Authy или Google authenticator что лучше

Что касается двухэтапной аутентификации, существует множество приложений, которые позволят вам защитить свои учетные записи с помощью дополнительного уровня безопасности. Обычный выбор Google Authenticator. Но, честно говоря, я не был поклонником этого приложения. Нет возможности создавать резервные копии учетных записей, и это может стать проблемой, если вы потеряете свой телефон. Кроме того, нет функции блокировки приложения, что означает, что любой может просматривать все ваши коды напрямую.

Google Authenticator — полезное приложение для отслеживания кодов двухэтапной аутентификации (2FA), но оно ни в коем случае не единственное. Если ты это чувствуешь Не хватает некоторых ключевых функций Если вам нужно что-то с открытым исходным кодом, существует множество вариантов, соответствующих вашим потребностям.

Давайте посмотрим на некоторые альтернативы Google Authenticator и почему вы можете захотеть перейти на них.

Лучшие альтернативы Google Authenticator для Android и iOS - Android iOS

Authy или Google Authenticator? Лучшее приложение для двухфакторной аутентификации.

Почему вы хотите заменить Google Authenticator?

Google попытался раскопаться в различных источниках, таких как социальные сети и игры, где в последнем порте он получил наименьшее количество звезд в обзоре. Google Stadia. С другой стороны, он содержит Google Authenticator На данный момент его загрузили более 10 миллионов раз, что делает его одним из самых популярных приложений для двухфакторной аутентификации для Android.

Хотя он популярен, он не идеален. Google Authenticator не просит вас подтвердить свою личность при открытии приложения. Он также не скрывает значки, когда вы его открываете: каждый значок виден с самого начала. Это делает опасным, если кто-то получит разблокированный телефон, поскольку они могут без проблем подделать ваши коды.

Google Authenticator также не имеет функций для резервного копирования или передачи кодов между телефонами. Вы можете сказать, что это проблема, посмотрев некоторые негативные отзывы о приложении.

Где вы обнаружите, что некоторые люди потеряли свои телефоны и Заблокируйте их учетные записи, подключенные к приложению. В то время как другие хотят перенести аутентифицированные учетные записи на новый телефон, только чтобы узнать, что Google Authenticator не поддерживает это.

Как видите, существует множество отрицательных причин, по которым вам стоит искать альтернативу Google Authenticator. Итак, давайте покажем вам пятерку лучших.

Получите скин Android 7.0 Nougat для всех телефонов Android

1. Аути

Authy позиционирует себя как главный конкурент Google Authenticator. С самого начала он предлагает резервную копию всех ваших сохраненных учетных записей на случай, если вам придется стереть или изменить данные телефона. Он делает это путем шифрования информации и хранения ее в облаке.

Как Не Потерять ВСЕ? Что Такое Google Authenticator и Почему Лучше Использовать Authy

Аути также выделяется, представляя настольное приложение Помимо версии для смартфона. Это означает, что вам не нужно постоянно быть привязанным к телефону, чтобы получить коды; Кроме того, вы можете получить свои значки прямо со своего рабочего стола. Это более полезно, если у вас нет смартфона или планшета.

Кроме того, он предлагает защиту паролем, поэтому никто не может случайно получить доступ к вашим кодам. Таким образом, если кто-то получит ваш разблокированный телефон, он все равно сможет обойти пароль приложения, прежде чем он сможет увидеть коды двухэтапной проверки.

Как создать аккаунт Google ads

Средства Ограничить скриншоты Этот Authy может остановить людей, пытающихся сфотографировать ваши значки. Это может звучать как преувеличение, но поскольку мы уже показали способы защитить себя от Записывать нажатия клавиш С помощью кейлоггера вредоносное ПО может делать снимки экрана вашего экрана, чтобы прочитать ваши данные без вашего ведома.

Оти ​​описывает свою цель как решение «сложной проблемы — Избавьтесь от паролей. Произойдет это или нет, неизвестно. Что касается сравнения Authy и Google Authenticator, Authy явно победитель.

Скачать: Authy для системы Android | iOS (Бесплатно)

2. ХЕНГЕ ОТП

Лучшие альтернативы Google Authenticator для Android и iOS - Android iOS

HENNGE OTP также предоставляет своим пользователям защиту паролем для предотвращения вторжений. Приложение совместимо со всеми популярными сервисами — Google, Facebook, Amazon Web Services, Dropbox, Evernote и WordPress, и это лишь некоторые из них.

Однако единственное ограничение при работе с этим приложением заключается в том, что оно доступно только для iOS, поэтому пользователям Android не повезло. Если вы пользователь iOS и хотите что-то простое без множества функций и опций, стоит попробовать это приложение на себе.

