Video: Twilio Verify: The best phone verification solution (Ottobre 2024)
Una password è un modo terribile per proteggere un account online, perché chiunque impari la tua password possiede l'account, anche se si trova a mezzo mondo di distanza. Un gestore di password ti consente di utilizzare password difficili da ricordare, ma in una violazione dei dati non importa se la tua password fosse "*" o "password". Puoi migliorare notevolmente la tua sicurezza utilizzando uno schema di autenticazione a due fattori e Authy di Twilio rende l'autenticazione a due fattori più semplice che mai.
Gli esperti dividono i fattori di autenticazione in tre tipi: qualcosa che conosci (una password, per esempio), qualcosa che hai (un oggetto fisico) e qualcosa che sei (un'impronta digitale o altro tratto biometrico). Authy trasforma il tuo smartphone in un token fisico necessario per l'accesso, insieme alla password. Un hacker che ruba o indovina la tua password verrà sventato dal passaggio di autenticazione che richiede quel token.
Come funziona
Nel 2011, l'Internet Engineering Task Force ha rilasciato uno standard per TOTP (Time-based One-Time Passwords). Il concetto è abbastanza semplice. Quando l'utente registra un dispositivo che supporta TOTP con un sito Web sicuro, viene creata una chiave condivisa univoca. Sia il dispositivo che il server possono generare una password singola basata sull'ora elaborando quella chiave insieme all'ora corrente. Per convenzione, ogni TOTP è valido per 30 secondi. Accedi usando la tua password normale, quindi inserisci l'attuale password una tantum dal tuo dispositivo e sei dentro. Un malfattore che in qualche modo estrae quella password una tantum dall'etere la troverà inutile entro 30 secondi.
Authy e Google Authenticator si basano entrambi su TOTP e in effetti è possibile utilizzare Authy su qualsiasi sito che supporti Google Authenticator. Perché dovresti passare ad Authy? Ci sono alcune ragioni; Andrò nei dettagli più tardi.
Iniziare con Authy
Configurare Authy per usare lo smartphone come token è semplice. Installa l'app Authy sul telefono, fornisci il tuo numero di telefono e fai clic su un link di verifica o inserisci un codice di verifica. Questo è tutto; Authy è pronto per l'uso. Iniziare sul mio Apple iPhone 6 non ha richiesto quasi tempo.
La tecnica esatta per l'impostazione dell'autenticazione a due fattori varia da sito a sito. Tuttavia, per la maggior parte dei siti seguirai le istruzioni finché non avrai la possibilità di selezionare Google Authenticator. A quel punto, il sito visualizza un codice QR. Scatta il codice QR con Authy e bam! Hai un'autenticazione a due fattori. Scavando nell'app, ho scoperto che supporta direttamente almeno due dozzine di siti popolari, tra cui Gmail, Facebook, Outlook, Lastpass, Evernote e WordPress. Oltre 10.000 altri siti Web e applicazioni, grandi e piccoli, utilizzano Authy direttamente per l'autenticazione, senza alcuna connessione a Google Authenticator.
I siti registrati vengono visualizzati nella parte inferiore della finestra dell'app. Toccandone uno viene visualizzato il codice di autenticazione corrente per quel sito, insieme a un timer per il conto alla rovescia che mostra la durata della durata di 30 secondi del codice. Funziona allo stesso modo su Android e iOS, anche se ho osservato che l'edizione iOS mostra una barra di avanzamento circolare con un'etichetta che conta i secondi mentre l'edizione Android utilizza solo una semplice barra di avanzamento.
Naturalmente, se un hacker con capacità di raccolta tascabile riesce a ottenere sia la tua password che il tuo smartphone di autenticazione, potresti essere nei guai. Come per la sicurezza strettamente basata su dispositivo utilizzata da oneID, è necessario proteggere completamente il dispositivo. Utilizza un passcode sicuro o l'autenticazione biometrica e attiva la protezione PIN di Authy (gli utenti iPhone possono eseguire l'aggiornamento all'autenticazione Touch ID).
LastPass 3.0 e LastPass 3.0 Premium supportano entrambi Google Authenticator. Ciò significa che puoi proteggere il tuo account LastPass utilizzando Authy e quindi continuare ad utilizzare Authy per l'autenticazione a due fattori degli altri siti sicuri. Potresti fare lo stesso con Dashlane 3.
Funzionalità multi-dispositivo
È necessario uno smartphone per iniziare con Authy, ma una volta completata tale attività è possibile installare Authy su altri smartphone, tablet o desktop e sincronizzare i dati tra i dispositivi. Authy supporta dispositivi mobili iOS, Android e BlackBerry, nonché Windows, Mac OS e Linux. C'è anche un'app Authy per l'Apple Watch; basta dare un'occhiata al polso per il codice di autenticazione.
