Лучшие приложения и оборудование для двухфакторной аутентификации 2019

1. Что такое двухфакторная аутентификация?
2. Варианты программного обеспечения
3. Google Authenticator: лучший результат
4. LastPass Authenticator: второе место
5. Microsoft Authenticator
6. Authy: лучшее решение для нескольких устройств
7. Варианты оборудования
8. Юбико Аутентификатор
9. Ключ безопасности Titan
10. Бонус: подсказки Google на устройстве

Эпоха автоматической аутентификации с помощью биометрического сканирования уже почти у нас. Но даже в это время Apple Face Face ID , Привет Windows 10 и предстоящие FIDO2 спецификация , пароли по-прежнему являются основным способом входа в различные учетные записи. Вот почему двухфакторная аутентификация (2FA) является важным второстепенным шагом для защиты ваших онлайн-данных и услуг.

Что такое двухфакторная аутентификация?

Двухфакторная или многофакторная аутентификация - это дополнительный код входа для учетной записи - вторая линия защиты вашей конфиденциальной информации.

Основная идея заключается в том, что одного пароля для ваших важных учетных записей просто недостаточно. Если ваш пароль угадан, или хакеры украдут базу данных с вашими данными для входа в виде простого текста, ваша учетная запись - сидячая утка. Двухфакторная аутентификация пытается устранить этот недостаток, запрашивая дополнительный код, называемый одноразовым паролем (OTP) - обычно длиной шесть символов и генерируемый приложением для смартфона, - прежде чем вы сможете получить доступ к своей учетной записи. Таким образом, даже если у хакера есть ваш пароль, он все равно должен будет взломать вторичный код, что значительно усложнит его получение.

Существует также более простой способ использования 2FA, называемый стандартом FIDO U2F, поддерживаемый Google, Facebook и многими другими. При таком типе аутентификации вы используете физический ключ безопасности и вставляете его в свой ПК, нажимаете кнопку ключа, и вы автоматически входите в систему.

Майкл Саймон / IDG

Ключ безопасности Google Titan.

Однако 2FA не является надежным. Например, если вы решите получить свои коды 2FA с помощью SMS, этот код может быть перехвачен хакерами, так как исследователи Positive Technologies продемонстрировали в 2017 году , Тем не менее, проверка подлинности SMS все еще намного лучше, чем ничего. В мае 2019 года Google объявил годичное исследование это было сделано в партнерстве с Нью-Йоркским университетом и Университетом Калифорнии в Сан-Диего. Трио обнаружило, что аутентификация по SMS блокировала 96 процентов фишинговых атак и 76 процентов целевых атак, пытающихся проникнуть в ваш аккаунт Google.

Это неплохая защита, но стратегия подсказок Google на устройстве (мы расскажем об этом позже) была еще лучше, блокируя 99 процентов массовых фишинговых атак и 90 процентов целевых атак. Двухфакторная аутентификация на основе приложений аналогична тем, что второй шаг создается на самом смартфоне. Таким образом, хотя в этом исследовании не упоминались приложения 2FA, мы ожидаем, что результаты будут такими же, как если бы они были лучше, чем подсказка на устройстве.

Дело в том, что использование программного или аппаратного решения 2FA на устройстве, которым вы владеете, является отличным способом защиты вашей учетной записи и намного лучше, чем простое использование SMS.

Варианты программного обеспечения

Любой сервис, поддерживающий стандартный подход OTP 2FA, будет работать со всеми нижеприведенными приложениями, включая большинство основных веб-сайтов и сервисов. Одно заметное исключение Пар , который обеспечивает доморощенный вариант 2FA в своем мобильном приложении.

Google Authenticator: лучший результат

Google

Одним из наиболее распространенных способов использования двухфакторной аутентификации является Google Authenticator. Это бесплатное приложение для смартфонов от Google, доступное как для Android а также IOS ,

Его использование очень просто и может познакомить новичков с основной предпосылкой большинства приложений 2FA. Что вы делаете, так это включаете двухфакторную аутентификацию на своих сервисах, таких как Facebook, Gmail, Dropbox. и т. д. После включения служба попросит вас сделать снимок QR-кода с помощью приложения - пользователям Android необходимо загрузить приложение для чтения QR-кода для работы с Google Authenticator.

Примечание. В некоторых случаях 2FA также называется двухэтапной проверкой, и мы не будем здесь вдаваться в отличие.

