Video: Twilio Verify: The best phone verification solution (Oktober 2024)
Et passord er en forferdelig måte å beskytte en online konto, fordi alle som lærer passordet ditt eier kontoen, selv om de er en halv verden borte. En passordbehandler lar deg bruke passord som er tøffe å huske, men i et datainnbrudd spiller det ingen rolle om passordet ditt var "*" eller "passord." Du kan forbedre sikkerheten din enormt ved å bruke et tofaktors autentiseringsskjema, og Twilios Authy gjør tofaktorautentisering enklere enn noen gang.
Eksperter deler autentiseringsfaktorer i tre typer: noe du vet (for eksempel et passord), noe du har (et fysisk objekt), og noe du er (et fingeravtrykk eller annen biometrisk egenskap). Authy gjør smarttelefonen din til et fysisk symbol som er nødvendig for innlogging, sammen med passordet. En hacker som stjeler eller gjetter passordet ditt, blir foliert av godkjenningstrinnet som krever dette symbolet.
Hvordan det fungerer
I 2011 ga Internet Engineering Task Force ut en standard for tidsbaserte engangspassord (TOTP). Konseptet er enkelt nok. Når brukeren registrerer en TOTP-støttende enhet med et sikkert nettsted, opprettes en unik delt nøkkel. Både enheten og serveren kan generere et tidsbasert engangspassord ved å behandle denne nøkkelen sammen med gjeldende tid. I samsvar er hvert TOTP bra i 30 sekunder. Du logger deg på med det vanlige passordet ditt, deretter skriver du inn det gjeldende engangspassordet fra enheten din, og du er i. En malefaktor som på en eller annen måte plukker ut det engangspassordet fra eteren, vil synes det er ubrukelig i løpet av 30 sekunder.
Authy og Google Authenticator bygger begge på TOTP, og faktisk kan du bruke Authy på et hvilket som helst nettsted som støtter Google Authenticator. Hvorfor skulle du bytte til Authy? Det er ganske mange grunner; Jeg vil gå i detalj senere.
Komme i gang med autentisering
Det er enkelt å sette opp Authy for å bruke smarttelefonen som et symbol. Du installerer Authy-appen på telefonen, gir den telefonnummeret ditt, og klikker enten på en bekreftelseskobling eller skriver inn en bekreftelseskode. Det er det; Authy er klar til bruk. Å komme i gang med Apple iPhone 6 min tok nesten ingen tid.
Den eksakte teknikken for å sette opp tofaktorautentisering varierer fra sted til sted. For de fleste nettsteder følger du imidlertid instruksjonene til du får en sjanse til å velge Google Authenticator. På det tidspunktet viser nettstedet en QR-kode. Sett inn QR-koden med Authy og bam! Du har tofaktorautentisering. Når jeg graver meg inn i appen, fant jeg ut at den direkte støtter minst to dusin populære nettsteder, blant dem Gmail, Facebook, Outlook, Lastpass, Evernote og WordPress. Over 10.000 andre nettsteder og applikasjoner, store og små, bruker Authy direkte for autentisering uten tilknytning til Google Authenticator.
De registrerte nettstedene dine vises på bunnen av appens vindu. Hvis du trykker på en, får du opp den gjeldende godkjenningskoden for dette nettstedet, sammen med en nedtellingstimer som viser hvor mye av kodens levetid på 30 sekunder som gjenstår. Det fungerer omtrent det samme på Android og iOS, selv om jeg observerte at iOS-utgaven viser en sirkulær fremdriftslinje med en etikett som teller ned sekunder mens Android-utgaven bare bruker en enkel fremdriftslinje.
Hvis en hacker med lommevalgferdigheter klarer å skaffe både passordet og smarttelefonen din, kan du selvfølgelig være i problemer. Som med den strengt enhetsbaserte sikkerheten som brukes av oneID, må du sikre enheten grundig. Bruk en sterk passord, eller biometrisk autentisering, og slå på Authys PIN-beskyttelse (iPhone-brukere kan oppgradere til Touch ID-godkjenning).
LastPass 3.0 og LastPass 3.0 Premium støtter begge Google Authenticator. Det betyr at du kan beskytte LastPass-kontoen din ved å bruke Authy, og deretter fortsette å bruke Authy for tofaktorautentisering av dine andre sikre nettsteder. Du kan gjøre det samme med Dashlane 3.
Funksjoner med flere enheter
Du trenger en smarttelefon for å komme i gang med Authy, men når denne oppgaven er fullført, kan du installere Authy på andre smarttelefoner, nettbrett eller stasjonære maskiner og synkronisere data mellom enhetene. Authy støtter iOS, Android og BlackBerry mobile enheter, i tillegg til Windows, Mac OS og Linux. Det er til og med en Authy-app for Apple Watch; bare kikk på håndleddet for godkjenningskoden.
