Video: Twilio Verify: The best phone verification solution (Oktober 2024)
En adgangskode er en frygtelig måde at beskytte en online konto, fordi enhver, der lærer din adgangskode, ejer kontoen, selvom de er en halv verden væk. En adgangskodeadministrator giver dig mulighed for at bruge svære at huske adgangskoder, men i en dataovertrædelse betyder det ikke noget, om dit kodeord var "*" eller "adgangskode." Du kan forbedre din sikkerhed enormt ved hjælp af et to-faktor autentificeringsskema, og Twilios Authy gør to-faktor autentificering lettere end nogensinde før.
Eksperter opdeler godkendelsesfaktorer i tre typer: noget, du kender (f.eks. Et kodeord), noget, du har (et fysisk objekt), og noget, du er (et fingeraftryk eller anden biometrisk egenskab). Authy forvandler din smartphone til en fysisk token, der er nødvendig til login sammen med adgangskoden. En hacker, der stjæler eller gætter din adgangskode, bliver folieret af godkendelsestrinnet, der kræver det token.
Hvordan det virker
I 2011 frigav Internet Engineering Task Force en standard for tidsbaserede engangsadgangskoder (TOTP). Konceptet er enkelt nok. Når brugeren registrerer en TOTP-understøttende enhed med et sikkert websted, oprettes en unik delt nøgle. Både enheden og serveren kan generere et tidsbaseret engangskodeord ved at behandle denne nøgle sammen med det aktuelle klokkeslæt. Efter konvention er hver TOTP god i 30 sekunder. Du logger ind ved hjælp af din almindelige adgangskode, indtast derefter den aktuelle engangsadgangskode fra din enhed, og du er i. En ondskabsfuldmand, der på en eller anden måde plukker den ene gangskode ud af etheren, vil finde den ubrugelig inden for 30 sekunder.
Authy og Google Authenticator bygger begge på TOTP, og faktisk kan du bruge Authy på ethvert websted, der understøtter Google Authenticator. Hvorfor skulle du skifte til Authy? Der er ganske mange grunde; Jeg går nærmere ind på senere.
Kom godt i gang med Authy
Det er enkelt at indstille Authy til at bruge din smartphone som et token. Du installerer Authy-appen på telefonen, giver det dit telefonnummer og klikker enten på et bekræftelseslink eller indtaster en bekræftelseskode. Det er det; Authy er klar til brug. At komme i gang på min Apple iPhone 6 tog næsten ingen tid.
Den nøjagtige teknik til opsætning af tofaktorautentificering varierer fra sted til sted. På de fleste websteder følger du dog anvisningerne, indtil du får en chance for at vælge Google Authenticator. På dette tidspunkt viser webstedet en QR-kode. Fastgør QR-koden med Authy og bam! Du har tofaktorautentisering. Ved at grave i appen fandt jeg ud af, at den direkte understøtter mindst to dusin populære websteder, blandt dem Gmail, Facebook, Outlook, Lastpass, Evernote og WordPress. Over 10.000 andre websteder og applikationer, store og små, bruger Authy direkte til godkendelse uden forbindelse til Google Authenticator.
Dine registrerede sider vises i bunden af appens vindue. Hvis du trykker på en, vises den aktuelle godkendelseskode for dette websted sammen med en nedtællingsur, der viser, hvor meget af kodens levetid på 30 sekunder, der er tilbage. Det fungerer stort set det samme på Android og iOS, skønt jeg bemærkede, at iOS-udgaven viser en cirkulær fremdriftslinje med en etiket, der tæller ned sekunder, mens Android-udgaven bare bruger en simpel fremdriftslinje.
Hvis en hacker med lommevalgfærdigheder formår at få både din adgangskode og din godkendelsesmartphone, kunne du selvfølgelig have problemer. Som med den strengt enhedsbaserede sikkerhed, der bruges af oneID, skal du sikre din enhed grundigt. Brug en stærk adgangskode eller biometrisk godkendelse, og aktiver Authys PIN-beskyttelse (iPhone-brugere kan opgradere til Touch ID-godkendelse).
LastPass 3.0 og LastPass 3.0 Premium understøtter begge Google Authenticator. Det betyder, at du kan beskytte din LastPass-konto ved hjælp af Authy og derefter fortsætte med at bruge Authy til tofaktorautentisering af dine andre sikre websteder. Du kan gøre det samme med Dashlane 3.
Flere enhedsfunktioner
Du har brug for en smartphone for at komme i gang med Authy, men når denne opgave er udført, kan du installere Authy på andre smartphones, tablets eller desktops og synkronisere data mellem enhederne. Authy understøtter iOS, Android og BlackBerry mobile enheder samt Windows, Mac OS og Linux. Der er endda en Authy-app til Apple Watch; kig bare på dit håndled efter godkendelseskoden.
