Содержание
Немало громкие хаки потрясли цифровой мир только за последние 5 лет. Некоторые из самых влиятельных технологических гигантов столкнулись с изрядной долей противоречий. Ответ? В то время как этические хакеры находятся в вечной гонке со временем, чтобы победить своего врага, пользователям теперь рекомендуется использовать надежный пароль, чтобы снизить вероятность компрометации их учетных записей. Но этого недостаточно. Совсем недавно 2FA стала победителем: все больше и больше компаний принимают стандарты FIDO, позволяющие пользователям использовать второй уровень аутентификации при входе.
Типы двухфакторной аутентификации
2FA означает двухфакторную аутентификацию, при которой пользователю необходимо ввести 6-значный код в дополнение к имени пользователя и паролю. Этот код генерируется и доставляется пользователю различными способами:
- СМС
- Приложение 2FA
- Ключ безопасности
Есть еще несколько типов, например сканирование отпечатков пальцев или сетчатки глаза, но они пока не работают в приложениях и на сайтах. По сути, когда вы добавляете второй уровень проверки или аутентификации для входа в систему, это называется 2FA. В этой статье мы сосредоточимся на этих трех, которые доступны всем пользователям на различных сайтах и в приложениях.
Я считаю, что СМС самые слабые и вот почему. Моя кредитная карта однажды была взломана, и около 1000 долларов были украдены, точнее, использованы в течение 15 секунд. OTP так и не был получен! Становится все проще подделать SIM-карту и запросить OTP, который затем доставляется на смартфон хакера с помощью метода подмены SIM-карты.
Приложение 2FA более безопасно, поскольку код генерируется с помощью мобильного приложения, установленного на вашем смартфоне. Для этого хакер должен либо иметь физический доступ к вашему телефону, либо украсть ваш файл cookie сеанса пользователя .
Последний, ключ безопасности, является наиболее безопасным, поскольку в нем используется аппаратное устройство с ключом безопасности, например Yubikey, которое работает через USB или Bluetooth для проверки вашего входа в систему. Единственная проблема заключается в том, что устройства с ключами безопасности стоят дорого, а приложения Бесплатно. Что ж, на мой взгляд, приложение 2FA все же намного лучше, чем использование просто пароля. Этот некоммерческий сайт содержит активно обновляемый список всех сайтов, поддерживающих 2FA, и в какой форме. Удивительно, но многие известные банки до сих пор не поддерживают электронные ключи или приложения 2FA, а полагаются исключительно на SMS.
Также читайте: Как использовать телефон Android для проверки входа в Google на iOS с помощью 2SV
1. Известные приложения с двухфакторной аутентификацией
1. Google Аутентификатор
Это не самое лучшее приложение 2FA в мире, однако оно определенно самое известное. И все благодаря стоящей за этим компании, которая обеспечила вездесущность в сети.
Google Authenticator работает так же, как и любое другое приложение двухфакторной аутентификации. Вы сканируете QR-код с помощью задней камеры и вводите 6-значный код, чтобы подтвердить процесс. Первое, что меня поразило, это отсутствие безопасности приложения. Это важное приложение, однако его невозможно заблокировать. Конечно, я могу использовать шкафчик приложений и графический ключ, чтобы разблокировать телефон. Но для такого важного приложения должна быть предусмотрена блокировка приложения.
Кроме того, невозможно создать резервную копию содержимого или настроек этого приложения на случай смены телефона. Мне придется повторно сканировать все сайты/приложения, что может быть утомительно, потому что сначала мне придется отключить 2FA, потому что у меня не будет доступа к моему старому телефону, поэтому я не смогу войти в систему.
Пользовательский интерфейс простой и минималистичный, как и другие приложения Google, которые нам нравятся и которыми мы пользуемся. Есть поддержка темной темы, но она не является настоящей черной. Это совершенно бесплатно и без рекламы.
Плюсы:
- Бесплатно
- Темная тема
- QR-код
Минусы:
- Блокировка приложения отсутствует.
- Нет возможности резервного копирования.
- Теперь приложение для Windows или Mac
Скачать Google Authenticator для Android
Загрузите Google Authenticator для iOS.
2. Авторитет
Authy продолжает работу с того места, где уходит Google Authenticator. Вы получаете те же функции, а затем и некоторые другие. Authy позволяет вам создавать безопасные облачные резервные копии ваших кодов, что позволяет очень легко переключать устройства, что мы делаем постоянно в наши дни. Эти резервные копии зашифрованы.
У меня два смартфона и один компьютер. Что я делаю, так это сканирую все коды с помощью Google Authenticator на обоих телефонах на случай, если я потеряю доступ к одному из них. Authy решает эту проблему, позволяя мне синхронизировать все коды на нескольких устройствах, включая Windows и Mac.
Интерфейс красивый и красочный. Мне приходится много прокручивать Google Authenticator, чтобы найти нужные коды. Authy упрощает задачу, используя логотипы сайтов. Они больше по размеру, их легко найти и нажать.
Поддержка виджетов есть, но я не рекомендую их использовать. Их легко заметить на главном экране, когда вы используете или делитесь своим смартфоном, и они могут обеспечивать безопасность. Наконец, у Authy есть возможность заблокировать приложение, за что я очень ценю. В целом Authy отлично справляется со своей задачей, и его можно использовать совершенно бесплатно.