Как включить режим плавающей клавиатуры в Google Gboard

Скачать: HENNGE OTP для ОС iOS (Бесплатно)

3. Звуковой аутентификатор входа

Если вы хотите попробовать что-то более уникальное, почему бы не войти в систему с помощью голоса? Больше не нужно набирать эти надоедливые коды; Сделайте так, чтобы ваш телефон немного шумел, и вы просто вошли в систему.

Как видно из названия приложения, это приложение использует звук для создания одноразового кода. Требуется небольшая первоначальная настройка; Вам необходимо установить приложение на свой телефон и установить добавить браузер (Chrome, Firefox или Opera). На вашем компьютере также должен быть микрофон (мы имеем дело со звуком, помните?).

Когда вы хотите войти в систему, вы можете направить свой телефон на микрофон компьютера и коснуться учетной записи, к которой хотите получить доступ, на экране смартфона. Приложение издаст короткий рингтон, который передает временный значок расширению браузера. Это автоматически заполнит код веб-сайта, на который вы пытаетесь войти.

Таким образом, это устраняет необходимость писать 2FA. Код быстро в срок. Если вы медленно пишете и вам нужно что-то более удобное, чем ввод шестизначного кода, вы можете найти то, что вам нужно, с помощью Sound Login Authenticator.

Скачать: Sound Login Authenticator для Android Android | iOS (Бесплатно)

4. Бесплатный OTP

Лучшие альтернативы Google Authenticator для Android и iOS - Android iOS

Если вы сторонник конфиденциальности, вам не захочется трогать какое-либо приложение с кодом XNUMXA без открытого исходного кода. К счастью, есть приложения, которые уважают вашу конфиденциальность и используют открытый исходный код, поэтому вы можете быть уверены, что компании не собирают ваши данные.

FreeOTP был разработан Red Hat, компанией-разработчиком программного обеспечения с открытым исходным кодом, появившейся в 1993 году. Вы можете быстро добавить генератор кода с помощью сканера QR-кода или ввести свои данные вручную. Приложение имеет небольшой размер и очень простое, что делает FreeOTP отличным выбором, если вам нужен генератор токенов, которому вы можете доверять, и не более того.

Лучшие альтернативы LastPass Password Manager для Android

Скачать: FreeOTP для системы Android | iOS (Бесплатно)

5. и OTP

Лучшие альтернативы Google Authenticator для Android и iOS - Android iOS

Если вам нравится идея приложения с токеном двухфакторной аутентификации с открытым исходным кодом, но не нравится FreeOTP из-за отсутствия функций, попробуйте andOTP. Код имеет открытый исходный код и заслуживает доверия, но добавляет много полезных функций по сравнению с приложением выше.

Как пользоваться Гугл мит на компьютер

Например, andOTP может создавать резервные копии токенов на сервере с разными уровнями шифрования. Вы можете сменить тему, если являетесь поклонником темного режима. Вы можете заблокировать приложение OTP с помощью пароля или PIN-кода, что означает, что человек, который берет ваш телефон, не сможет получить доступ ко всем вашим кодам, не обойдя уровень безопасности.

Наконец, в приложении есть «триггер паники». Если вы думаете, что ваш телефон взломали, вы можете запустить приложение в панику. Вы можете выбрать, что приложение будет делать с этой пусковой установкой; Он может либо стереть все учетные записи, либо сбросить приложение до настроек по умолчанию, либо и то, и другое.

К сожалению, на момент написания OOT доступен только для Android. Таким образом, пользователи iOS, которым требуется решение с открытым исходным кодом, могут пока придерживаться FreeOTP.

Скачать: andOTP для системы Android (Бесплатно)

Выберите мощные альтернативы Google

Google Authenticator имеет большое количество загрузок в Play Store, но отнюдь не лучший. Если вы хотите получить доступ к приложениям, защищенным паролем, резервным копиям и открытому исходному коду, вам будет лучше с лучшими альтернативами Google Authenticator.

Источник: www.dz-techs.com

Выбираем плагин для двухфакторной аутентификации в WordPress

image

Двухфакторная аутентификация значительно повышает уровень безопасности сайта при соблюдении остальных условий (таких как своевременное обновление движка-тем-плагинов, применение практик безопасного программирования и т.п.).

Столкнувшись с вопросом подключения Google Authenticator к сайту на WordPress, я провел небольшое исследование существующих плагинов и сегодня хочу поделиться с вами результатами этой работы.

