Sporo hacków na wysokim poziomie wstrząsnęło cyfrowym światem tylko w ciągu ostatnich 5 lat. Niektórzy z najpotężniejszych gigantów technologicznych byli świadkami wielu kontrowersji. Odpowiedź? Podczas gdy etyczni hakerzy toczą wieczny wyścig z czasem, aby pokonać swojego wroga, użytkowników zachęca się obecnie do używania silnego hasła, aby zmniejszyć ryzyko naruszenia bezpieczeństwa ich kont. Ale to nie wystarczy. Niedawno zwyciężyła metoda 2FA, w której coraz więcej firm przyjmuje standardy FIDO, aby umożliwić użytkownikom korzystanie z drugiej warstwy uwierzytelniania logowania.

Rodzaje 2FA

2FA oznacza uwierzytelnianie dwuskładnikowe, w którym oprócz nazwy użytkownika i hasła użytkownik musi wprowadzić 6-cyfrowy kod. Kod ten jest generowany i dostarczany użytkownikowi na różne sposoby:

    SMS
  • Aplikacja 2FA
  • Klucz bezpieczeństwa

Jest też kilka innych typów, takich jak skanowanie odcisków palców czy skanowanie siatkówki, ale nie działają one jeszcze w aplikacjach i witrynach. Zasadniczo, gdy dodasz drugą warstwę weryfikacji lub uwierzytelnienia do logowania, nazywa się to 2FA. Na potrzeby tego artykułu skupimy się na tych 3, które są dostępne dla wszystkich użytkowników w wielu witrynach i aplikacjach.

Uważam, że SMS jest najsłabszy i oto dlaczego. Pewnego razu ktoś zhakował moją kartę kredytową i w ciągu 15 sekund skradziono, a raczej wykorzystano, około 1000 dolarów. Nigdy nie otrzymano żadnego OTP! Coraz łatwiej jest sfałszować kartę SIM i zażądać hasła jednorazowego, które następnie jest dostarczane do smartfona hakera za pomocą techniki zwanej wymianą karty SIM.

Aplikacja 2FA jest bezpieczniejsza, ponieważ kod generowany jest poprzez aplikację mobilną zainstalowaną na Twoim smartfonie. Wymaga to od hakera fizycznego dostępu do Twojego telefonu lub kradzieży pliku cookie sesji użytkownika.

Ostatni klucz, klucz bezpieczeństwa, jest najbezpieczniejszy, ponieważ wykorzystuje sprzętowe urządzenie klucza bezpieczeństwa, takie jak Yubikey, które działa przez USB lub Bluetooth w celu sprawdzenia Twojego logowania. Jedynym problemem jest to, że urządzenia klucza bezpieczeństwa są drogie, a aplikacje są darmowe. Cóż, moim zdaniem aplikacja 2FA jest nadal znacznie lepsza niż używanie samego hasła. Ta witryna non-profit utrzymuje aktywnie aktualizowaną listę wszystkich witryn obsługujących 2FA i w jakiej formie. Co zaskakujące, wiele znanych banków nadal nie obsługuje kluczy bezpieczeństwa ani aplikacji 2FA, ale polega wyłącznie na SMS-ach.

Przeczytaj także: Jak korzystać z telefonu z Androidem, aby zweryfikować logowanie Google w systemie iOS za pomocą weryfikacji dwuetapowej

1. Godne uwagi aplikacje 2FA

1. Aplikacja uwierzytelniająca Google

Nie jest to najlepsza aplikacja 2FA na świecie, jednak z pewnością najsłynniejsza. Wszystko dzięki stojącej za tym firmie, która stworzyła wszechobecność w sieci.

Google Authenticator działa jak każda inna aplikacja 2FA. Skanujesz kod QR za pomocą tylnego aparatu i wprowadzasz 6-cyfrowy kod, aby zweryfikować proces. Pierwszą rzeczą, która mnie utknęła, był brak bezpieczeństwa aplikacji. Jest to ważna aplikacja, jednak nie ma możliwości jej zablokowania. Jasne, że mogę korzystać z szafki z aplikacjami i blokady wzoru, aby odblokować telefon. Ale tak ważna aplikacja powinna być wyposażona w blokadę aplikacji.

Inną rzeczą jest to, że nie ma możliwości utworzenia kopii zapasowej zawartości lub ustawień tej aplikacji na wypadek zmiany telefonu. Będę musiał ponownie przeskanować wszystkie strony/aplikacje, co może być uciążliwe, ponieważ najpierw będę musiał wyłączyć 2FA, ponieważ nie będę miał dostępu do mojego starego telefonu, więc nie będę mógł się zalogować.