Недостаток: Authy запрашивает номер вашего мобильного телефона при регистрации учетной записи. Смотрите, Authy присваивает себе ваш номер , в то время как Google Authenticator назначает себя вашей учетной записи Google и вашему смартфону. Ранее мы обсуждали, как легко подделать номер с помощью замены SIM-карты, но получить доступ к мобильному телефону и разблокировать его может оказаться сложнее. Здесь Аути проигрывает. Он менее безопасен, чем Google Authenticator, и в любом случае это самый важный аспект.
Плюсы:
- Бесплатно
- Улучшенный интерфейс
- QR-код
- Блокировка приложения
- Резервные коды
- Поддержка браузера
- Доступно на Android, iOS, Mac и Windows
Минусы:
- Для входа в систему требуется номер телефона или SMS
Также читайте: Как настроить двухфакторную аутентификацию в приложении Instagram
3. Аутентификатор LastPass
LastPass зарекомендовал себя как выдающийся менеджер паролей, однако в последнее время компания появлялась в новостях за быть взломанным и исправляла многочисленные уязвимости безопасности как для менеджера паролей, так и для 18<. /с>. Тем не менее, это одно из самых популярных приложений и вполне надежный продукт.
Как и Authy, LastPass Authenticator оснащен блокировкой приложения, поэтому никто не сможет получить доступ к приложению и использовать коды 2FA, даже если он сможет завладеть вашим телефоном. Вы можете создавать резервные копии кодов, которые зашифрованы и хранятся в вашей учетной записи LastPass, чтобы вы могли легко менять телефоны.
Что мне нравится в приложении, так это push-уведомления, которые позволяют вам войти в свою учетную запись LastPass одним касанием. Вы можете увидеть это в действии на скриншоте выше. Вход в одно касание работает только для LastPass.
Плюсы:
- Бесплатно
- Улучшенный интерфейс
- QR-код
- Блокировка приложения
- Резервные коды
- Поддержка Windows
Минусы:
- Нет собственного приложения для Mac
Скачать LastPass Authenticator для Android
Скачать LastPass Authenticator для iOS
Также читайте: Как проверить, не были ли скомпрометированы ваши учетные данные для входа
4. Microsoft Authenticator
Microsoft следует этому примеру и предлагает пользовательский интерфейс с логотипами для распространенных сайтов и приложений, который позволяет легко находить и использовать коды 2FA. Хотя вы можете выполнить резервное копирование кодов 2FA в свою учетную запись Microsoft с помощью устройства iOS, по какой-то причине Android остался позади. Означает ли это, что Android менее безопасен, чем iOS? Я не буду касаться этой дискуссии десятифутовым шестом.
Наконец, в приложение встроена блокировка, поэтому никто не сможет открыть и использовать ваши коды. Вы можете использовать Microsoft Authenticator без использования учетной записи Microsoft, а также нет необходимости регистрировать SIM-карту. Приятно.
Плюсы:
- Бесплатно
- Улучшенный интерфейс
- QR-код
- Блокировка приложения
- Резервные коды (только iOS)
Минусы:
- Без резервного копирования для Android
Скачать Microsoft Authenticator для Android
Скачать Microsoft Authenticator для iOS
2. Известные устройства с ключами безопасности 2FA
1. Юбикей
Yubikey сделал себе имя и так же популярен в мире ключей безопасности 2FA, как Google Authenticator в приложениях 2FA. Вместо ввода кодов, сгенерированных в приложении, вы будете использовать USB-устройство для аутентификации входа в систему. Для этого вы прикоснетесь к золотому кольцу для аутентификации. Легко и работает просто великолепно.
SIM-карты легко подделать с помощью трюка с заменой SIM-карт, и LastPass научил нас, что приложения 2FA, хотя и очень безопасны, все же не защищены от взлома. Yubikey решает эту проблему.
Yubico предлагает различные устройства с ключами безопасности, которые работают с различными технологиями, такими как USB A, USB C и NFC для смартфонов. Эти клавиши водонепроницаемы, устойчивы к ударам и пыли. Они соответствуют требованиям FIDO U2F, а цена начинается от 27 долларов США.
2. Google Титан
Google разработал собственный ключ безопасности, известный как Titan. Он также совместим с FIDO U2F, но есть разница. Имеется поддержка Bluetooth, настройка которой требует некоторого времени, но позволяет пользователям аутентифицировать вход в систему по беспроводной сети. Доступны две модели. Оба оснащены USB и NFC, но один также поддерживает Bluetooth.
Чип Google Titan также встроен в смартфоны Pixel 3, что обеспечивает лучшую безопасность Android. Однако они ни в какой точке не пересекаются друг с другом, что означает, что вы не можете использовать свой телефон для хранения кодов 2FA для сторонних приложений и сайтов. Ключ безопасности Titan доступен только в США.
Приложения 2FA и устройства с ключами безопасности
Это одни из лучших приложений 2FA и устройств с ключами безопасности, доступных на рынке прямо сейчас. Я бы порекомендовал Microsoft Authenticator большинству пользователей, поскольку он поддерживает резервное копирование, имеет лучший пользовательский интерфейс и более безопасен. Google Authentictor тоже хорош. LastPass рекомендуется тем, кто использует Менеджер паролей LastPass.
Если вместо этого вам нужен ключ безопасности, я бы порекомендовал Yubikey, поскольку они лучшие, наиболее удобные для пользователя и доступны в различных вариантах.
