Автор: Содержание:
Для обеспечения кибербезопасности одного уровня защиты недостаточно. Сложный пароль, особенно созданный с помощью менеджера паролей, неплохо защищает ваши данные, однако гарантии, что его не взломают, нет. Двухфакторная аутентификация позволяет усилить защиту от виртуальных угроз и обеспечить дополнительный уровень безопасности.
Двухфакторная аутентификация, известная также как двухступенчатая или двухэтапная аутентификация (верификация) или просто 2FA, требует для входа в интернет-аккаунт сразу двух факторов, которые можно условно обозначить как знаю и имею. Фактор знаю подразумевает знание пароля от учетной записи, а фактор имею предполагает наличие у вас телефона (или ПК). Это и осложняет миссию хакеров.
Хотя второй уровень безопасности не обеспечивает стопроцентную защиту ваших данных, он все же существенно ее повышает. Если кто-то узнает пароль от вашего интернет-аккаунта, он не сможет в него войти без временного кода-пароля, высланного на ваш телефон. Двухфакторную аутентификацию поддерживают большинство популярных ресурсов. Совместимость того или иного сайта с данной функцией можно проверить здесь: Two Factor Auth.
Впрочем, процедура двухфакторной аутентификации на разных ресурсах может отличаться. Некоторые сайты высылают код доступа только через SMS или email. Однако код, высланный таким способом, можно удаленно перехватить. Поэтому лучшим вариантом является программный токен безопасности, который поддерживают все приложения из нашего списка.
Сравнительная таблица
Основные параметры для сравнения
- Режим оффлайн: Возможность создавать 2FA-код без подключения к интернету.
- Открытый исходный код: Исходный код приложения находится в открытом доступе. Хотя это дает определенные преимущества, ни одно из представленных ниже приложений не имеет открытого исходного кода (но некоторые позволяют использовать технологии с открытым кодом).
- Зашифрованные резервные копии: Резервные копии базы данных токенов создаются и шифруются отдельно от остальной информации на вашем устройстве. Это значит, что, если вы купите новый телефон, то сможете легко перенести на него имеющиеся коды аутентификации — вам не придется регистрировать новое устройство во всех ваших аккаунтах.
- Десктопная версия: При наличии десктопной версии вам не потребуется смартфон, чтобы входить в свои интернет-аккаунты. Специальное приложение в этом плане лучше, чем просто расширение, привязанное к конкретному интернет-браузеру.
- Совместимость со смарт-часами: Поддержка операционных систем смарт-часов Wear OS (Android) и (или) watchOS (iOS) позволяет использовать коды аутентификации, не доставая смартфон.
- Защита паролем: Аутентификация пользователей тем или иным способом. Приложения Authy и LastPass поддерживают аутентификацию посредством PIN-кода, сканера отпечатка пальца, Touch ID или Face ID (в зависимости от модели iPhone).
- Синхронизация с другими устройствами: Способность синхронизировать базу данных токенов между несколькими устройствами. Аккаунт, добавленный или удаленный на одном устройстве, будет также добавлен или удален на других устройствах.
- Настройка времени действия одноразового пароля: Короткий срок действия пароля менее удобен, зато он осложняет задачу хакерам. Обычно по умолчанию время действия одноразового пароля составляет 15-30 секунд. Функция настройки времени присутствует у LastPass. Время выставляется вручную.
- Настройка длины одноразового пароля: Чем длиннее одноразовый пароль, тем его, разумеется, сложнее взломать. Функция настройки длины одноразового пароля есть у двух приложений из нашего списка. И там, и там настройка осуществляется вручную.
- Push-уведомления: Push-уведомления позволяют обмениваться токенами в неявном виде. Никаких чисел вводить не требуется: все, что нужно, — это принять или отклонить запрос. Однако данную функцию поддерживают не все сайты.
- Уведомления безопасности: Способность посылать оповещения о внесенных в аккаунт изменениях, например, о смене пароля для входа. Данную функцию недавно приобрел Microsoft Authenticator.
Критерии отбора
Отбирая приложения для нашего списка из App Store and Google Play, мы руководствовались определенными критериями. Как видно из названия статьи, мы рассматривали только 2FA-приложения, работающие и под Android, и под iOS, — ведь совместимость с обеими операционными системами означает, что программой может пользоваться большее количество человек.
В связи с этим в наш список, к сожалению, не попали некоторые отличные приложения, в том числе и andOTP с открытым исходным кодом, доступный только на Android.
