Быстрые ссылки
2FA. Типы
2FA означает двухфакторную аутентификацию, при которой пользователь должен ввести 6-значный код в дополнение к имени пользователя и паролю. Этот код генерируется и доставляется пользователю разными способами:
- короткое сообщение
- 2FA приложения
- ключ безопасности
Есть еще несколько типов, например сканирование отпечатков пальцев или сетчатки глаза, но они пока не работают в приложениях и на веб-сайтах. Обычно, когда вы добавляете к логину еще один уровень проверки или аутентификации, это называется 2FA. В этой статье мы сосредоточимся на этих трех типах, к которым все пользователи могут получить доступ через ряд веб-сайтов и приложений.
Я считаю, что SMS - самое слабое место, и вот почему. Моя кредитная карта была взломана один раз, и в течение 100 секунд было украдено или использовано вместо нее около 15 долларов. Поскольку ни одного OTP получено не было! Стало все проще Мошенничество с SIM-картой Затем запрос OTP доставляется на смартфон хакера с помощью технологии, называемой подкачкой SIM-карты.
2FA более безопасен, поскольку код генерируется через мобильное приложение, установленное на вашем смартфоне. Для этого требуется, чтобы хакер получил физический доступ к вашему телефону или украл Файл cookie сеанса пользователя.
Последний метод, ключ безопасности, является наиболее безопасным, поскольку он использует аппаратный ключ безопасности устройства, такой как Yubikey, который работает через USB или Bluetooth для проверки входа в систему. Единственная проблема заключается в том, что аппаратный ключ безопасности стоит дорого, а приложения бесплатны. Что ж, на мой взгляд, 2FA все же намного лучше, чем просто использование пароля. держит Этот сайт не для прибыли Активно обновляемый список всех сайтов, поддерживающих 2FA и в любом формате. Удивительно, но многие известные банки до сих пор не поддерживают приложения с ключом безопасности или 2FA, а полагаются только на SMS.
1. Известные лучшие приложения с двухфакторной аутентификацией
1. Google Authenticator
Это не лучшее приложение с двухфакторной аутентификацией в мире, но определенно самое известное. Все благодаря компании, которая сменила его и создала целостное присутствие в Интернете.
Google Authenticator работает как любое другое приложение 2FA. Вы можете отсканировать QR-код с помощью задней камеры и ввести 6-значный код, чтобы проверить операцию. Первое, что меня озадачило, - это отсутствие безопасности приложения. Это важное приложение, но заблокировать его невозможно. Конечно, я могу использовать шкафчик приложений и использовать графический ключ, чтобы разблокировать свой телефон. Но это важно для приложения, оно должно иметь блокировку приложения.
Другое дело, что нет возможности сделать резервную копию содержимого или настроек этого приложения, если вы переключаете телефоны. Вам придется сначала повторно сканировать все потенциально важные веб-сайты / приложения, потому что вам придется отключить 2FA, потому что вы не сможете получить доступ к своему старому телефону, поэтому вы не сможете войти в систему.
Пользовательский интерфейс прост и удобен, как и другие приложения Google, которые мы полюбили и используем. Есть поддержка темной темы, но это не настоящий черный цвет. Это совершенно бесплатно и без рекламы.
Положительные:
- مجاني
- темная тема
- QR код
минусы:
- Нет блокировки приложения
- Нет возможности сделать резервную копию
- Теперь есть приложение для Windows или Mac
Скачать Google Authenticator для Android
Скачать Google Authenticator для iOS
2. Аути
Authy избавляется от некоторых слабых мест Google Authenticator. Вы получаете те же функции и многое другое. Authy позволяет делать безопасные резервные копии ваших токенов в облаке, что упрощает переключение устройств, что мы постоянно делаем в наши дни. Эти резервные копии зашифрованы.
У меня два смартфона и один компьютер. Я сканирую все коды с помощью Google Authenticator на обоих телефонах на случай, если я потеряю доступ к одному из них. Authy решает эту проблему, позволяя мне синхронизировать все значки на нескольких устройствах, включая Windows и Mac.
Пользовательский интерфейс красивый и красочный. Мне нужно много прокручивать Google Authenticator, чтобы найти нужные коды. Authy упрощает работу с логотипами сайтов. Это больше, и его легче найти и нажать.
Есть поддержка виджетов, но я бы не рекомендовал ее использовать. Его легко выбрать на главном экране, когда вы используете / делитесь своим смартфоном и может включать безопасность. Наконец, у Authy есть возможность заблокировать приложение, что я очень ценю. В целом Authy отлично справляется со своей задачей и полностью бесплатен.
С другой стороны, Authy запрашивает номер вашего мобильного телефона при регистрации учетной записи. видеть, Authy обозначает себя по твоему номеру В то время как Google Authenticator устанавливает себя через вашу учетную запись Google и ваш смартфон. Ранее мы обсуждали, как легко подделать номер телефона с помощью замены SIM-карты, но оставить свой мобильный телефон А разлочка бывает сложнее. Вот где Authy проигрывает. Он менее безопасен, чем Google Authenticator, и в любом случае это самый важный аспект.