Interfejs użytkownika jest prosty i minimalistyczny, podobnie jak inne aplikacje Google, które polubiliśmy i których używamy. Istnieje wsparcie dla ciemnego motywu, ale nie jest to prawdziwa czerń. Jest całkowicie darmowy i wolny od reklam.

Zalety:

  • Bezpłatny
  • Ciemny motyw
  • Kod QR

Wady:

  • Brak blokady aplikacji
  • Brak możliwości wykonania kopii zapasowej
  • Teraz aplikacja dla systemu Windows lub Mac

Pobierz aplikację Google Authenticator na Androida

Pobierz aplikację Google Authenticator na iOS

2. Auta

Authy rozpoczyna pracę tam, gdzie wychodzi Google Authenticator. Otrzymujesz te same funkcje, a potem trochę więcej. Authy umożliwia tworzenie bezpiecznych kopii zapasowych kodów w chmurze, co bardzo ułatwia zmianę urządzeń, co obecnie robimy cały czas. Te kopie zapasowe są szyfrowane.

Mam dwa smartfony i jeden komputer. Skanuję wszystkie kody za pomocą Google Authenticator na obu telefonach, na wypadek utraty dostępu do jednego z nich. Authy rozwiązuje ten problem, umożliwiając mi synchronizację wszystkich kodów na wielu urządzeniach, w tym Windows i Mac.

Interfejs użytkownika jest piękny i kolorowy. Muszę dużo przewijać w Google Authenticator, aby znaleźć wymagane kody. Authy ułatwia to, używając logo witryn. Są większe i łatwe do znalezienia i dotknięcia.

Istnieje obsługa widgetów, jednakże nie polecam ich używania. Można je łatwo zauważyć na ekranie głównym, gdy korzystasz ze smartfona lub udostępniasz go innym, i mogą obejmować zabezpieczenia. Wreszcie Authy ma opcję zablokowania aplikacji, co bardzo doceniam. Ogólnie rzecz biorąc, Authy wykonuje świetną robotę i jest całkowicie darmowy.

Minusem jest to, że Authy prosi o podanie numeru telefonu komórkowego podczas rejestracji konta. Zobacz, Authy przypisuje się do Twojego numeru, podczas gdy Google Authenticator przypisuje się do Twojego konta Google i Twojego smartfona. Wcześniej omawialiśmy, jak łatwo jest sfałszować numer za pomocą wymiany karty SIM, ale zdobycie telefonu komórkowego i odblokowanie go może okazać się trudniejsze. Tutaj Authy przegrywa. Jest mniej bezpieczny niż Google Authenticator, a to i tak jest najważniejsze.

Zalety:

  • Bezpłatny
  • Lepszy interfejs użytkownika
  • Kod QR
  • Blokada aplikacji
  • Kody zapasowe
  • Obsługa przeglądarki
  • Dostępne na Androida, iOS, Mac i Windows

Wady:

  • Logowanie odbywa się na podstawie numeru telefonu/SMS-a

Pobierz Authy na Androida

Pobierz Authy na iOS

Przeczytaj także: Jak skonfigurować uwierzytelnianie dwuskładnikowe w aplikacji Instagram

3. Uwierzytelniacz LastPass

LastPass zasłynęło jako znakomity menedżer haseł, jednak ostatnio o firmie było głośno w związku z włamaniem i łataniem wielu luk w zabezpieczeniach zarówno menedżera haseł, jak i aplikacji 2FA. Mimo to jest to jedna z najpopularniejszych aplikacji i całkiem solidny produkt.

Podobnie jak Authy, LastPass Authenticator jest wyposażony w blokadę aplikacji, dzięki czemu nikt nie może uzyskać dostępu do aplikacji i używać kodów 2FA, nawet jeśli uda im się zdobyć Twój telefon. Możesz tworzyć kopie zapasowe kodów, które są zaszyfrowane i przechowywane na Twoim koncie LastPass, dzięki czemu możesz łatwo przełączać telefony.

To, co podoba mi się w aplikacji, to powiadomienia push, które pozwalają zalogować się na konto LastPass jednym dotknięciem. Możesz zobaczyć go w akcji na powyższym zrzucie ekranu. Logowanie jednym dotknięciem działa tylko w przypadku LastPass.

