Video: Twilio Verify: The best phone verification solution (Tháng Chín 2024)
Mật khẩu là một cách khủng khiếp để bảo vệ tài khoản trực tuyến, bởi vì bất kỳ ai biết mật khẩu của bạn đều sở hữu tài khoản, ngay cả khi họ ở cách xa nửa thế giới. Trình quản lý mật khẩu cho phép bạn sử dụng các mật khẩu khó nhớ, nhưng trong trường hợp vi phạm dữ liệu, việc mật khẩu của bạn là "*" hay "mật khẩu" không thành vấn đề. Bạn có thể tăng cường bảo mật của mình bằng cách sử dụng sơ đồ xác thực hai yếu tố và Autil của Twilio giúp xác thực hai yếu tố dễ dàng hơn bao giờ hết.
Các chuyên gia chia các yếu tố xác thực thành ba loại: thứ bạn biết (ví dụ mật khẩu), thứ bạn có (đối tượng vật lý) và thứ bạn là (dấu vân tay hoặc đặc điểm sinh trắc học khác). Authy biến điện thoại thông minh của bạn thành mã thông báo vật lý cần thiết để đăng nhập, cùng với mật khẩu. Một hacker đánh cắp hoặc đoán mật khẩu của bạn sẽ bị chặn bởi bước xác thực yêu cầu mã thông báo đó.
Làm thế nào nó hoạt động
Năm 2011, Lực lượng đặc nhiệm Kỹ thuật Internet đã phát hành một tiêu chuẩn cho Mật khẩu một lần dựa trên thời gian (TOTP). Khái niệm này là đủ đơn giản. Khi người dùng đăng ký thiết bị hỗ trợ TOTP với một trang web an toàn, một khóa chia sẻ duy nhất sẽ được tạo. Cả thiết bị và máy chủ đều có thể tạo mật khẩu một lần dựa trên thời gian bằng cách xử lý khóa đó cùng với thời gian hiện tại. Theo quy ước, mỗi TOTP có hiệu lực trong 30 giây. Bạn đăng nhập bằng mật khẩu thông thường, sau đó nhập mật khẩu một lần hiện tại từ thiết bị của bạn và bạn đang ở trong đó. Một kẻ lừa đảo bằng cách nào đó rút mật khẩu một lần ra khỏi ether sẽ thấy nó vô dụng trong vòng 30 giây.
Cả Authy và Google Authenticator đều xây dựng trên TOTP và trên thực tế, bạn có thể sử dụng Authy trên bất kỳ trang web nào hỗ trợ Google Authenticator. Tại sao bạn lại chuyển sang Authy? Có khá nhiều lý do; Tôi sẽ đi vào chi tiết sau.
Bắt đầu với Authy
Thiết lập Authy để sử dụng điện thoại thông minh của bạn làm mã thông báo rất đơn giản. Bạn cài đặt ứng dụng Authy trên điện thoại, cung cấp cho nó số điện thoại của bạn và nhấp vào liên kết xác minh hoặc nhập mã xác minh. Đó là nó; Authy đã sẵn sàng để sử dụng. Bắt đầu với Apple iPhone 6 của tôi gần như không mất thời gian.
Kỹ thuật chính xác để thiết lập xác thực hai yếu tố khác nhau tùy theo từng trang web. Tuy nhiên, đối với hầu hết các trang web, bạn sẽ làm theo lời nhắc cho đến khi bạn có cơ hội chọn Google Authenticator. Tại thời điểm đó, trang web hiển thị mã QR. Chụp mã QR bằng Authy và bam! Bạn đã có xác thực hai yếu tố. Đi sâu vào ứng dụng, tôi thấy rằng nó hỗ trợ trực tiếp ít nhất hai chục trang web phổ biến, trong đó có Gmail, Facebook, Outlook, Lastpass, Evernote và WordPress. Hơn 10.000 trang web và ứng dụng khác, lớn và nhỏ, sử dụng Authy trực tiếp để xác thực, không có kết nối với Google Authenticator.