Положительные:
- مجاني
- Лучший пользовательский интерфейс
- QR код
- блокировка приложения
- Иконки резервного копирования
- Поддержка браузера
- Доступно на Android, iOS, Mac и Windows
минусы:
- Зависит от номера телефона / SMS для входа
Скачать Authy для Android
Скачать Authy для iOS
3. Аутентификатор LastPass
LastPass зарекомендовал себя как отличный менеджер паролей, однако в последнее время о компании упоминали в новостях, когда это было… Взлом и исправление уязвимостей безопасности Многозадачность как для менеджера паролей, так и дляПриложение 2FA. Но все же это одно из самых популярных приложений и надежный продукт.
Как и Authy, LastPass Authenticator поставляется с блокировкой приложения, поэтому никто не может получить доступ к приложению и использовать коды 2FA, даже если вы не можете оставить свой телефон. Вы можете создать резервную копию зашифрованных кодов, хранящихся в вашей учетной записи LastPass, чтобы вы могли легко переключать телефоны.
Что мне нравится в приложении, так это push-уведомления, которые позволяют вам войти в свою учетную запись LastPass одним щелчком мыши. Вы можете увидеть это в действии на скриншоте выше. Работает только вход в LastPass в один клик.
Положительные:
- مجاني
- Лучший пользовательский интерфейс
- QR код
- блокировка приложения
- Иконки резервного копирования
- Поддержка Windows
минусы:
- Нет собственного приложения для Mac
Скачать LastPass Authenticator для Android
Скачать LastPass Authenticator для iOS
4. Microsoft Authenticator.
Microsoft следует этому примеру и предлагает пользовательский интерфейс с логотипами для популярных сайтов и приложений, что упрощает обнаружение и использование кодов 2FA. Хотя вы можете скопировать резервные коды 2FA в свою учетную запись Microsoft, используя только свое устройство iOS, по какой-то причине Android остался позади. Означает ли это, что Android менее безопасен, чем iOS? Я не буду касаться этого обсуждения 10-футовой шестой.
Наконец, есть встроенная блокировка приложения, поэтому никто не может разблокировать и использовать ваши коды. Вы можете использовать Microsoft Authenticator без использования учетной записи Microsoft, и нет необходимости регистрировать SIM-карту. Отлично.
Положительные:
- مجاني
- Лучший пользовательский интерфейс
- QR код
- блокировка приложения
- Резервное копирование кода (только для iOS)
минусы:
- Нет функции резервного копирования для Android
Скачать Microsoft Authenticator для Android
Скачать Microsoft Authenticator для iOS
2. Известные ключевые устройства безопасности 2FA
1. Юбикей
Yubikey сделал себе имя и так же популярен в мире ключей безопасности 2FA, как и Google Authenticator в приложениях 2FA. Вместо того, чтобы вводить коды, сгенерированные в приложении, вы будете использовать USB-устройство для аутентификации входа. Для этого вам нужно прикоснуться к золотому кольцу аутентификации. Легко и работает как шарм.
С помощью трюка с заменой SIM-карты легко смоделировать SIM-карту, и мы узнали, что LastPass - лучшее приложение с двухфакторной аутентификацией, которое, хотя и очень безопасно, все же не поддается взлому. Yubikey решает эту проблему.
Yubico предлагает различное оборудование для ключей безопасности, которое работает с различными технологиями, такими как USB A, USB C и NFC для смартфонов. Эти переключатели водостойкие, ударопрочные и пыленепроницаемые. Они совместимы с FIDO U2F, а цены начинаются от 27 долларов.
Получающий Yubikey
2. Гугл Титан
Google придумал собственный ключ безопасности, известный как Titan. Он также совместим с FIDO U2F, но есть разница. Существует поддержка Bluetooth, настройка которой требует времени, но позволяет пользователям аутентифицировать беспроводной вход. Доступны две модели. Оба оснащены USB и NFC, но один из них также поддерживает Bluetooth.
Чип Google Titan также является встроенным смартфоном Pixel 3, который обеспечивает лучшую безопасность Android. Однако эти устройства никогда не пересекаются друг с другом, что означает, что вы не можете использовать свой телефон для хранения кодов 2FA для сторонних приложений и сайтов. Электронный ключ Titan доступен только в США.
Получать Google Titan
Приложения 2FA и устройства с главным ключом безопасности
Это некоторые из Лучшие приложения 2FA и аппаратный ключ безопасности, доступный сейчас на рынке. Я бы порекомендовал Microsoft Authenticator большинству пользователей, потому что он поддерживает резервное копирование и имеет лучший и более безопасный пользовательский интерфейс. Google Authentictor тоже хорош. LastPass рекомендуется для тех, кто использует LastPass Password Manager.
Если вместо этого вам нужен электронный ключ, я рекомендую Yubikey, потому что это лучший, самый простой в использовании и доступный в различных вариантах.