После считывания QR-кода Authenticator начнет генерировать коды, и служба, как правило, попросит вас ввести текущий код для проверки работоспособности 2FA. Вы можете добавить столько аккаунтов, сколько захотите, в Google Authenticator, если они поддерживают 2FA.

LastPass Authenticator: второе место

LastPass

Бесплатное приложение для аутентификации LastPass использует функцию, называемую push-уведомлениями одним нажатием, которая позволяет войти в систему для выбора сайтов на ПК одним щелчком мыши вместо ввода кодов. LastPass имеет видео на YouTube, демонстрирующее эту функцию ,

Вход в систему одним касанием работает как с самой LastPass, так и с пятью сторонними сайтами, включая Amazon (не включая AWS), Google, Dropbox, Facebook и Evernote. Для использования уведомлений одним касанием в вашем браузере должно быть установлено и включено расширение LastPass. Это означает, что у вас должна быть учетная запись LastPass, но бесплатная. Эти входы одним нажатием относятся к конкретному браузеру, поэтому, если вы входите одним нажатием в Chrome, вам придется войти снова, например, если вы используете Microsoft Edge.

Все это может показаться довольно загадочным, но вот что происходит за кулисами при входе в систему одним касанием на сторонних сайтах. Когда пользователь входит на совместимый сайт, расширение браузера LastPass отправляет push-уведомление на телефон пользователя, которое уведомляет пользователя о том, что запрашивается логин. Пользователь нажимает кнопку « Разрешить» на телефоне, и на добавочный номер возвращается подтверждающее сообщение, содержащее требуемый код 2FA. Расширение получает эту информацию, предоставляет ее веб-сайту, и пользователь входит в систему.

LastPass Authenticator также интегрируется с несколькими сайтами, принадлежащими материнской компании менеджера паролей, LogMeIn, чтобы предлагать аналогичный тип входа одним нажатием. К таким сайтам относятся LastPass, LogMeIn Pro / Central, GotoAssist, LogMeIn Rescue, Xively.

Microsoft Authenticator

Microsoft

Microsoft также имеет бесплатное приложение для проверки подлинности Android , IOS , а также Windows 10 Mobile , Он захватывает коды для сайтов, таких как Facebook и Dropbox, щелкая QR-код, как и другие. Однако для личных учетных записей Microsoft он поддерживает уведомления одним касанием, аналогичные LastPass.

Функция Microsoft может войти в вашу учетную запись на любом устройстве. Все, что вам нужно сделать, это подтвердить логин, и это так же хорошо, как ввести короткий код. Это не очень экономит время, но это немного удобнее.

Authy: лучшее решение для нескольких устройств

Twilio

Если вы использовали 2FA в течение какого-то промежутка времени, то вы знаете, что одним из недостатков является необходимость повторного включения кодов аутентификации при каждом переключении на новый смартфон.

Если у вас есть 10 учетных записей с 2FA, это означает, что нужно снова перехватить 10 QR-кодов. Если вы любитель смартфонов и любите переключать устройства каждые один или два года, то этот процесс может стать проблемой.

Authy-х Бесплатный сервис направлен на решение этой проблемы, храня все ваши токены 2FA - скрытые данные, которые заставляют работать ваши коды 2FA - в облаке на своих серверах. Чтобы использовать эту функцию, вы должны сначала включить шифрованное резервное копирование, а затем ваши токены будут храниться на серверах Authy.

Таким образом, когда вы входите в любое приложение Authy, будь то на смартфоне, планшете или ноутбуке с Windows или Mac, вы получаете доступ к своим кодам. Есть даже приложение Chrome для пользователей Chrome OS.

Многофункциональный доступ к вашим кодам 2FA потрясающий, но у него есть недостаток. Authy говорит, что ваши резервные копии зашифрованы на основе пароля, введенного на вашем смартфоне, прежде чем попасть в облако. Это означает, что ваш пароль является единственным способом их расшифровки, а у Authy его нет в файле. Если вы забудете свой пароль, вы можете заблокировать свои учетные записи, поскольку у вас не будет кодов 2FA. То, как вы восстановите доступ к каждой учетной записи, зависит от политик восстановления учетной записи каждой службы.

Если вы новичок в 2FA, это может быть не приложение для вас, если вы не готовы принять надлежащие меры, чтобы гарантировать, что вы никогда не потеряете доступ к Authy, например, записать свой пароль и хранить его в безопасном месте.