Các trang web đã đăng ký của bạn xuất hiện ở phía dưới cửa sổ của ứng dụng. Khai thác một cái sẽ hiển thị mã xác thực hiện tại cho trang web đó, cùng với đồng hồ đếm ngược cho thấy thời gian tồn tại trong 30 giây của mã. Nó hoạt động tương tự trên Android và iOS, mặc dù tôi đã quan sát thấy rằng phiên bản iOS hiển thị thanh tiến trình tròn với nhãn đếm ngược giây trong khi phiên bản Android chỉ sử dụng thanh tiến trình đơn giản.
Tất nhiên, nếu một hacker có kỹ năng chọn túi bỏ túi quản lý để lấy cả mật khẩu và điện thoại thông minh xác thực của bạn, bạn có thể gặp rắc rối. Cũng như bảo mật nghiêm ngặt dựa trên thiết bị được OneID sử dụng, bạn cần bảo mật thiết bị của mình một cách triệt để. Sử dụng mật mã mạnh hoặc xác thực sinh trắc học và bật bảo vệ mã PIN của Authy (người dùng iPhone có thể nâng cấp lên xác thực Touch ID).
Cả LastPass 3.0 và LastPass 3.0 Premium đều hỗ trợ Google Authenticator. Điều đó có nghĩa là bạn có thể bảo vệ tài khoản LastPass của mình bằng Authy, sau đó tiếp tục sử dụng Authy để xác thực hai yếu tố của các trang web bảo mật khác của bạn. Bạn có thể làm tương tự với Dashlane 3.
Tính năng đa thiết bị
Bạn cần một điện thoại thông minh để bắt đầu với Authy, nhưng sau khi hoàn thành nhiệm vụ đó, bạn có thể cài đặt Authy trên điện thoại thông minh, máy tính bảng hoặc máy tính để bàn khác và đồng bộ hóa dữ liệu giữa các thiết bị. Authy hỗ trợ các thiết bị di động iOS, Android và BlackBerry, cũng như Windows, Mac OS và Linux. Thậm chí còn có một ứng dụng Authy cho Apple Watch; chỉ cần liếc vào cổ tay của bạn để tìm mã xác thực.
Bằng cách cài đặt ứng dụng Authy trên máy tính để bàn và tiện ích mở rộng Chrome, bạn có thể bỏ qua điện thoại thông minh hoàn toàn. Ứng dụng máy tính để bàn nhắc bạn tạo mật khẩu chính, nhưng theo tôi, không cần phải có mật khẩu (giám sát). Lưu ý rằng mật khẩu chính là dành riêng cho thiết bị, vì vậy nếu bạn cài đặt trên nhiều máy tính để bàn, bạn có thể hình dung được nhiều mật khẩu chính. Khi mật khẩu chính được đặt, ứng dụng yêu cầu bạn nhập lại theo định kỳ. Sử dụng tiện ích mở rộng của Chrome, bạn có thể lấy mã hiện tại cho bất kỳ trang web nào đã đăng ký của mình, sao chép nó vào bảng tạm và dán nó vào mà không cần phải lấy điện thoại ra.
Vâng, điều này chắc chắn bị sứt mẻ theo định nghĩa của xác thực hai yếu tố. Ai đó có quyền truy cập vào máy tính để bàn của bạn có thể hiểu được, vì máy tính để bàn trở thành yếu tố "thứ bạn có". Nếu bạn chọn sử dụng ứng dụng Authy trên máy tính để bàn, bạn nhất định phải bảo vệ nó bằng mật khẩu chính mạnh. Ngoài ra, bạn nên bảo vệ mật khẩu tài khoản người dùng của mình trên máy tính để bàn và khóa tài khoản bất cứ khi nào bạn rời đi.
Có một lợi ích khác cho tiện ích mở rộng Chrome mà tôi không nhận thấy ngay lập tức. Nếu bạn nhấp để xem mã hiện tại cho một trang web và trang đó không mở, bạn sẽ nhận được cảnh báo lừa đảo. Thật tiện dụng!
Kích hoạt Authy trên điện thoại thông minh hoặc máy tính bảng khác chỉ trong tích tắc. Trên thiết bị mới, bạn nhập số điện thoại của điện thoại thông minh và trả lời lời nhắc truy cập xuất hiện trên điện thoại thông minh đó. Cứ như vậy, Authy được kích hoạt trên thiết bị mới.
