סקירה ודירוג של Twilio Auty

סיסמא היא דרך איומה להגן על חשבון מקוון, מכיוון שכל מי שלומד את הסיסמה שלך הוא הבעלים של החשבון, גם אם הוא נמצא במרחק של חצי עולם. מנהל סיסמאות מאפשר לך להשתמש בסיסמאות שקשות לזכור, אך בהפרת נתונים לא משנה אם הסיסמה שלך הייתה "*" או "סיסמה". אתה יכול לשפר באופן משמעותי את האבטחה שלך על ידי שימוש בתכנית אימות של שני גורמים, וה- Authy של Twilio הופך את האימות לשני גורמים לקל יותר מתמיד.

מומחים מחלקים גורמי אימות לשלושה סוגים: משהו שאתה יודע (סיסמא למשל), משהו שיש לך (אובייקט פיזי) ומשהו שאתה (טביעת אצבע או תכונה ביומטרית אחרת). Authy הופך את הטלפון החכם לאסימון פיזי הדרוש לשם התחברות, יחד עם הסיסמה. האקר שגונב או מנחש את הסיסמה שלך יוסכל על ידי שלב האימות הדורש אסימון זה.

איך זה עובד

בשנת 2011 הוציא כוח המשימה להנדסה באינטרנט תקן לסיסמאות חד פעמיות מבוססות זמן (TOTP). הרעיון פשוט דיו. כאשר המשתמש רושם מכשיר תומך TOTP באמצעות אתר מאובטח, נוצר מפתח משותף ייחודי. גם המכשיר וגם השרת יכולים ליצור סיסמה חד פעמית מבוססת זמן על ידי עיבוד מקש זה יחד עם השעה הנוכחית. על פי המוסכמה, כל TOTP טוב למשך 30 שניות. אתה נכנס באמצעות הסיסמה הרגילה שלך, ואז מזין את הסיסמה החד-פעמית הנוכחית מהמכשיר שלך ואתה פנימה. גורם זדוני שאיכשהו מוציא את הסיסמה החד-פעמית מהאתר ימצא אותו חסר תועלת תוך 30 שניות.

Authy ו- Authenticator של Google שניהם מבוססים על TOTP ולמעשה תוכלו להשתמש ב- Authy בכל אתר התומך ב- Google Authenticator. מדוע תעבור לאמת? יש לא מעט סיבות; אכנס לפרטים בהמשך.

תחילת העבודה עם האות

הגדרת Authy לשימוש בסמארטפון שלך כאסימון היא פשוטה. אתה מתקין את היישום Authy בטלפון, נותן לו את מספר הטלפון שלך ולחץ על קישור אימות או הזן קוד אימות. זהו זה; האות מוכנה לשימוש. תחילת העבודה באייפון 6 Apple שלי כמעט לא לקחה זמן.

הטכניקה המדויקת להגדרת אימות דו-גורמי משתנה מאתר לאתר. עם זאת, עבור מרבית האתרים תעקוב אחר ההנחיות עד שתשיג הזדמנות לבחור במאמת של גוגל. בשלב זה האתר מציג קוד QR. הצמד את קוד ה- QR באמצעות Authy ו- bam! יש לך אימות דו-גורמי. בהתחברות באפליקציה גיליתי שהיא תומכת ישירות לפחות בשני תריסר אתרים פופולריים, ביניהם Gmail, Facebook, Outlook, Lastpass, Evernote ו- WordPress. למעלה מ- 10, 000 אתרים ויישומים אחרים, גדולים כקטנים, משתמשים ב- Authy ישירות לצורך אימות, ללא קשר למאמת של גוגל.

האתרים הרשומים שלך מופיעים בחלק התחתון של חלון האפליקציה. הקשה על אחת מעלה את קוד האימות הנוכחי עבור אותו אתר, יחד עם טיימר ספירה לאחור שמראה כמה מחייו של 30 השניות של הקוד נותרו. זה עובד באותה המידה באנדרואיד ו- iOS, אם כי ציינתי שמהדורת ה- iOS מציגה סרגל התקדמות מעגלי עם תווית המונה שניות בעוד המהדורה של אנדרואיד פשוט משתמשת בסרגל התקדמות פשוט.

כמובן שאם האקר עם כישורי בחירת כיס מצליח להשיג גם את הסיסמה וגם את הטלפון החכם שלך, אתה עלול להיות בבעיה. בדומה לאבטחה המבוססת על התקנים המשמשת את ה- oneID, אתה צריך לאבטח את המכשיר שלך באופן יסודי. השתמש בקוד סיסמה חזק, או באימות ביומטרי, והפעל את הגנת ה- PIN של Authy (משתמשי iPhone יכולים לשדרג לאימות Touch ID).

LastPass 3.0 ו- LastPass 3.0 Premium תומכים שתיהן במאמת של גוגל. פירוש הדבר שאתה יכול להגן על חשבון LastPass שלך באמצעות Authy, ואז להמשיך להשתמש ב- Authy לאימות דו-גורמי של האתרים המאובטחים האחרים שלך. אתה יכול לעשות את אותו הדבר עם דשלאן 3.

תכונות מרובות מכשירים

אתה זקוק לסמארטפון כדי להתחיל עם Authy, אך לאחר שתושלם משימה זו תוכל להתקין Authy בסמארטפונים, טאבלטים או שולחנות עבודה אחרים ולסנכרן נתונים בין המכשירים. Authy תומך בהתקנים ניידים של iOS, Android ו- BlackBerry, כמו גם ב- Windows, Mac OS ו- Linux. יש אפילו אפליקציית Authy עבור Apple Watch; פשוט תסתכל על פרק כף היד שלך לקבלת קוד האימות.

