视频: What is Twilio? (十月 2024)
密码是保护在线帐户的一种糟糕方法,因为即使您位于半个世界之外,任何知道您密码的人都拥有该帐户。 密码管理器使您可以使用难以记住的密码,但是在数据泄露中,密码是“ *”还是“密码”都没有关系。 通过使用两因素身份验证方案,您可以极大地增强安全性,而Twilio的Authy使两因素身份验证比以往更加容易。
专家将身份验证因素分为三种类型:您知道的一些信息(例如密码),您拥有的一些东西(物理对象)和您所拥有的某种东西(指纹或其他生物特征)。 Authy会将您的智能手机与密码一起变成登录所需的物理令牌。 窃取或猜测您的密码的黑客将被需要该令牌的身份验证步骤所挫败。
这个怎么运作
2011年,互联网工程任务组发布了基于时间的一次性密码(TOTP)的标准。 这个概念很简单。 当用户向安全网站注册支持TOTP的设备时,将创建一个唯一的共享密钥。 通过处理该密钥以及当前时间,设备和服务器都可以生成基于时间的一次性密码。 按照惯例,每个TOTP都可以使用30秒。 您使用常规密码登录,然后从设备输入当前的一次性密码,然后您就可以登录。一个以某种方式从一次性以太网中剔除一次性密码的恶意分子会在30秒内发现它无用。
Authy和Google Authenticator都基于TOTP构建,实际上,您可以在任何支持Google Authenticator的网站上使用Authy。 您为什么要切换到Authy? 原因很多。 稍后再详细介绍。
Authy入门
设置Authy以将智能手机用作令牌非常简单。 您将Authy应用程序安装在电话上,为其提供电话号码,然后单击验证链接或输入验证码。 而已; Authy已可以使用。 开始使用我的Apple iPhone 6几乎不需要花时间。
设置两因素身份验证的确切技术因站点而异。 但是,对于大多数网站,您将按照提示进行操作,直到您有机会选择Google Authenticator。 此时,该站点将显示QR码。 使用Authy和bam捕捉QR码! 您已经进行了两步验证。 深入研究该应用程序,我发现它直接支持至少两个受欢迎的网站,其中包括Gmail,Facebook,Outlook,Lastpass,Evernote和WordPress。 超过10, 000个大小不一的其他网站和应用程序直接使用Authy进行身份验证,而没有与Google Authenticator的连接。
您注册的网站显示在应用程序窗口的底部。 轻按一个,将显示该站点的当前身份验证代码,以及一个倒数计时器,该倒数计时器显示该代码的30秒生命周期中还有多少剩余时间。 它在Android和iOS上的工作原理几乎相同,尽管我观察到iOS版本显示一个带有进度条的圆形进度条,倒数第二秒,而Android版本仅使用一个简单的进度条。
当然,如果有精打细算技巧的黑客设法同时获得您的密码 和 身份验证智能手机,那么您可能会遇到麻烦。 与oneID使用严格的基于设备的安全性一样,您需要彻底保护设备。 使用强密码或生物身份验证,然后打开Authy的PIN保护(iPhone用户可以升级到Touch ID身份验证)。
LastPass 3.0和LastPass 3.0 Premium均支持Google Authenticator。 这意味着您可以使用Authy保护您的LastPass帐户,然后继续使用Authy对其他安全站点进行两因素身份验证。 您可以对Dashlane 3做同样的事情。
多设备功能
您需要智能手机才能开始使用Authy,但是一旦完成该任务,您就可以在其他智能手机,平板电脑或台式机上安装Authy,并在设备之间同步数据。 Authy支持iOS,Android和BlackBerry移动设备,以及Windows,Mac OS和Linux。 甚至还有适用于Apple Watch的Authy应用程序; 只需看一下手腕即可获得验证码。
通过安装Authy桌面应用和Chrome扩展程序,您可以完全绕过智能手机。 桌面应用程序会提示您创建一个主密码,但不需要该主密码(我认为是疏忽大意)。 请注意,主密码是特定于设备的,因此可以想象,如果您在多个桌面上安装,则可以创建多个主密码。 设置了主密码后,该应用要求您定期重新输入该密码。 使用Chrome扩展程序,您可以获取任何已注册网站的当前代码,将其复制到剪贴板中并粘贴到其中,而无需拿出手机。
是的,这肯定会破坏两因素身份验证的定义。 可以想象有人可以访问您的台式计算机,因为台式计算机成为“您拥有的东西”因素。 如果选择使用Authy桌面应用程序,则绝对必须使用强主密码来保护它。 此外,您应该在桌面上用密码保护您的用户帐户,并在每次离开时锁定该帐户。
Chrome扩展还有另一个好处,我没有立即注意到。 如果单击以查看网站的当前代码,但该网站未打开,则会收到网络钓鱼警告。 方便!
在另一部智能手机或平板电脑上启用Authy很简单。 在新设备上,您输入智能手机的电话号码,然后响应该智能手机上显示的访问提示。 就像这样,在新设备上启用了Authy。
丢失了设备? 您可以使用Authy应用从同步过程中删除该设备。 不过请注意,对于使用Google TOTP实施的网站,令牌将继续为已经注册的网站提供代码。 谨慎的用户将在这些站点上禁用并重新启用两因素身份验证。
如果您已注册了所需的所有设备,则可以将Authy设置为停止接受更多设备。 还有一个选项可以将安全密钥的加密备份保存到云中。
我注意到Authy iOS应用程序中有一个蓝牙选项。 我启用了它,但是找不到使其与PC交互的任何方法。 事实证明,此功能是Mac专用的,即使在Mac上,蓝牙实现方面的最新更改也存在问题。
为什么选择Authy?
前面提到,您可以在任何支持Google Authenticator的网站上使用Authy。 但是你为什么要打扰? 好吧,Authy在许多方面都更好。
当您设置要通过Google Authenticator进行身份验证的帐户时,您在移动设备上对该帐户的访问权限将被切断。 您必须输入冗长的全小写“应用程序密码”,才能重新启用对每个设备上每个应用程序的访问。 Authy用户只需在设备上安装Authy,就无需进行此烦人的过程。
如果您购买了新手机,则可以轻松转移所有Authy注册。 使用Google Authenticator,您必须为每个站点重新进行注册过程。 Google身份验证器无法提供任何方式来撤消丢失或被盗手机的访问权限。
如果客户端和服务器未按时间同步,则基于时间的密码的整个概念将失效。 即使您的设备没有网络访问权限,Authy也能保持同步,这一点比Google Authenticator更重要。 但是,我没有找到一种测试方法。
还有少量但不断增长的网站集合支持Authy,但不支持Google身份验证器。 我的Authy联系人报告说,Coinbase,Cloudflare和HumbleBundler属于这些仅Authy的网站。
轻而易举
两要素身份验证确实是对保护敏感网站的绝佳安全性增强,但是用户通常为了方便而进行安全性交易。 当您将安全网站转换为使用两个因素时,Authy入门将需要您的初步努力。 之后,它非常易于使用,并且比Google Authenticator有了明显的优势。 如果您真的想确保自己的在线登录安全,请考虑将Authy与LastPass 3.0或Dashlane 3配对,它们都是“编辑选择”密码管理器。 Authy本身很可能会因两因素验证而获得编辑选择奖。 我们只是没有足够的评论类似产品来确定。
