Video: Duo Care - Premium Support (Ottobre 2024)
Le password sono piuttosto terribili come forma di autenticazione. Chiunque violi, indovina o fa surf sulla spalla ha pieno accesso al tuo account. L'uso di un gestore di password per gestire password complesse e uniche per tutti i tuoi siti Web può essere d'aiuto. Quel surfista di spalla avrà difficoltà a ricordare una password come! AtAVethabU? Rur2. Ma per una seria sicurezza, vuoi l'autenticazione a due fattori (2FA). Il Duo Mobile gratuito offre esattamente questo.
Innanzitutto, un aggiornamento a due fattori. Gli esperti di sicurezza parlano di tre elementi che possono essere utilizzati per l'autenticazione: qualcosa che conosci, qualcosa che sei e qualcosa che hai. L'autenticazione a due fattori significa semplicemente utilizzare almeno due di questi tre.
Una password è un esempio di qualcosa che conosci; questo è un fattore. L'impronta digitale è un esempio di qualcosa che sei. Ma un'impronta digitale non è un ottimo secondo fattore, perché i lettori di impronte digitali non sono né onnipresenti né perfettamente precisi. La stragrande maggioranza delle moderne soluzioni a due fattori si basa invece su qualcosa che quasi tutti hanno: uno smartphone. Il pratico sito Web Turn It On spiega come attivare la semplice autenticazione basata su SMS per oltre 100 siti Web.
L'autenticazione basata su SMS funziona con qualsiasi tipo di cellulare, non solo con gli smartphone. Tuttavia, quando è disponibile un vero smartphone, l'autenticazione basata su app è ancora migliore. Non si scontra con alcun limite di messaggistica e l'autenticazione basata su app funziona anche su dispositivi mobili che non dispongono di connettività cellulare. Internet Engineering Task Force ha definito uno standard pubblico per l'autenticazione basata su app e la sua implementazione più nota è Google Authenticator (GA). Tuttavia, Google non è l'unica compagnia con un cane in questa gara.
Semplice da usare
Come Twilio Authy, Duo Mobile è in grado di gestire l'autenticazione a due fattori per uno dei numerosi siti che supportano Google Authenticator. Inizia installando l'app sul tuo iOS, Android, BlackBerry o Windows Phone. Per abilitare l'app per 2FA su un sito sicuro, segui semplicemente le istruzioni di quel sito come se stessi per utilizzare Google Authenticator. Scatta il codice QR risultante con Duo Mobile e sei pronto per partire.
Ora, ogni volta che è necessario un codice di autenticazione per un sito, è sufficiente toccare l'icona della chiave accanto al nome di quel sito nell'elenco Duo mobile. I codici sono limitati nel tempo; allo scadere del tempo, il codice scompare ed è necessario toccare nuovamente il tasto per un altro codice. Preferisco il modo in cui Authy gestisce la scadenza del codice. Fornisce un'indicazione visiva del tempo rimanente del codice e visualizza automaticamente un nuovo codice allo scadere del tempo. In Google Authenticator, il codice lampeggia in rosso alcuni secondi prima della scadenza.
Ho installato Duo Mobile sul mio iPhone 6 con facilità. In pochi minuti, l'ho configurato per facilitare l'autenticazione dei miei account Gmail, Evernote e Dropbox. Semplice!
È possibile configurare più dispositivi per utilizzare Duo Mobile al posto di GA. Tuttavia, come con GA, dovrai configurarli separatamente. Authy, al contrario, può eseguire un backup crittografato della raccolta siti sicura, sincronizzarlo tra dispositivi e persino revocare l'accesso per un dispositivo smarrito o rubato.
Duo Push, ancora più semplice
Ogni volta che Duo Mobile sostituisce Google Authenticator, deve autenticarsi fornendo un codice numerico di autenticazione. Questo è semplicemente il modo in cui funziona Google Authenticator. Ma quando un sito utilizza specificamente la tecnologia Duo, la semplicissima funzione Duo Push diventa un'opzione.
Con Duo Push non copi alcun numero. L'app o il sito Web invia una richiesta di autorizzazione all'app sul tuo smartphone (o dispositivo indossabile), che visualizza due semplici pulsanti, Approva e Nega. Se accedi attivamente all'account in questione, tocca Approva. Se la richiesta esce dal nulla, tocca Nega (e vai a vedere se il tuo account è sotto attacco). Authy ha creato una funzionalità simile che è ora nelle mani degli sviluppatori del sito e la funzione Keeper DNA di Keeper Password Manager e Digital Vault 8 ti consente di accedere al tuo vault password con un tocco.