על ידי התקנת אפליקציית שולחן העבודה של Authy ותוסף Chrome, תוכלו לעקוף את הטלפון החכם לגמרי. אפליקציית שולחן העבודה מבקשת ממך ליצור סיסמת אב, אך אינה דורשת זאת (פיקוח לדעתי). שימו לב כי סיסמת האב היא ספציפית למכשיר, כך שאם תתקנו על שולחנות עבודה מרובים, ניתן להעלות על הדעת ליצור סיסמאות אב רבות. כאשר סיסמת האב קיימת, האפליקציה דורשת להזין אותה מחדש מדי פעם. באמצעות סיומת Chrome תוכלו לקבל את הקוד הנוכחי עבור כל אחד מהאתרים הרשומים שלכם, להעתיק אותו ללוח ולהדביק אותו, ללא צורך לצאת מהטלפון.

כן, זה בהחלט נפסק מההגדרה של אימות דו-גורמי. מישהו שיש לו גישה למחשב השולחני שלך יכול להעלות על הדעת, כי המחשב השולחני הופך לגורם "משהו שיש לך". אם תבחר להשתמש ביישום שולחן העבודה של Authy, עליך להגן עליה לחלוטין באמצעות סיסמת אב חזקה. בנוסף, עליך להגן על סיסמת חשבון המשתמש שלך בשולחן העבודה ולנעול את החשבון בכל פעם שאתה מתרחק.

יש יתרון נוסף לתוסף Chrome שלא הבחנתי בו מייד. אם תלחץ כדי להציג את הקוד הנוכחי של אתר, ואתר זה אינו פתוח, תקבל אזהרת דיוג. זה שימושי!

הפעלת Authy בסמארטפון או בטאבלט אחרים היא צעד מהיר. במכשיר החדש אתה מזין את מספר הטלפון של הטלפון החכם שלך, ומגיב לשורת גישה שמופיעה באותו הטלפון החכם. בדיוק ככה, Authy מופעל במכשיר החדש.

איבדת מכשיר? אתה יכול להשתמש ביישום Authy כדי להסיר התקן זה מתהליך הסנכרון. עם זאת, שים לב כי עבור אתרים המשתמשים ביישום ה- TOTP של גוגל האסימון ימשיך לספק קודים לאתרים הרשומים כבר. משתמש זהיר יבטל ויאפשר מחדש אימות דו-גורמי באתרים אלה.

אם רשמת את כל המכשירים הרצויים לך, תוכל להגדיר את 'Authy' להפסיק לקבל יותר מכשירים. יש גם אפשרות לשמור גיבוי מוצפן של המפתחות המאובטחים שלך לענן.

שמתי לב לאופציית Bluetooth באפליקציית ה- iOS האמיתית. הפעלתי את זה, אך לא מצאתי דרך לגרום לו להתקשר עם המחשב האישי שלי. מסתבר שתכונה זו היא ספציפית ל- Mac, וכי גם ב- Mac היא מתקשה עם כמה שינויים אחרונים ביישום ה- Bluetooth.

מדוע אימות?

ציינתי קודם לכן שאתה יכול להשתמש ב- Authy בכל אתר התומך ב- Google Authenticator. אבל למה תטרחו? ובכן, Authy פשוט טוב יותר במספר דרכים.

כשאתה מגדיר חשבון לאימות באמצעות המאמת של גוגל, הגישה שלך לחשבון זה במכשירים ניידים מנותקת. עליך להזין "סיסמת יישום" ארוכת אותיות קטנות כדי לאפשר גישה מחדש עבור כל יישום בכל מכשיר. משתמשי Authy יכולים פשוט להתקין את Authy על המכשיר, ולמנוע את הצורך בתהליך מעצבן זה.

אם אתה מקבל טלפון חדש, תוכל להעביר בקלות את כל הרשמות האימות שלך. באמצעות המאמת של גוגל, תצטרך לעבור שוב את תהליך ההרשמה עבור כל אתר. המאמת של גוגל אינו מציע דרך לשלול גישה לטלפון אבוד או נגנב.

כל הרעיון של סיסמאות מבוססות זמן מתפרק אם הלקוח והשרת אינם מסונכרנים בזמן. לאותם יש מוניטין להישאר בסנכרון גם כאשר למכשיר שלך אין גישה לרשת, יותר מאשר המאמת של Google. עם זאת, לא מצאתי דרך לבדוק זאת.

יש גם אוסף קטן אך הולך וגדל של אתרים התומכים ב- Authy אך לא במאמת של גוגל. איש הקשר שלי ב- Authy דיווח כי Coinbase, Cloudflare ו- HumbleBundler נמנים עם האתרים האלו בלבד.

קל האם זה

אימות דו-גורמי הוא באמת שיפור אבטחה נפלא לאבטחת אתרים רגישים, אך משתמשים לרוב סוחרים אבטחה מטעמי נוחות. תחילת העבודה עם Authy דורשת מאמץ ראשוני כשאתה ממיר את האתרים המאובטחים שלך לשימוש בשני גורמים. לאחר מכן, קל מאוד לשימוש וקיצוץ מוחלט מעל למאמת של גוגל. אם אתה רציני באבטחת הכניסות המקוונות שלך, שקול להתאים Authy עם LastPass 3.0 או Dashlane 3, שניהם מנהלי הסיסמאות של Choice Editors. האימות עצמו עשוי בהחלט לזכות בכבוד של בחירת העורכים לאימות דו-גורמי; פשוט לא בדקנו מספיק מוצרים דומים כדי להיות בטוחים.