密码是保护在线账户的糟糕方式,因为任何知道你密码的人都拥有这个账户,即使他们在半个地球之外。一个密码管理器让你使用难以记住的密码,但在数据泄露中,你的密码是否是“*”并不重要(电子邮件保护)或者“密码”。可以极大地提高安全性双因素身份验证Twilio的Authy使双因素身份验证比以往任何时候都更容易。
专家将身份验证因素分为三种类型:你知道的东西(例如密码)、你拥有的东西(物理对象)和你是什么(指纹或其他生物特征)。Authy将你的智能手机和密码一起变成登录所需的物理令牌。窃取或猜测您的密码的黑客将被需要该令牌的身份验证步骤挫败。
它是如何工作的
2011年,互联网工程任务组发布了一个基于时间的一次性密码标准(在新窗口中打开)。这个概念很简单。当用户向安全网站注册支持totp的设备时,会生成一个唯一的共享密钥。设备和服务器都可以通过处理该密钥和当前时间来生成基于时间的一次性密码。按照惯例,每个TOTP的有效时间为30秒。你使用常规密码登录,然后在你的设备上输入当前的一次性密码,就可以登录了。一个不法分子以某种方式从以太坊中获取了一次性密码,30秒内就会发现密码无效。
类似的产品
Authy和Google Authenticator都建立在TOTP之上,事实上你可以在任何支持Google Authenticator的站点上使用Authy。你为什么要换用Authy?原因有很多;稍后我会详细介绍。
开始使用Authy
设置Authy使用您的智能手机作为令牌很简单。你在手机上安装Authy应用程序,输入你的电话号码,然后点击验证链接或输入验证码。这是它;Authy可以使用了。开始我的苹果iPhone 6(在亚马逊)(在新窗口中打开)几乎没花什么时间。
设置双因素身份验证的确切技术因站点而异。但是,对于大多数站点,您将按照提示操作,直到有机会选择Google Authenticator。在这一点上,网站显示一个QR码。用Authy抓拍二维码,砰!你有双重身份验证。深入研究这款应用后,我发现它直接支持至少24个流行网站,其中包括Gmail、Facebook、Outlook、Lastpass、Evernote和WordPress。超过10,000个其他大大小小的网站和应用程序直接使用Authy进行身份验证,而无需连接到Google Authenticator。
你注册的网站会出现在应用程序窗口的底部。点击其中一个,就会出现该网站当前的身份验证代码,以及一个倒计时计时器,显示该代码的30秒有效期还剩多少。它在Android和iOS上的工作原理基本相同,不过我注意到iOS版本会显示一个圆形的进度条,上面有一个倒计时的标签,而Android版本只是使用一个简单的进度条。
当然,如果一个有扒窃技巧的黑客设法获得了你的密码和你的身份验证智能手机,你可能有麻烦了。与使用的严格基于设备的安全性一样oneID,你需要彻底保护你的设备。使用强密码或生物识别认证,并打开Authy的PIN保护(iPhone用户可以升级到Touch ID认证)。
LastPass 3.0和LastPass 3.0高级版(LastPass每年$36)(在新窗口中打开)两者都支持Google Authenticator。这意味着您可以使用Authy保护您的LastPass帐户,然后继续使用Authy对您的其他安全站点进行双因素身份验证。你也可以这样做Dashlane 3(Dashlane $0.00)(在新窗口中打开)。
无需多设备特性
你需要一部智能手机才能开始使用Authy,但一旦完成了这个任务,你就可以在其他智能手机、平板电脑或台式机上安装Authy,并在这些设备之间同步数据。Authy支持iOS, Android和黑莓移动设备,以及Windows, Mac OS和Linux。甚至还有一个Authy应用程序苹果的手表;只要看一眼手腕就能找到验证码。
通过安装Authy桌面应用程序和Chrome扩展,您可以完全绕过智能手机。桌面应用程序会提示你创建主密码,但并不要求你创建主密码(在我看来,这是一种疏忽)。请注意,主密码是特定于设备的,因此如果在多个桌面上安装,可以创建多个主密码。设置好主密码后,应用程序会要求你定期重新输入密码。使用Chrome扩展,您可以获得任何注册网站的当前代码,将其复制到剪贴板,并将其粘贴进去,而无需取出手机。
是的,这无疑削弱了双因素身份验证的定义。有人可以访问你的台式电脑可以想象闯入,因为台式电脑成为“你拥有的东西”的因素。如果你选择使用Authy桌面应用,你绝对必须用一个强大的主密码来保护它。此外,您应该在桌面上为您的用户帐户设置密码保护,并在离开时锁定该帐户。
Chrome扩展还有另一个好处,我没有马上注意到。如果你点击查看一个网站的当前代码,而该网站没有打开,你会得到一个网络钓鱼警告。这是方便!
在另一款智能手机或平板电脑上启用Authy很简单。在新设备上,你输入智能手机的电话号码,然后对智能手机上出现的访问提示作出回应。就像这样,Authy在新设备上启用了。
丢了设备?您可以使用Authy应用程序将该设备从同步进程中删除。但请注意,对于使用Google TOTP实现的站点,令牌将继续为已经注册的站点提供代码。谨慎的用户会在这些站点上禁用和重新启用双因素身份验证。
如果你已经注册了所有你想要的设备,你可以设置Authy停止接受更多的设备。你还可以选择将安全密钥的加密备份保存到云端。
我注意到Authy iOS应用程序中有一个蓝牙选项。我打开了它,但找不到任何方法让它与我的电脑交互。事实证明,这个功能是Mac专用的,即使在Mac上,最近蓝牙实现的一些变化也会给它带来麻烦。
为什么Authy ?
我之前提到过,您可以在任何支持Google Authenticator的站点上使用Authy。但你为什么要麻烦呢?嗯,Authy在很多方面都更好。
当你设置一个账户通过Google Authenticator进行身份验证时,你在移动设备上对该账户的访问将被切断。您必须输入冗长的全小写“应用程序密码”才能重新启用对每个设备上每个应用程序的访问。Authy用户可以简单地在设备上安装Authy,从而避免了这个烦人的过程。
如果你买了一部新手机,你可以很容易地转移你所有的授权注册。使用Google Authenticator,你必须为每个网站重新进行注册过程。而且谷歌身份验证器并没有提供任何方法来撤销丢失或被盗手机的访问权限。
如果客户机和服务器没有按时间同步,那么基于时间的密码的整个概念就失效了。Authy以在你的设备没有网络连接的情况下保持同步而闻名,比Google Authenticator更出色。然而,我没有找到测试这一点的方法。
也有一小部分网站支持Authy,但不支持Google身份验证。我的权威联系人报告说,Coinbase、Cloudflare和HumbleBundler都是这些只有权威的网站。
轻松一点
双因素身份验证确实是保护敏感网站的一种了不起的安全增强,但用户经常为了方便而放弃安全。当您将安全站点转换为使用双因素时,开始使用Authy需要最初的努力。在那之后,它非常容易使用,并且明显优于Google Authenticator。如果你真的想确保自己的在线登录安全,可以考虑将Authy与LastPass 3.0或Dashlane 3配对,这两款软件都是编辑选择(Editors’Choice)密码管理器。Authy本身很可能因双因素认证而获得编辑选择奖;我们只是没有审查足够的同类产品来确定。
Twilio的免费Authy服务使您的网站和应用程序与双因素身份验证一样容易。它能做谷歌认证器能做的一切,甚至更多。