Duo Security fornisce l'autenticazione a due fattori per uso interno da parte delle grandi aziende, che, ovviamente, possono scegliere tra l'autenticazione basata su codice e la semplice Push Duo. Per il consumatore medio, non ci sono troppi posti per usarlo. Tra i lati positivi, uno di quei pochi è il famoso gestore di password LastPass 3.0.
Non così semplice da configurare
Ho aperto la pagina delle impostazioni del mio account LastPass e ho fatto clic sulla scheda Opzioni multifattore. Anche nella sua versione gratuita, LastPass supporta Duo Mobile, nonché Google Authenticator, Toopher e Transakt. Chi utilizza LastPass 3.0 Premium può anche scegliere di autenticarsi con un YubiKey, un lettore di impronte digitali o il token Sesame basato su USB.
Quando ho selezionato Duo Security per l'autenticazione a due fattori, LastPass mi ha inviato per creare un account Duo Security. Nota che non avevo bisogno di un account solo per usare Duo al posto di GA. Ho inserito la mia e-mail, il numero di cellulare e una password principale. Voleva anche il nome di una società e il numero di dipendenti (ho scelto "Solo io"). Ho completato il codice QR risultante con Duo Mobile per completare la registrazione.
L'accesso al mio nuovo account mi ha dato la mia prima esperienza con Duo Push. In realtà, mi ha permesso di scegliere di autenticarmi con Duo Push, con un codice trasmesso via SMS o con una telefonata. Quando ho scelto Duo Push, il mio telefono ha fatto il ping. Ho semplicemente toccato Approva per completare l'autenticazione. Bello!
Ah, ma non è stata la fine. Successivamente ho incontrato una pagina Nuova applicazione che offriva dozzine di tipi di applicazioni: Amazon, Citrix, Juniper, Microsoft, lo chiami. Sono riuscito a trovare LastPass nell'elenco. Selezionandolo ho portato a una pagina molto lunga con tre importanti elementi di dati in alto: chiave di integrazione, chiave segreta e nome host API.
Dopo questa lunga deviazione, sono tornato su LastPass e ho copiato questi tre elementi di dati. Meno male! Alla fine, avevo abilitato con successo l'autenticazione Duo Push per LastPass. E sì, l'autenticazione con un tocco è significativamente più semplice della fretta di copiare il codice a sei cifre prima che scada il tempo. L'autenticazione su un Apple Watch o su un altro dispositivo indossabile è ancora più semplice, come dimostra il video di 14 secondi di Duo.
Tuttavia, risulta che non avevo ancora finito. Duo Security ha visualizzato un messaggio che mi consigliava di impostare l'autenticazione a due fattori (pensavo di averlo già fatto). In effetti, la procedura guidata di configurazione offriva opzioni a due fattori aggiuntive tra cui l'autenticazione di rete fissa o un token FIDO Universal Two-Factor (U2F). Al termine, la procedura guidata mi ha portato a una dashboard straordinariamente complessa, la stessa dashboard che un amministratore IT avrebbe visto. Fortunatamente per l'utente medio, non c'è nulla che tu debba assolutamente capire o fare con questa dashboard. E dopo 30 giorni, la versione di prova gratuita delle funzionalità specifiche dell'azienda termina, lasciando una dashboard un po 'più semplice.
Fa il lavoro
Se sei un utente LastPass con un Apple Watch, dovresti davvero ottenere Duo Mobile. Immagina la bellezza dell'autenticazione toccando l'orologio! E, naturalmente, se usi Duo Security al lavoro, hai già l'app, quindi ha perfettamente senso usare Duo Mobile al posto di Google Authenticator. Penso che Duo dovrebbe elaborare un processo più semplice per i consumatori che desiderano semplicemente utilizzare Duo Push per LastPass senza passare attraverso lo stesso rigmarole richiesto dall'installazione di Duo Security per un'azienda.
Tuttavia, se l'autenticazione con un solo tocco non è presente nelle schede, trovo che Twilio Authy sia più conveniente. Mi piace l'indicazione visibile del time-to-live per il codice corrente e il fatto che puoi sincronizzare la tua raccolta di siti sicuri tra i dispositivi. E, naturalmente, Twilio ha una soluzione one-touch nelle opere. Entrambi i prodotti sono gratuiti, quindi puoi provarli entrambi, anche usarli entrambi contemporaneamente - anche Google Authenticator! - e vedere quale preferisci.