Варианты оборудования

Абсолютно самый безопасный способ заблокировать свои учетные записи с помощью двухфакторной аутентификации - это использовать физический ключ безопасности. В исследовании Google, о котором я упоминал ранее, было обнаружено, что ключи безопасности блокируют 100 процентов массовых фишинговых и целевых атак.

Однако недостатком использования ключа безопасности является то, что если вы когда-нибудь потеряете или сломаете свой ключ, вы можете быть заблокированы из своих учетных записей - и вам придется переключить свой метод аутентификации второго фактора на новый ключ.

Юбико Аутентификатор

Изображение: Альянс FIDO

Этот вариант мой любимый. Юбико ЮбиКей аппаратное решение 2FA. Это небольшое карточное устройство с одним концом, которое вставляется в стандартный USB-порт Type-A. Он может подтвердить аутентификацию нажатием кнопки вместо ручного ввода короткого кода. YubiKeys также очень прочны и водонепроницаемы, что затрудняет разрушение этих устройств.

Такой подход одним касанием работает только для учетных записей, которые поддерживают вышеупомянутый стандарт FIDO U2F, таких как Google и GitHub. Для тех служб, которые не поддерживают стандарт, YubiKey также может хранить токены 2FA и отображать коды на Юбико Аутентификатор приложение.

То, как вы используете Yubico Authenticator для получения кода 2FA, зависит от того, используете ли вы приложение для аутентификации на ПК или смартфоне Android. На рабочем столе вы просто вставляете ключ в USB-порт, и аутентификатор немедленно отображает ваши короткие коды и позволяет добавлять новые. Удалите свой YubiKey, и приложение немедленно прекратит показывать коды. Yubico Authenticator на рабочем столе работает с большинством моделей YubiKey, кроме базовой Ключ FIDO U2F ,

На Android вам нужен YubiKey, который поддерживает NFC, и приложение Yubico Authenticator, которое на момент написания этой статьи - YubiKey 5 NFC ($ 45), а теперь уже не поддерживается (но все еще поддерживается) YubiKey Neo. С этими ключами все, что вам нужно сделать, это открыть Authenticator на вашем телефоне, нажать клавишу рядом с чипом NFC вашего телефона, и ваши коды появятся в приложении. Также есть 27 $ ключ безопасности NFC Удалить ссылку не на товар , но он поддерживает только аутентификацию FIDO U2F (и вход без пароля FIDO2), но не одноразовый пароль.

Как и в Authy, прелесть YubiKey в том, что он позволяет легко переносить коды аутентификатора с одного устройства на другое.

Ключ безопасности Titan

Google дебютировал свой собственный аппаратный ключ безопасности в 2018 году, Ключ безопасности Titan Удалить ссылку не на товар , Этот ключ поставляется в комплекте за 50 долларов с двумя физическими устройствами. Первый - это ключ со вставкой USB-A, похожий на YubiKey. Второй - Bluetooth-ключ, который можно подключить к вашему телефону без проводов. Ключ безопасности Titan имеет несколько недостатков. Во-первых, он поддерживает только сайты, которые используют стандарты FIDO и FIDO2F, то есть вы не можете использовать OTP-коды для сайтов, которые поддерживают 2FA, но не ввод FIDO в одно касание. Google также недавно должен был вспомнить его Bluetooth-ключи после того, как серьезный недостаток безопасности был обнаружен. Для сравнения, Yubico еще не выпустила версию ключа безопасности Bluetooth, поскольку он не верит, что технология достаточно безопасна ,

Бонус: подсказки Google на устройстве

IDG

Пример подсказок Google на устройстве.

Если окунуться в мир 2FA сейчас слишком сложно для вас, почему бы не окунуться в опыт подсказок Google на устройстве? Это простая мера безопасности, которая помогает защитить ваш аккаунт Google.

Всякий раз, когда вы хотите войти в Google на новом компьютере, вам нужно будет авторизовать его одним щелчком мыши на устройстве Android или iOS. Чтобы это работало на Android, вам понадобится последняя версия сервисов Google Play, которая должна быть у большинства пользователей автоматически. Любой на устройствах iOS нуждается в текущей версии приложений Google или Gmail.

Двухфакторная проверка подлинности является важным шагом для защиты ваших важных учетных записей, когда это возможно. Временами может показаться, что вводить этот дополнительный код - боль, которую вам, возможно, придется делать только один раз для каждого устройства или раз в 30 дней - но это стоит того, чтобы сделать ваши онлайн-счета более безопасными.