Ved å installere Authy desktop app og Chrome-utvidelsen, kan du omgå smarttelefonen helt. Desktop-appen ber deg lage et hovedpassord, men krever ikke det (en tilsyn, etter min mening). Merk at hovedpassordet er enhetsspesifikt, så hvis du installerer på flere stasjonære PCer, kan du tenke å lage flere hovedpassord. Når hovedpassordet er på plass, krever appen at du skriver det inn med jevne mellomrom. Ved hjelp av Chrome-utvidelsen kan du få den gjeldende koden for et av de registrerte nettstedene dine, kopiere den til utklippstavlen og lime den inn, uten å måtte komme deg ut av telefonen.
Ja, dette er definitivt å fjerne seg ved definisjonen av tofaktorautentisering. Noen som har tilgang til din stasjonære datamaskin kan tenkes å bryte seg inn, fordi stasjonære datamaskiner blir "noe du har" -faktoren. Hvis du velger å bruke Authy desktop app, må du absolutt beskytte den med et sterkt hovedpassord. I tillegg bør du passordbeskytte brukerkontoen din på skrivebordet og låse kontoen når du går bort.
Det er en annen fordel med Chrome-utvidelsen som jeg ikke la merke til med en gang. Hvis du klikker for å se gjeldende kode for et nettsted, og det nettstedet ikke er åpent, får du en phishing-advarsel. Det er praktisk!
Å aktivere autentisering på en annen smarttelefon eller nettbrett er et blunk. På den nye enheten skriver du inn telefonnummeret til smarttelefonen din og svarer på en tilgangsforespørsel som vises på den smarttelefonen. Akkurat slik er Authy aktivert på den nye enheten.
Har du mistet en enhet? Du kan bruke Authy-appen til å fjerne enheten fra synkroniseringsprosessen. Merk imidlertid at for nettsteder som bruker Googles implementering av TOTP, vil token fortsette å levere koder for allerede registrerte nettsteder. En forsiktig bruker vil deaktivere og aktivere tofaktorautentisering på disse nettstedene på nytt.
Hvis du har registrert alle enhetene du ønsker, kan du stille inn Authy til å slutte å godta flere enheter. Det er også et alternativ å lagre en kryptert sikkerhetskopi av sikre nøklene til skyen.
Jeg la merke til et Bluetooth-alternativ i Authy iOS-appen. Jeg aktiverte det, men fant ikke noen måte å få den til å samhandle med PCen min. Det viser seg at denne funksjonen er Mac-spesifikk, og at selv på Mac har den problemer med noen nyere endringer i Bluetooth-implementering.
Hvorfor autentisering?
Jeg nevnte tidligere at du kan bruke Authy på et hvilket som helst nettsted som støtter Google Authenticator. Men hvorfor ville du bry deg? Vel, Authy er bare bedre på flere måter.
Når du setter opp en konto som skal autentiseres via Google Authenticator, blir tilgangen din til den kontoen på mobile enheter avbrutt. Du må angi et langvarig "applikasjonspassord" for å aktivere tilgang for hver applikasjon på hver enhet. Authy-brukere kan ganske enkelt installere Authy på enheten, og fjerne behovet for denne irriterende prosessen.
Hvis du får en ny telefon, kan du enkelt overføre alle Authy-registreringene dine. Med Google Authenticator må du gjennom registreringsprosessen igjen for hvert nettsted. Og Google Authenticator tilbyr ikke noen måte å tilbakekalle tilgang for en tapt eller stjålet telefon.
Hele konseptet med tidsbaserte passord går i stykker hvis klienten og serveren ikke er synkronisert tidsmessig. Authy har et rykte på seg for å være synkronisert selv om enheten ikke har nettverkstilgang, mer enn Google Authenticator. Imidlertid fant jeg ikke en måte å teste dette på.
Det er også en liten, men voksende samling av nettsteder som støtter Authy, men ikke Google-godkjenning. Authy-kontakten min rapporterte at Coinbase, Cloudflare og HumbleBundler er blant disse nettstedene med bare Authy.
Easy Does It
Tofaktorautentisering er virkelig en fantastisk sikkerhetsforbedring for å sikre sensitive nettsteder, men brukere handler ofte sikkerhet for enkelhets skyld. Å komme i gang med Authy krever en første innsats når du konverterer dine sikre nettsteder til å bruke to-faktor. Etter det er det superenkelt å bruke, og et klart kutt over Google Authenticator. Hvis du ser alvorlig med å sikre online pålogginger, kan du vurdere å koble Authy med LastPass 3.0 eller Dashlane 3, som begge er Editors 'Choice-passordbehandlere. Authy i seg selv kan godt fortjenes en Editors 'Choice-ære for tofaktorautentisering; Vi har rett og slett ikke vurdert nok lignende produkter for å være sikre.