Zalety:

  • Bezpłatny
  • Lepszy interfejs użytkownika
  • Kod QR
  • Blokada aplikacji
  • Kody zapasowe
  • Obsługa systemu Windows

Wady:

  • Brak natywnej aplikacji dla komputerów Mac

Pobierz LastPass Authenticator na Androida

Pobierz LastPass Authenticator na iOS

Przeczytaj także: Jak sprawdzić, czy Twoje dane logowania zostały naruszone

4. Microsoft Authenticator

Microsoft idzie w ich ślady i oferuje interfejs użytkownika z logo popularnych witryn i aplikacji, który ułatwia wykrywanie i używanie kodów 2FA. Chociaż możesz tworzyć kopie zapasowe kodów 2FA na swoim koncie Microsoft za pomocą urządzenia z systemem iOS, z jakiegoś powodu system Android został pominięty. Czy to oznacza, że ​​Android jest mniej bezpieczny niż iOS? Nie będę dotykał tej debaty 3-metrowym słupem.

Wreszcie istnieje wbudowana blokada aplikacji, dzięki której nikt nie może otworzyć i użyć Twoich kodów. Z aplikacji Microsoft Authenticator można korzystać bez konta Microsoft, nie ma także konieczności rejestrowania karty SIM. Nieźle.

Zalety:

  • Bezpłatny
  • Lepszy interfejs użytkownika
  • Kod QR
  • Blokada aplikacji
  • Kody zapasowe (tylko iOS)

Wady:

  • Brak kopii zapasowej dla Androida

Pobierz Microsoft Authenticator na Androida

Pobierz Microsoft Authenticator na iOS

2. Godne uwagi urządzenia z kluczem zabezpieczającym 2FA

1. Yubikey

Yubikey zyskał sławę i jest tak popularny w świecie kluczy bezpieczeństwa 2FA, jak Google Authenticator w aplikacjach 2FA. Zamiast wpisywać kody generowane w aplikacji, do uwierzytelnienia logowania użyjesz urządzenia USB. W tym celu dotkniesz złotego pierścienia w celu uwierzytelnienia. Łatwe i działa jak urok.

Karty SIM można łatwo sfałszować za pomocą sztuczki polegającej na wymianie karty SIM, a LastPass nauczył nas, że aplikacje 2FA, choć bardzo bezpieczne, nadal nie są odporne na ataki hakerskie. Yubikey rozwiązuje ten problem.

Yubico oferuje różne urządzenia z kluczem zabezpieczającym, które współpracują z różnymi technologiami, takimi jak USB A, USB C i NFC dla smartfonów. Klawisze te są wodoodporne, odporne na zgniatanie i pyłoszczelne. Są zgodne z FIDO U2F, a ceny zaczynają się od 27 USD.

Zdobądź Yubikey

2. Tytan Google

Google opracowało własny klucz bezpieczeństwa znany jako Titan. Jest również zgodny z FIDO U2F, ale jest różnica. Dostępna jest obsługa Bluetooth, której konfiguracja zajmuje trochę czasu, ale pozwala użytkownikom na bezprzewodowe uwierzytelnianie logowania. Dostępne są dwa modele. Obydwa są wyposażone w USB i NFC, ale jeden obsługuje także Bluetooth.

Chip Google Titan jest również wbudowany w smartfony Pixel 3, co pozwala na lepsze bezpieczeństwo Androida. Jednakże nie przecinają się one w żadnym punkcie, co oznacza, że ​​nie można używać telefonu do przechowywania kodów 2FA dla aplikacji i witryn innych firm. Klucz bezpieczeństwa Titan jest dostępny tylko w USA.

Pobierz Google Titan

Aplikacje 2FA i urządzenia z kluczem bezpieczeństwa

To jedne z najlepszych aplikacji 2FA i urządzeń z kluczem bezpieczeństwa dostępnych obecnie na rynku. Większości użytkowników poleciłbym Microsoft Authenticator, ponieważ obsługuje kopie zapasowe, ma lepszy interfejs użytkownika i jest bezpieczniejszy. Google Authenticator też jest dobry. LastPass jest zalecany dla tych, którzy korzystają z Menedżera haseł LastPass.

Jeśli zamiast tego potrzebujesz klucza bezpieczeństwa, polecam Yubikey, ponieważ są najlepsze, najbardziej przyjazne dla użytkownika i są dostępne w różnych smakach.