(插图:René Ramos)
近年来的泄密和黑客攻击清楚地表明,仅靠密码是不够的安全保护你的网上银行账户,社交媒体账户,甚至购物网站账户。多因素身份验证(MFA,也称为双因素身份验证或2FA)增加了另一层保护。PCMag的安全团队经常劝告读者使用它。Authenticator应用程序,如Authy、谷歌Authenticator和Microsoft Authenticator,支持MFA的一种安全形式。使用这些应用程序甚至可以帮助你免受隐形攻击stalkerware.
我们总结了最好的认证应用程序,按字母顺序列出,将帮助你决定使用哪一个,这样你就可以开始设置你的账户更安全。如果你正在寻找最好的免费认证应用程序,你很幸运。它们都是免费的。在我们的推荐下面,你会发现更多关于这些应用程序如何保证你的安全的背景信息,以及你在选择一个应用程序时应该考虑的标准。
2 fas
这个简单但功能齐全的应用程序可以在身份验证器中完成您想要的一切。它可以让你手动或用二维码添加在线账户。与谷歌Authenticator不同的是,它可以为你的注册账户创建云备份,无论是在苹果设备的iCloud中,还是在安卓设备的谷歌Drive中,这在你丢失手机或获得新手机时是关键。备份是加密的,只能从2FAS应用程序访问。
与Authy不同的是,2FAS不需要知道你的电话号码,甚至不需要你创建一个在线账户,所以它不容易受到sim卡交换欺诈的影响。你可以设置访问应用程序的个人识别码,在iPhone上可以使用FaceID或TouchID,你还可以把它添加到主屏幕上,但没有Apple Watch应用程序测试页面(在一个新窗口中打开)你可以用来检查任何验证程序。
两人移动
Duo Mobile主要面向企业应用,尤其是现在它已经成为思科产品组合的一部分。除了一次性密码外,这款应用还提供了企业功能,比如多用户部署选项和供应,以及一键推送认证。你可以在Android上使用谷歌Drive备份Duo Mobile,在iPhone上使用iCloud KeyChain。
谷歌身份验证
谷歌的认证程序很简单,没有额外的功能。与Microsoft Authenticator不同,谷歌Authenticator没有为自己的服务添加任何特殊选项。谷歌Authenticator缺少帐户代码的在线备份,但如果您有旧手机,则可以将它们从旧手机导入到新手机。没有Apple Watch的谷歌Authenticator应用程序。
LastPass身份
LastPass验证器与LastPass密码管理器虽然它与密码管理器提供了一些协同作用。安装LastPass验证器很简单,如果你已经有一个启用MFA的LastPass帐户,你可以通过点击推送通知轻松授权LastPass。此外,一旦你的LastPass账户设置了该应用程序,就可以很容易地在LastPass保险库中创建验证者账户的备份,这可以减轻你不得不将数据转移到新手机上时的一些痛苦。
Microsoft身份验证器包括安全密码生成你只需按一下按钮就可以登录微软账户。该应用程序还允许学校和工作场所注册用户的设备。帐户恢复是你使用这款应用时应该开启的一个重要功能。这样,当你买了新手机时,你会看到一个选项,通过登录你的微软帐户并提供更多的验证来恢复。与2FA应用一样,Microsoft Authenticator提供了另一层安全措施:你可以要求用PIN码或生物识别验证解锁手机,以查看代码。
密码管理选项位于底部的单独选项卡中。您可以与与身份验证器相关联的Microsoft帐户进行同步,然后,您将看到从边缘的浏览器.此外,验证器可以作为您的手机上的密码填充/保存实用程序。
有一个问题(这是一个苹果锁定问题)的问题是,如果你已经备份到iCloud,就不能将保存的MFA账户转移到Android设备上,因为iPhone版本需要使用iCloud。这是大多数提供云备份的身份验证程序的情况。
为什么Twilio Authy
Twilio Authy的一大优势是加密云备份。然而,据该公司称,你可以通过“通过电话或短信发送的PIN码”将该账户添加到新手机上,这有点令人担忧Authy的支持页面(在一个新窗口中打开).还有一个选项,可以输入一个私人密码或密码短语,Authy用它来加密您的帐户登录信息到云。密码只有你知道,所以如果你忘记了,奥蒂将无法恢复帐户。这也意味着当局不能强迫Authy解锁你的账户。
与这里列出的其他应用程序不同,Authy在你第一次设置它时需要你的电话号码。我们并不支持这一要求,因为我们宁愿让应用程序将我们的手机视为匿名硬件;还有一些人认为,需要输入电话号码才能打开应用程序SIM-card-swap欺诈.Authy的帮助中心提供了一个解决方案,但我们更希望它能像其他认证程序一样工作。至少对于那些想要的人来说,Apple Watch有一个应用程序。
什么是多因素身份验证?
