作为一种身份验证方式,密码是相当糟糕的。任何入侵、猜测或盗用你密码的人都可以完全访问你的账户。使用一个密码管理器为您的所有网站管理强大的、唯一的密码会有所帮助。用肩冲浪者很难记住像! avethabu ?rur2这样的密码。但是,对于严重的安全性,您需要双因素身份验证(2FA)。免费的Duo Mobile就提供了这种服务。
首先是两方面的复习。安全专家谈论可以用于身份验证的三个项目:您知道的东西,您是什么,以及您拥有的东西。双因素身份验证意味着至少使用这三个中的两个。
密码是你知道的东西的一个例子;这是一个因素。你的指纹可以证明你是什么样的人。但指纹并不是万能的第二因素,因为指纹读取器既不普遍,也不完全准确。绝大多数现代双因素解决方案依赖于几乎每个人都有的东西——智能手机。手巧的打开它网站解释了如何为100多个网站开启简单的基于短信的身份验证。
类似的产品
为什么Twilio Authy
LastPass
守门员密码管理器和数字保险库
基于短信的身份验证适用于任何类型的手机,而不仅仅是智能手机。然而,如果真的有智能手机可用,基于应用程序的身份验证就更好了。它不会遇到任何消息限制,基于应用程序的身份验证甚至可以在没有蜂窝连接的移动设备上工作。的互联网工程专责小组(在新窗口中打开)已经为基于应用程序的身份验证定义了一个公共标准,其最著名的实现是Google Authenticator (GA)。然而,谷歌并不是唯一一家在这场竞赛中使用狗的公司。
简单易用
就像为什么Twilio Authy, Duo Mobile可以为任何支持Google Authenticator的网站处理双因素身份验证。你首先要在iOS、Android、黑莓或Windows Phone上安装这款应用。要在安全网站上启用应用程序的2FA,只需按照该网站的说明,就像你要使用Google Authenticator一样。用Duo Mobile捕捉得到的QR码,你就可以开始了。
现在,任何时候你需要一个网站的身份验证码,你只需点击Duo mobile列表中该网站名称旁边的关键图标。代码是有时间限制的;如果时间用完,代码将消失,您必须再次点击该键以获取另一个代码。我更喜欢Authy处理代码过期的方式。它提供代码剩余时间的可视化指示,并在时间耗尽时自动显示新代码。在Google Authenticator中,代码在到期前几秒钟闪烁红色。
我在我的手机上安装了Duo MobileiPhone 6(在亚马逊)(在新窗口中打开)轻松。几分钟之内,我就把它配置成可以帮助我验证Gmail、Evernote和Dropbox账户的身份。简单!
您可以配置多个设备使用Duo Mobile来代替GA。但是,与GA一样,您必须分别配置每个组件。相比之下,Authy可以对您的安全站点集合进行加密备份,在设备之间同步,甚至撤销丢失或被盗设备的访问权限。
双推,更简单
任何时候Duo Mobile代表Google Authenticator,它都必须通过提供数字身份验证代码进行身份验证。这就是Google Authenticator的工作方式。但是当一个网站专门使用Duo的技术时,超级简单的Duo Push功能就成为一个选择。
使用Duo Push,你不需要复制任何数字。应用程序或网站向你的智能手机(或可穿戴设备)上的应用程序发送授权请求,应用程序上显示两个简单的按钮:批准和拒绝。如果你正在积极登录有问题的账户,你只需点击“批准”。如果请求突然出现,点击拒绝(然后去检查你的帐户是否受到攻击)。Authy已经创建了一个类似的功能,现在在网站开发人员手中,以及Keeper DNA功能守门员密码管理器和数字金库8(20.99美元-英国Keeper Security 7折)(在新窗口中打开)让你轻敲一下就能登录密码库。
Duo Security为大型企业提供内部使用的双因素身份验证,当然,这些企业可以在基于代码的身份验证和简单的Duo Push之间进行选择。对于普通消费者来说,没有太多地方可以使用它。从好的方面来说,其中一个是受欢迎的LastPass 3.0密码管理器。
配置不那么简单
我打开LastPass账户的设置页面,点击“多因素选项”选项卡。即使在免费版中,LastPass也支持Duo Mobile、Google Authenticator、Toopher和Transakt。那些使用LastPass 3.0高级版(LastPass每年$36)(在新窗口中打开)还可以选择使用YubiKey、指纹识别器或基于usb的Sesame令牌进行身份验证。
当我选择Duo Security进行双因素身份验证时,LastPass让我去创建一个Duo Security帐户。注意,我没有需要一个帐户,只是为了使用Duo代替GA。我填写了我的电子邮件、手机号码和主密码。它还需要一个公司名称和员工人数(我选择了“只有我”)。我用Duo Mobile拍下了二维码,完成了注册。
登录我的新账户让我第一次体验了Duo Push。实际上,它可以让我选择使用Duo Push,使用短信传输代码或使用电话进行身份验证。当我选择Duo Push时,我的手机响了。我只需点击“批准”来完成身份验证。好了!
啊,但事情还没完。接下来,我遇到了一个新应用程序页面,上面提供了几十种应用程序类型:亚马逊(Amazon)、思杰(Citrix)、Juniper、微软(Microsoft),应有尽有。我在名单里找到了LastPass。选择它会让我看到一个非常长的页面,上面有三个重要的数据项:集成密钥、秘密密钥和API主机名。
绕了这么长一圈之后,我回到LastPass,复制了这三个数据项。唷!最后,我成功地为LastPass启用了Duo Push身份验证。是的,比起在时间用完之前匆忙复制六位数的密码,轻触一下进行身份验证要容易得多。进行身份验证在一个苹果的手表(eBay售价300美元)(在新窗口中打开)或其他可穿戴设备就更容易了,比如Duo的条目视频(在新窗口中打开)说明了。
然而,事实证明我并没有完全完成。Duo Security弹出一条消息,建议我设置双因素身份验证(我以为我已经这样做了)。事实上,安装向导提供了额外的双因素选项,包括座机身份验证或FIDO通用双因子(U2F)令牌。完成后,向导将我带到一个令人印象深刻的复杂仪表板,与IT管理员看到的仪表板相同。幸运的是,对于普通用户来说,您不需要完全理解或使用这个仪表板。30天后,商业专用功能的免费试用结束,剩下的是一个更简单的仪表板。
能胜任工作吗?
如果你是拥有Apple Watch的LastPass用户,你真的应该使用Duo Mobile。想象一下,通过敲击手表进行身份验证是多么酷炫!当然,如果你在工作中使用Duo Security,你已经有了这个应用,所以用Duo Mobile代替Google Authenticator是完全合理的。我确实认为Duo应该为那些只想使用LastPass的Duo Push的消费者制定一个更简单的流程,而不需要经历为企业安装Duo Security所需要的那些繁琐的程序。
不过,如果没有一键式认证,我觉得Twilio Authy更方便。我喜欢当前代码的生存时间的可见指示,以及您可以在设备之间同步安全站点集合的事实。当然,Twilio也在开发一键式解决方案。这两款产品都是免费的,所以你可以同时试用,甚至同时使用它们——谷歌认证器!看看你更喜欢哪个。
你的密码是如何被盗的
免费的Duo Mobile可以在任何支持Google Authenticator的网站上提供双因素认证。它的Duo Push功能只需点击一下就能提供身份验证,但只有在你完成了复杂的初始设置之后。