Прежде всего обозначим начальные условия:

  • сайт на WordPress версии 5.3.2 (самой актуальной на тот момент);
  • движок развернут в режиме Multisite в связке с nginx;
  • денег платить не хочется (ну это как всегда).
  • Google Authenticator от miniOrange;
  • Two Factor Authentication от David Nutbourne и David Anderson;
  • Two-Factor от Plugin Contributors;
  • Wordfence Login Security от Wordfence.

Итоги осмотра и тестирования

Google Authenticator от miniOrange

image

Заявленные возможности бесплатной версии плагина для Google Authenticator от miniOrange:

  • двухфакторная аутентификация одного пользователя;
  • поддержка Google Authenticator, Authy, LastPass Authenticator, QR-кодов, PUSH-уведомлений, Soft Token и вопросов;
  • предотвращение брутфорс атак и блокирование IP-адресов;
  • мониторинг событий входа в систему;
  • мультиязычность.
  • двухфакторная аутентификация нескольких пользователей (оплата по количеству пользователей);
  • поддержка дополнительных каналов OTP, например, OTP over email, OTP over SMS (услуги SMS закупаются отдельно), подтверждение email;
  • кастомизация способов входа для различных учетных записей;
  • использование security-вопросов для восстановления доступа;
  • поддержка multisite;
  • переадресация пользователей после логина на основе роли пользователя;
  • управление доверенными устройствами.
  • настройки задаются сразу для всей сети в режиме multisite — только в платных версиях;
  • возможность использования двухфакторной аутентификации можно предоставить одной или нескольким ролям — только в платных версиях;
  • для группы «Администраторы» можно принудительно включить двухфакторную аутентификацию — неизвестно;
  • при принудительном включении можно задать graceful период и отправить уведомления — неизвестно;
  • принудительное включение для определенного пользователя — неизвестно;
  • присутствует опция включения доверия к устройству на X дней — только в платных версии;
  • можно задать белый список IP-адресов, для которых не будет применяться двухфакторная аутентификация — только в платных версиях;
  • двухфакторная аутентификация для XMLRPC включается отдельно — неизвестно;
  • в окне настройки можно включить ReCaptcha и настроить порог её срабатывания — это хорошо;
  • ReCaptcha можно запустить в тестовом режиме (без блокирования пользователей) — неизвестно;
  • при подключении Google Authenticator предлагается скачать коды восстановления — только в платных версиях.
Что такое клоака Гугл

Two Factor Authentication

image

  • применение двухфакторной аутентификации к определенной роли сайта (можно включить для администраторов, но не включать для подписчиков);
  • возможность отключения пользователем;
  • поддержка мультисайтов.
  • возможность принудительного включения двухфакторной аутентификации через некоторое время после создания учетной записи (например, для всех администраторских учетных записей старше недели);
  • владельцы сайта могут указывать доверенные устройста, для которых запрос дополнительной аутентификации будет выполняться один раз в несколько дней, а не при каждом входе в систему;
  • поддержка сторонних форм входа в систему;
  • применение аварийных кодов при утере устройства.
  • настройки задаются сразу для всей сети в режиме multisite — это очень хорошо;
  • возможность использования двухфакторной аутентификации можно предоставить одной или нескольким ролям — это очень хорошо;
  • для группы «Администраторы» можно принудительно включить двухфакторную аутентификацию — только в Premium версии;
  • при принудительном включении можно задать graceful период и отправить уведомления — это очень хорошо;
  • принудительное включение для определенного пользователя — неизвестно;
  • присутствует опция включения доверия к устройству на 30 дней — только в Premium версии;
  • можно задать белый список IP-адресов, для которых не будет применяться двухфакторная аутентификация — возможность отсутствует;
  • двухфакторная аутентификация для XMLRPC включается отдельно — это хорошо;
  • в окне настройки можно включить Captcha и настроить порог ее срабатывания — возможность отсутствует;
  • Captcha можно запустить в тестовом режиме (без блокирования пользователей) — возможность отсутствует;
  • при подключении Google Authenticator предлагается скачать коды восстановления — только в Premium версии.

Two-Factor

image

  • использование email для отправки кодов двухфакторной аутентификации;
  • резервные коды;
  • Dummy метод для целей тестирования.
  • не нашел настроек для сети или сайта, все найденные настройки располагались только в профиле пользователя — это плохо;
  • существующий тестовый пользователь после установки и активации плагина в систему войти не смог из-за неопознанной ошибки, потребовалось отключение и повторное включение плагина — это тоже как-то не очень;
  • интересная функция — использование email в качестве средства дополнительной аутентификации, однако, ввиду того, что для этого используется тот же самый email, на который регистрировался пользователь, практическая значимость ее довольно сильно снижается;
  • администратор может принудительно включить функцию двухфакторной аутентификации для конкретного пользователя, но не может включить то же самое для групп пользователей.

