизане, заедно с паролата. Хакер, който открадне или познае паролата ви, ще бъде спрян от стъпката за удостоверяване, която изисква този маркер.

Как работи

През 2011 г. Internet Engineering Task Force пусна стандарт за еднократни пароли (TOTP). Концепцията е достатъчно проста. Когато потребителят регистрира поддържащо TOTP устройство със защитен уебсайт, се създава уникален споделен ключ. И устройството, и сървърът могат да генерират еднократна парола, базирана на времето, като обработват този ключ заедно с текущото време. По конвенция всеки TOTP е добър за 30 секунди. Влезте с помощта на обикновената си парола, след това въведете текущата еднократна парола от устройството си и влизате. Злоупотребител, който по някакъв начин изтръгне тази еднократна парола от етера, ще я намери безполезна в рамките на 30 секунди.

Authy и Google Authenticator се изграждат на TOTP, а всъщност можете да използвате Authy на всеки сайт, който поддържа Google Authenticator. Защо ще преминете към Authy? Има доста причини; Ще вляза в подробности по-късно.

Първи стъпки с Authy

Настройката на Authy да използва вашия смартфон като означение е проста. Инсталирате приложението Authy на телефона, давате му телефонен номер и кликнете върху връзка за потвърждение или въведете код за потвърждение. Това е; Authy е готов за употреба. Започването на моя iPhone iPhone 6 отне почти време.

Точната техника за настройка на двуфакторна автентификация варира от сайт на сайт. Въпреки това, за повечето сайтове ще следвате указанията, докато не получите възможност да изберете Google Удостоверител. В този момент сайтът показва QR код. Пъхнете QR кода с Authy и bam! Имате двуфакторна автентификация. Разкопавайки се в приложението, установих, че то директно поддържа поне две дузини популярни сайтове, сред които Gmail, Facebook, Outlook, Lastpass, Evernote и WordPress. Над 10 000 други уебсайтове и приложения, големи и малки, използват Authy директно за удостоверяване, без връзка с Google Удостоверител.

Регистрираните ви сайтове се показват в долната част на прозореца на приложението. Докосването на един извежда текущия код за удостоверяване за този сайт, заедно с таймер за обратно отброяване, който показва каква част от живота на кода остава 30 секунди. Работи почти същото на Android и iOS, въпреки че забелязах, че iOS изданието показва кръгова лента за напредък с етикет, отброяващ секунди, докато изданието за Android използва просто обикновена лента за напредък.

Разбира се, ако хакер с умения за изтегляне на джоба успее да получи както вашата парола, така и вашия смартфон за удостоверяване, може да имате проблеми. Както при строго базираната на устройството защита, използвана от oneID, трябва да обезопасите устройството си старателно. Използвайте силен парола или биометрично удостоверяване и включете ПИН защитата на Authy (Потребителите на iPhone могат да надстроят до удостоверяване на Touch ID).

LastPass 3.0 и LastPass 3.0 Premium поддържат Google Authenticator. Това означава, че можете да защитите вашия LastPass акаунт с помощта на Authy и след това да продължите да използвате Authy за двуфакторно удостоверяване на другите ви сигурни сайтове. Можете да направите същото с Dashlane 3.

Функции за много устройства

Имате нужда от смартфон, за да започнете работа с Authy, но след като тази задача бъде изпълнена, можете да инсталирате Authy на други смартфони, таблети или настолни компютри и да синхронизирате данни между устройствата. Authy поддържа iOS, Android и BlackBerry мобилни устройства, както и Windows, Mac OS и Linux. Има дори приложение Authy за Apple Watch; просто погледнете китката си за кода за удостоверяване.

Инсталирайки приложението за десктоп Authy и разширението на Chrome, можете да заобиколите смартфона напълно. Приложението за десктоп ви подканва да създадете главна парола, но не я изисква (по мое мнение). Обърнете внимание, че основната парола е специфична за устройството, така че ако инсталирате на множество настолни компютри, бихте могли да създадете няколко главни пароли. Когато основната парола е въведена, приложението изисква от вас да я въвеждате периодично. С помощта на разширението за Chrome можете да получите текущия код за всеки от регистрираните си сайтове, да го копирате в клипборда и да го поставите, без да е необходимо да изваждате телефона си.