顾名思义,MFA是指你使用多种认证方式来解锁在线账户或应用程序。通常,第一种方式是你的密码。MFA意味着除了密码之外还添加了另一个因素。专家将认证因素分为三类:
一些你知道(例如密码)
一些你有(一个物理物体)
而你是(指纹或其他生物特征)。
当你使用验证程序时,你支持密码你知道用代币,智能手机或智能手表有.
什么是双因素身份验证?什么是最好的多因素认证?
使用身份验证程序是一种较好的MFA类型。不过,还有另一种不太好的常用方法:通过文本消息进行身份验证。
是的,您可以通过让您的银行向您发送带有代码的文本消息来实现MFA,您可以输入该代码进入站点以获得访问权限。但事实证明,通过电话获取密码一点也不安全。短信的一个弱点就是骗子可以改变短信的路由(在一个新窗口中打开).智能手机上的认证应用程序生成的代码不会通过你的移动网络传输,因此暴露和泄露的可能性更小。另外,如果你的短信显示在锁屏上,任何拥有你手机的人都可以获得密码。
要通过应用程序而不是短信设置MFA,请访问您的银行网站的安全设置,寻找多因素或双因素身份验证部分。几乎每个金融网站都提供这种服务。大多数网站首先列出了简单的短信代码选项,但会越过这个选项,寻找验证程序支持。
设置MFA通常需要用手机的验证程序在网站上扫描二维码。注意,如果需要备份,你可以将二维码扫描到多部手机上。金融网站通常会提供帐户恢复代码作为额外的备份。它们通常是由字母和数字组成的长串。将这些帐户恢复代码保存在安全的地方,例如密码管理器.这些代码可以代替你手机上的MFA代码,这意味着如果你的手机丢失、被盗或损坏,它们仍然可以让你登录网站。
验证程序如何工作
验证程序生成基于时间的,一次性密码(TOTP或OTP),通常是6位数字,每30秒刷新一次。一旦你设置了MFA,每次你想登录一个网站,你打开应用程序,复制代码到安全登录页面。瞧,你被录取了。这个时间限制意味着,如果一个不法分子成功获得了你的一次性密码,30秒后密码就失效了。
这些代码是通过对QR扫描传输的长代码和当前时间进行计算生成的,使用的是标准的基于hmac的一次性密码(HOTP)算法,该算法得到了互联网工程任务小组(Internet Engineering Task Force)的批准。验证程序无法访问你的账户,在最初的代码传输后,它们不会与网站通信;它们简单而无声地生成代码。你甚至不需要电话服务让他们工作。
由于这些产品使用的协议通常基于相同的标准,您可以混合和匹配品牌,例如,使用Microsoft Authenticator进入您的谷歌帐户,反之亦然。
在验证器应用程序中寻找什么
帐户信息的备份。在选择认证应用程序时,需要注意的是它是否会备份帐户信息(加密),以防你不再使用最初设置的同一部手机。Authy, Duo Mobile, LastPass Authenticator和Microsoft Authenticator提供此功能,而谷歌Authenticator不提供此功能。
看应用程序。Authy和Microsoft Authenticator提供Apple Watch应用程序,这使得使用认证应用程序更加方便。谷歌Authenticator和LastPass没有Apple Watch应用程序。约为1亿年(在一个新窗口中打开)在使用的这些WatchOS设备中,这是相当多的人可以利用的便利。
没有短信码。如前所述,我们希望验证程序不使用设置期间通过短信发送的代码来验证您或您的设备。大多数身份验证程序不这样做。Twilio是这个列表中唯一能做到这一点的应用,正如前面提到的,它有一个解决方案。
MFA应用和文本代码还有其他选择吗?
如果你想要一种比应用程序或短信认证码更安全的认证方法,你可以购买专用的键型MFA器件-我们现在最喜欢的是YubiKey 5C NFC.这些键产生的代码通过NFC、蓝牙或直接插入USB端口传输。与智能手机不同的是,它们具有单一用途和安全加固设备的优势。为什么它们更安全?虽然不太可能,但你手机上运行的恶意软件可以安全密钥没有电池,没有活动部件,而且非常耐用——但它们使用起来不像手机那么方便。
最安全的第三方认证应用是什么?
这些应用程序的安全性来自于基本原则和协议,而不是由单个软件制造商实现的。也就是说,这里列出的所有产品都是极其安全的,只有奥蒂略显逊色;正如上面的总结中提到的,它是唯一一个需要你的电话号码,可以使用短信验证设置的应用程序,这是这些应用程序应该改进的地方。最安全的是硬件安全密钥,如上面提到的YubiKey。
一定不要安装未知的、不推荐的验证程序看好:恶意的模仿者已经出现在应用商店了。坚持使用知名公司的推荐产品。