Wordfence Login Security

image

Wordfence Login Security является обособленной частью комплексного плагина Wordfence Security.

  • двухфакторная аутентификация с использованием Google Authenticator, Authy, 1Password, FreeOTP;
  • включение OTP для любой роли сайта;
  • отсутствие ограничений любого рода;
  • добавление Google Recaptha v3 для страниц входа и регистрации;
  • защита от ботов;
  • защита от перебора паролей и перехвата учетных данных путем блокирования по большим IP пулам;
  • защита XMLRPC двухфакторной аутентификацией или отключение этого функционала вовсе.
  • настройки задаются сразу для всей сети в режиме multisite — это очень хорошо;
  • возможность использования двухфакторной аутентификации можно предоставить одной или нескольким ролям — это очень хорошо;
  • для группы «Администраторы» можно принудительно включить двухфакторную аутентификацию — это хорошо (если бы разрешили так делать для каждой группы пользователей, было бы очень хорошо);
  • при принудительном включении можно задать graceful период и отправить уведомления — это очень хорошо;
  • принудительное включение для определенного пользователя — отсутствует (по крайней мере, в бесплатной версии);
  • присутствует опция включения доверия к устройству на 30 дней — это хорошо;
  • можно задать белый список IP-адресов, для которых не будет применяться двухфакторная аутентификация — это очень хорошо (облегчит нам проведение автоматизированного тестирования безопасности);
  • двухфакторная аутентификация для XMLRPC включается отдельно — это хорошо;
  • в окне настройки можно включить ReCaptcha и настроить её порог — это хорошо;
  • ReCaptcha можно запустить в тестовом режиме (без блокирования пользователей) — это хорошо;
  • при подключении Google Authenticator предлагается скачать коды восстановления — это хорошо.
Google фид что это

Выводы

Для личного блога или небольшого single-сайта, в котором будет один или несколько пользователей, вполне может подойти плагин Two-Factor от Plugin Contributors. Это минималистичное решение, которое позволит получить главный функционал без рекламы и назойливых просьб заплатить за ту или иную плюшку.

Для режима multisite и удовлетворения желаний потюнить аутентификацию, а также не платить за это денег, лучшим выбором, по моему мнению, будет плагин Wordfence Login Security.

Для того же режима multisite при желании потюнить аутентификацию и готовности оплатить требуемый функционал, вполне может подойти плагин Two Factor Authentication.

Давать же какие-либо рекомендации относительно Google Authenticator от miniOrange рука не поднимается, потому что протестировать функционал конкретно двухфакторной аутентификации и управление этим функционалом в бесплатной версии не получилось, а отношение к подобного рода комбайнам у меня всегда очень осторожное.

  • Информационная безопасность
  • WordPress

Источник: habr.com

5 способов двухфакторной аутентификации, их преимущества и недостатки

Об использовании двухфакторной аутентификации для надёжной защиты своих данных в Сети сегодня задумываются всё больше и больше людей. Многих останавливает сложность и непонятность технологии, что немудрено, ведь существует несколько вариантов её реализации. Мы рассмотрим их все, разобрав преимущества и недостатки каждого.

Автор Лайфхакера, инженер-механик

В основе двухфакторной аутентификации лежит использование не только традиционной связки «логин-пароль», но и дополнительного уровня защиты — так называемого второго фактора, обладание которым нужно подтвердить для получения доступа к учётной записи или другим данным.

Простейший пример двухфакторной аутентификации, с которым постоянно сталкивается каждый из нас, — это снятие наличных через банкомат. Чтобы получить деньги, нужна карта, которая есть только у вас, и PIN-код, который знаете только вы. Заполучив вашу карту, злоумышленник не сможет снять наличность не зная PIN-кода и точно так же не сможет получить деньги зная его, но не имея карты.

По такому же принципу двухфакторной аутентификации осуществляется доступ к вашим аккаунтам в соцсетях, к почте и другим сервисам. Первым фактором является комбинация логина и пароля, а в роли второго могут выступать следующие 5 вещей.

SMS-коды

Подтверждение с помощью SMS-кодов работает очень просто. Вы, как обычно, вводите свой логин и пароль, после чего на ваш номер телефона приходит SMS с кодом, который нужно ввести для входа в аккаунт. Это всё. При следующем входе отправляется уже другой SMS-код, действительный лишь для текущей сессии.