Mất một thiết bị? Bạn có thể sử dụng ứng dụng Authy để xóa thiết bị đó khỏi quy trình đồng bộ hóa. Tuy nhiên, xin lưu ý rằng đối với các trang web sử dụng TOTP của Google, mã thông báo sẽ tiếp tục cung cấp mã cho các trang web đã đăng ký. Người dùng thận trọng sẽ vô hiệu hóa và kích hoạt lại xác thực hai yếu tố trên các trang web này.
Nếu bạn đã đăng ký tất cả các thiết bị bạn muốn, bạn có thể đặt Authy ngừng chấp nhận nhiều thiết bị hơn. Ngoài ra còn có một tùy chọn để lưu bản sao lưu được mã hóa của các khóa bảo mật của bạn vào đám mây.
Tôi nhận thấy một tùy chọn Bluetooth trong ứng dụng Authy iOS. Tôi đã kích hoạt nó, nhưng không thể tìm thấy bất kỳ cách nào để làm cho nó tương tác với PC của tôi. Hóa ra tính năng này là dành riêng cho Mac và ngay cả trên Mac cũng gặp sự cố với một số thay đổi gần đây trong triển khai Bluetooth.
Tại sao Authy?
Tôi đã đề cập trước đó rằng bạn có thể sử dụng Authy trên bất kỳ trang web nào hỗ trợ Google Authenticator. Nhưng tại sao bạn lại bận tâm? Chà, Authy chỉ tốt hơn trong một số cách.
Khi bạn thiết lập tài khoản để xác thực qua Google Authenticator, quyền truy cập của bạn vào tài khoản đó trên thiết bị di động sẽ bị cắt. Bạn phải nhập "mật khẩu ứng dụng" chữ thường dài để kích hoạt lại quyền truy cập cho từng ứng dụng trên mỗi thiết bị. Người dùng Authy có thể chỉ cần cài đặt Authy trên thiết bị, không cần quá trình gây phiền nhiễu này.
Nếu bạn nhận được một điện thoại mới, bạn có thể dễ dàng chuyển qua tất cả các đăng ký Authy của bạn. Với Google Authenticator, bạn sẽ phải thực hiện lại quy trình đăng ký cho mọi trang web. Và Google Authenticator không cung cấp bất kỳ cách nào để thu hồi quyền truy cập cho điện thoại bị mất hoặc bị đánh cắp.
Toàn bộ khái niệm về mật khẩu dựa trên thời gian bị phá vỡ nếu máy khách và máy chủ không được đồng bộ hóa theo thời gian. Authy có tiếng là đồng bộ hóa ngay cả khi thiết bị của bạn không có quyền truy cập mạng, hơn cả Google Authenticator. Tuy nhiên, tôi đã không tìm ra cách để kiểm tra điều này.
Ngoài ra còn có một bộ sưu tập nhỏ nhưng đang phát triển hỗ trợ Authy nhưng không phải Google xác thực. Liên hệ Authy của tôi đã báo cáo rằng Coinbase, Cloudflare và HumbleBundler nằm trong số các trang web chỉ dành cho Authy này.
Dễ dàng thực hiện nó
Xác thực hai yếu tố thực sự là một cải tiến bảo mật tuyệt vời để bảo mật các trang web nhạy cảm, nhưng người dùng thường giao dịch bảo mật để thuận tiện. Bắt đầu với Authy cần một nỗ lực ban đầu khi bạn chuyển đổi các trang web an toàn của mình sang sử dụng hai yếu tố. Sau đó, nó rất dễ sử dụng và cắt giảm rõ ràng trên Google Authenticator. Nếu bạn nghiêm túc về việc bảo mật thông tin đăng nhập trực tuyến của mình, hãy xem xét ghép nối Authy với LastPass 3.0 hoặc Dashlane 3, cả hai đều là trình quản lý mật khẩu Lựa chọn của Biên tập viên. Bản thân Authy cũng có thể xứng đáng với danh dự Lựa chọn của Biên tập viên cho xác thực hai yếu tố; chúng tôi chỉ đơn giản là chưa xem xét đủ các sản phẩm tương tự để đảm bảo.