Ved at installere Authy desktop-appen og Chrome-udvidelsen kan du omgå smartphones helt. Desktop-appen beder dig om at oprette en hovedadgangskode, men kræver det ikke (en overvågning, efter min mening). Bemærk, at hovedadgangskoden er enhedsspecifik, så hvis du installerer på flere desktops, kunne du tænkeligt oprette flere hovedadgangskoder. Når hovedadgangskoden er på plads, kræver appen, at du indtaster den med jævne mellemrum. Ved hjælp af Chrome-udvidelsen kan du hente den aktuelle kode for et af dine registrerede sider, kopiere den til udklipsholderen og indsætte den uden at skulle komme ud af telefonen.
Ja, dette er bestemt ved at skære væk ved definitionen af to-faktor-godkendelse. En person, der har adgang til din stationære computer kunne tænkes at bryde ind, fordi desktopcomputeren bliver "noget du har" -faktoren. Hvis du vælger at bruge Authy desktop-appen, skal du absolut beskytte den med en stærk hovedadgangskode. Derudover skal du kodeordbeskytte din brugerkonto på skrivebordet og låse kontoen, når du træder væk.
Der er en anden fordel ved Chrome-udvidelsen, som jeg ikke bemærkede med det samme. Hvis du klikker for at se den aktuelle kode for et websted, og dette sted ikke er åbent, får du en phishing-advarsel. Det er praktisk!
Det er en hurtig mulighed at aktivere godkendelse på en anden smartphone eller tablet. På den nye enhed indtaster du telefonen på din smartphone og svarer på en adgangsprompt, der vises på den smartphone. Ligesom det er Authy aktiveret på den nye enhed.
Har du mistet en enhed? Du kan bruge Authy-appen til at fjerne enheden fra synkroniseringsprocessen. Bemærk dog, at for websteder, der bruger Googles implementering af TOTP, fortsætter token med at levere koder til allerede registrerede sider. En forsigtig bruger vil deaktivere og aktivere tofaktorautentisering på disse sider igen.
Hvis du har tilmeldt alle de ønskede enheder, kan du indstille Authy til at stoppe med at acceptere flere enheder. Der er også en mulighed for at gemme en krypteret sikkerhedskopi af dine sikre nøgler til skyen.
Jeg har bemærket en Bluetooth-mulighed i Authy iOS-appen. Jeg aktiverede det, men kunne ikke finde nogen måde at få det til at interagere med min pc. Det viser sig, at denne funktion er Mac-specifik, og at selv på Mac har den problemer med nogle nylige ændringer i Bluetooth-implementering.
Hvorfor godkendelse?
Jeg nævnte tidligere, at du kan bruge Authy på ethvert websted, der understøtter Google Authenticator. Men hvorfor ville du gider? Nå, Authy er bare bedre på flere måder.
Når du opretter en konto, der skal godkendes via Google Authenticator, afbrydes din adgang til denne konto på mobile enheder. Du skal indtaste et langvarigt "applikationsadgangskode" for at aktivere adgang til hver applikation på hver enhed igen. Authy-brugere kan blot installere Authy på enheden og undgå behovet for denne irriterende proces.
Hvis du får en ny telefon, kan du nemt overføre alle dine Authy-registreringer. Med Google Authenticator bliver du nødt til at gennemgå registreringsprocessen for hvert websted. Og Google Authenticator tilbyder ikke nogen måde at tilbagekalde adgang til en mistet eller stjålet telefon.
Hele konceptet med tidsbaserede adgangskoder nedbrydes, hvis klienten og serveren ikke synkroniseres tidsmæssigt. Authy har et ry for at forblive synkroniseret, selv når din enhed ikke har netværksadgang, mere end Google Authenticator. Dog fandt jeg ikke en måde at teste dette på.
Der er også en lille, men voksende samling af websteder, der understøtter Authy, men ikke Google-autentificering. Min Authy-kontakt rapporterede, at Coinbase, Cloudflare og HumbleBundler er blandt disse kun Authy-websteder.
Let gør det
To-faktor-godkendelse er virkelig en fantastisk sikkerhedsforbedring til sikring af følsomme websteder, men brugerne handler ofte sikkerhed for nemheds skyld. Kom godt i gang med Authy kræver en indledende indsats, når du konverterer dine sikre websteder til at bruge to-faktor. Derefter er det super nemt at bruge og et klart skæring over Google Authenticator. Hvis du er seriøs med at sikre dine online logins, kan du overveje at parre Authy med LastPass 3.0 eller Dashlane 3, som begge er Editors 'Choice password administratorer. Authy i sig selv kan meget vel fortjene en Editors 'Choice-ære for to-faktor-godkendelse; vi har simpelthen ikke gennemgået nok lignende produkter for at være sikre.