Installando l'app desktop Authy e l'estensione di Chrome, puoi bypassare del tutto lo smartphone. L'app desktop ti chiede di creare una password principale, ma non la richiede (una svista, a mio avviso). Si noti che la password principale è specifica del dispositivo, quindi se si installa su più desktop è possibile creare più password principali. Quando è presente la password principale, l'app richiede di reinserirla periodicamente. Utilizzando l'estensione di Chrome, puoi ottenere il codice corrente per qualsiasi dei tuoi siti registrati, copiarlo negli appunti e incollarlo, senza bisogno di uscire dal telefono.
Sì, questo sta decisamente eliminando la definizione di autenticazione a due fattori. Qualcuno che ha accesso al tuo computer desktop potrebbe presumibilmente irrompere, perché il computer desktop diventa il fattore "qualcosa che hai". Se scegli di utilizzare l'app desktop Authy, devi assolutamente proteggerla con una password master complessa. Inoltre, dovresti proteggere con password il tuo account utente sul desktop e bloccare l'account ogni volta che ti allontani.
C'è un altro vantaggio dell'estensione di Chrome che non ho notato subito. Se fai clic per visualizzare il codice corrente per un sito e quel sito non è aperto, riceverai un avviso di phishing. È utile!
Abilitare Authy su un altro smartphone o tablet è un gioco da ragazzi. Sul nuovo dispositivo, inserisci il numero di telefono dello smartphone e rispondi a una richiesta di accesso che appare su quello smartphone. Proprio così, Authy è abilitato sul nuovo dispositivo.
Hai perso un dispositivo? Puoi utilizzare l'app Authy per rimuovere quel dispositivo dal processo di sincronizzazione. Si noti, tuttavia, che per i siti che utilizzano l'implementazione di TOTP di Google il token continuerà a fornire codici per siti già registrati. Un utente prudente disabiliterà e riattiverà l'autenticazione a due fattori su questi siti.
Se hai registrato tutti i dispositivi desiderati, puoi impostare Authy in modo che non accetti più dispositivi. C'è anche un'opzione per salvare un backup crittografato delle tue chiavi sicure sul cloud.
Ho notato un'opzione Bluetooth nell'app Authy per iOS. L'ho abilitato, ma non sono riuscito a trovare alcun modo per farlo interagire con il mio PC. Si scopre che questa funzione è specifica per Mac e che anche su Mac ha problemi con alcune recenti modifiche nell'implementazione Bluetooth.
Perché Authy?
Ho accennato in precedenza che è possibile utilizzare Authy su qualsiasi sito che supporti Google Authenticator. Ma perché dovresti preoccuparti? Bene, Authy è semplicemente migliore in vari modi.
Quando si configura un account per l'autenticazione tramite Google Authenticator, l'accesso a tale account sui dispositivi mobili viene interrotto. È necessario inserire una lunga "password" per le applicazioni minuscole per riattivare l'accesso per ciascuna applicazione su ciascun dispositivo. Gli utenti di Authy possono semplicemente installare Authy sul dispositivo, ovviando alla necessità di questo fastidioso processo.
Se ricevi un nuovo telefono, puoi facilmente trasferire su tutte le tue registrazioni Authy. Con Google Authenticator, dovresti ripetere il processo di registrazione per ogni sito. E Google Authenticator non offre alcun modo per revocare l'accesso per un telefono smarrito o rubato.
L'intero concetto di password basate sul tempo si interrompe se il client e il server non sono sincronizzati in termini di tempo. Authy ha la reputazione di rimanere sincronizzato anche quando il tuo dispositivo non ha accesso alla rete, più di Google Authenticator. Tuttavia, non ho trovato un modo per testarlo.
Esiste anche una piccola ma crescente raccolta di siti che supportano Authy ma non l'autenticatore di Google. Il mio contatto di Authy ha riferito che Coinbase, Cloudflare e HumbleBundler sono tra questi siti solo per Authy.
Facile Lo Fa
L'autenticazione a due fattori è davvero un meraviglioso miglioramento della sicurezza per proteggere siti Web sensibili, ma gli utenti spesso scambiano la sicurezza per comodità. Iniziare con Authy richiede uno sforzo iniziale mentre converti i tuoi siti sicuri per utilizzare due fattori. Dopodiché, è super facile da usare e un taglio preciso sopra Google Authenticator. Se sei seriamente intenzionato a proteggere i tuoi accessi online, prendi in considerazione l'associazione di Authy con LastPass 3.0 o Dashlane 3, entrambi gestori di password Choice di Editors. Authy stesso potrebbe meritare un riconoscimento Scelto dai redattori per l'autenticazione a due fattori; semplicemente non abbiamo esaminato abbastanza prodotti simili per essere sicuri.