Да, това определено се отрязва при дефиницията за двуфакторно удостоверяване. Някой, който има достъп до вашия настолен компютър, би могъл да се счупи, защото настолния компютър се превръща във фактор "нещо, което имате". Ако решите да използвате настолното приложение Authy, трябва абсолютно да го защитите със силна главна парола. Освен това трябва да защитите паролата на потребителския си акаунт на работния плот и да заключите акаунта по всяко време, когато отстъпите.

Има още едно предимство за разширението на Chrome, което не забелязах веднага. Ако щракнете, за да видите текущия код за даден сайт и този сайт не е отворен, ще получите предупреждение за фишинг. Това е удобно!

Активирането на Authy на друг смартфон или таблет е леко. На новото устройство въвеждате телефонния номер на вашия смартфон и отговаряте на подкана за достъп, който се появява на този смартфон. Точно така, Authy е активиран на новото устройство.

Изгубихте устройство? Можете да използвате приложението Authy, за да премахнете това устройство от процеса на синхронизиране. Имайте предвид обаче, че за сайтове, използващи внедряването на TOTP от Google, маркерът ще продължи да доставя кодове за вече регистрирани сайтове. Благоразумният потребител ще деактивира и ще активира отново двуфакторната автентификация на тези сайтове.

Ако сте записали всички устройства, които искате, можете да настроите Authy да спре приемането на повече устройства. Има и опция да запазите криптирано архивиране на вашите сигурни ключове в облака.

Забелязах опция Bluetooth в приложението Authy iOS. Активирах го, но не можах да намеря начин да го накарам да взаимодейства с моя компютър. Оказва се, че тази функция е специфична за Mac и че дори и на Mac има проблеми с някои скорошни промени в прилагането на Bluetooth.

Защо Авти?

По-рано споменах, че можете да използвате Authy на всеки сайт, който поддържа Google Authenticator. Но защо ще се притеснявате? Е, Authy е просто по-добър в редица начини.

Когато настроите акаунт за удостоверяване чрез Google Authenticator, достъпът ви до този акаунт на мобилни устройства е прекъснат. Трябва да въведете дълъг "малки пароли" за приложение, за да активирате отново достъп за всяко приложение на всяко устройство. Потребителите на Authy могат просто да инсталират Authy на устройството, като премахват необходимостта от този досаден процес.

Ако получите нов телефон, можете лесно да прехвърляте през всички ваши Authy регистрации. С Google Authenticator ще трябва отново да преминете през процеса на регистрация за всеки сайт. А Google Удостоверител не предлага никакъв начин да оттегли достъп за изгубен или откраднат телефон.

Цялата концепция за базирани на времето пароли се разпада, ако клиентът и сървърът не са синхронизирани във времето. Authy има репутация да поддържа синхронизиране дори когато устройството ви няма достъп до мрежата, повече от Google Authenticator. Въпреки това, не намерих начин да тествам това.

Има и малка, но нарастваща колекция от сайтове, които поддържат Authy, но не и Google Authentator. Моят контакт с Authy съобщи, че Coinbase, Cloudflare и HumbleBundler са сред тези сайтове, които са само за Authy.

Лесно ли го прави

Двуфакторното удостоверяване наистина е чудесно подобрение на сигурността за осигуряване на чувствителни уебсайтове, но потребителите често търгуват сигурност за удобство. Първите стъпки с Authy отнемат първоначални усилия, докато преобразувате защитените си сайтове, за да използвате двуфакторни. След това той е супер лесен за използване и определено рязане над Google Authenticator. Ако сте сериозно за обезопасяването на вашите онлайн входни данни, помислете за сдвояването на Authy с LastPass 3.0 или Dashlane 3, и двете са мениджъри на пароли за избор на редактори. Самият Authy може да заслужи чест на избора на редактора за двуфакторно удостоверяване; просто не сме прегледали достатъчно подобни продукти, за да сме сигурни.