  • Генерация новых кодов при каждом входе. Если злоумышленники перехватят ваш логин и пароль, они ничего не смогут сделать без кода.
  • Привязка к телефонному номеру. Без вашего телефона вход невозможен.
  • При отсутствии сигнала сотовой сети вы не сможете залогиниться.
  • Существует теоретическая вероятность подмены номера через услугу оператора или работников салонов связи.
  • Если вы авторизуетесь и получаете коды на одном и том же устройстве (например, смартфоне), то защита перестаёт быть двухфакторной.

Приложения-аутентификаторы

Этот вариант во многом похож на предыдущий, с тем лишь отличием, что, вместо получения кодов по SMS, они генерируются на устройстве с помощью специального приложения (Google Authenticator, Authy). Во время настройки вы получаете первичный ключ (чаще всего — в виде QR-кода), на основе которого с помощью криптографических алгоритмов генерируются одноразовые пароли со сроком действия от 30 до 60 секунд. Даже если предположить, что злоумышленники смогут перехватить 10, 100 или даже 1 000 паролей, предугадать с их помощью, каким будет следующий пароль, просто невозможно.

  • Для аутентификатора не нужен сигнал сотовой сети, достаточно подключения к интернету при первичной настройке.
  • Поддержка нескольких аккаунтов в одном аутентификаторе.
  • Если злоумышленники получат доступ к первичному ключу на вашем устройстве или путём взлома сервера, они смогут генерировать будущие пароли.
  • При использовании аутентификатора на том же устройстве, с которого осуществляется вход, теряется двухфакторность.
Как сбросить аккаунт Гугл на телефоне леново

Проверка входа с помощью мобильных приложений

Данный тип аутентификации можно назвать сборной солянкой из всех предыдущих. В этом случае, вместо запроса кодов или одноразовых паролей, вы должны подтвердить вход с вашего мобильного устройства с установленным приложением сервиса. На устройстве хранится приватный ключ, который проверяется при каждом входе. Это работает в Twitter, Snapchat и различных онлайн-играх. Например, при входе в ваш Twitter-аккаунт в веб-версии вы вводите логин и пароль, потом на смартфон приходит уведомление с запросом о входе, после подтверждения которого в браузере открывается ваша лента.

  • Не нужно ничего вводить при входе.
  • Независимость от сотовой сети.
  • Поддержка нескольких аккаунтов в одном приложении.
  • Если злоумышленники перехватят приватный ключ, они смогут выдавать себя за вас.
  • Смысл двухфакторной аутентификации теряется при использовании одного и того же устройства для входа.

Аппаратные токены

Физические (или аппаратные) токены являются самым надёжным способом двухфакторной аутентификации. Будучи отдельными устройствами, аппаратные токены, в отличие от всех перечисленных выше способов, ни при каком раскладе не утратят своей двухфакторной составляющей. Чаще всего они представлены в виде USB-брелоков с собственным процессором, генерирующим криптографические ключи, которые автоматически вводятся при подключении к компьютеру. Выбор ключа зависит от конкретного сервиса. Google, например, рекомендует использовать токены стандарта FIDO U2F, цены на которые начинаются от 6 долларов без учёта доставки.

  • Никаких SMS и приложений.
  • Нет необходимости в мобильном устройстве.
  • Является полностью независимым девайсом.
  • Нужно покупать отдельно.
  • Поддерживается не во всех сервисах.
  • При использовании нескольких аккаунтов придётся носить целую связку токенов.

Резервные ключи

По сути, это не отдельный способ, а запасной вариант на случай утери или кражи смартфона, на который приходят одноразовые пароли или коды подтверждения. При настройке двухфакторной аутентификации в каждом сервисе вам дают несколько резервных ключей для использования в экстренных ситуациях. С их помощью можно войти в ваш аккаунт, отвязать настроенные устройства и добавить новые. Эти ключи стоит хранить в надёжном месте, а не в виде скриншота на смартфоне или текстового файла на компьютере.

Как видите, в использовании двухфакторной аутентификации есть некоторые нюансы, но сложными они кажутся лишь на первый взгляд. Каким должно быть идеальное соотношение защиты и удобства, каждый решает для себя сам. Но в любом случае все заморочки оправдываются с лихвой, когда дело заходит о безопасности платёжных данных или личной информации, не предназначенной для чужих глаз.

Где можно и нужно включить двухфакторную аутентификацию, а также о том, какие сервисы её поддерживают, можно прочесть здесь.

Источник: lifehacker.ru

Рейтинг
Загрузка ...