Вторым критерием отбора приложений стала постоянная поддержка разработчиком. Это обеспечивает своевременное устранение ошибок и уязвимостей, а также оперативный выход обновлений по мере появления в мобильных операционных системах новых функций типа API автозаполнения (Autofill API) на Android 8.0 Oreo и API менеджера паролей (Password Manager API) на iOS 12. Мы исключили все приложения, которые ни разу не обновлялись на протяжении как минимум года. Например, в наш список не попало приложение FreeOTP, последнее обновление которого для Android состоялось в 2016 году, а для iOS — в 2014.
Несмотря на то, что на рынке существуют замечательные платные 2FA-приложения, мы отдавали себе отчет, что большинство пользователей предпочтут пользоваться бесплатными программами, среди которых также немало достойных вариантов. Поэтому в наш список вошли исключительно бесплатные 2FA-приложения. Это хорошо и тем, что при выборе вам не придется учитывать аспект цены.
Все ниженазванные приложения поддерживают TOTP — наиболее популярный алгоритм создания одноразовых паролей для двухфакторной аутентификации. Вы можете быть уверены, что приложения из нашего списка будут работать на любых ресурсах, поддерживающих двухфакторную аутентификацию с помощью программного токена.
Приложение 1. Authy
Приложение Authy позволяет без проблем переносить базу данных токенов с одного устройства на другое. Это особенно оценят те, кто ранее столкнулся с отсутствием такой возможности у Google Authenticator. В случае с последним единственным решением в такой ситуации является повторное прохождение процедуры двухфакторной аутентификации для всех аккаунтов. А это, согласитесь, неудобно. Проделав такую процедуру раз-другой, невольно задумаешься об альтернативных решениях. И тут весьма кстати придется Authy.
Authy создает зашифрованные резервные копии данных и все, что вам потребуется для синхронизации токенов с новым устройством — это открыть на нем Authy и ввести свой номер телефона. Далее вам предложат подтвердить свое намерение посредством SMS-сообщения, телефонного звонка, email или устройства с уже установленным Authy. Последний вариант наиболее безопасен, так что рекомендуем использовать именно его. На экране старого устройства появится уведомление. Вам нужно будет ввести определенную фразу и токены будут перенесены на новое устройство.
Поскольку Authy шифрует резервные копии, вам потребуется пароль для расшифровки. Без него вы сможете только видеть сайт, для входа на который нужен токен, но не сам токен. Кроме того, вы можете определять, какие устройства будут иметь доступ к токену.
Для максимальной безопасности после настройки нового телефона синхронизацию между устройствами можно отключить. Тогда, даже если злоумышленник предпримет попытку взломать ваш аккаунт каким-либо способом, получить токен ему не удастся. При этом сами вы сможете входить в свой аккаунт с любого из ранее подключенных устройств.
Как бы хорошо 2FA-приложения ни улучшали защиту аккаунтов, вредоносное ПО может свести эту защиту на нет. Поэтому Authy защищает также от фишинга, вирусов, брутфорсинга и атак «человек посередине».
Единственный выявленный нами существенный недостаток Authy — это обозначение устройств, между которыми осуществляется синхронизация. Смартфоны Android обозначаются просто «Android» без указания конкретных идентификационных характеристик. При этом «айфоны» и ноутбуки получают полные имена.
Authy, несомненно, является одним из лучших приложений для двухфакторной аутентификации, работающих на Android и iOS. Интерфейс программы понятен, перенос токенов осуществляется безопасно. Для удобства навигации вид главной страницы можно менять. В общем, едва ли вам удастся найти более достойную альтернативу.
Приложение 2. LastPass Authenticator
По своему функционалу LastPass Authenticator очень схож с Authy. Он также создает зашифрованные резервные копии, а также осуществляет синхронизацию с другими устройствами и поддержку push-уведомлений. Единственное, в чем LastPass Authenticator уступает Authy, — это отсутствие совместимости со смарт-часами и ПК. Возможно, для многих это не является проблемой, но все же Authy в этом плане выигрывает.
Как уже было сказано, LastPass, как и Authy, поддерживает шифрование резервных копий. Правда при этом требуется наличие аккаунта LastPass, основной «специализацией» которого является хранение интернет-паролей. Вроде бы, ничего страшного в этом нет, но сам факт того, что вас вынуждают пользоваться данным менеджером паролей, немного напрягает.
А вот что на самом деле удручает, так это то, что аутентификатор и менеджер паролей функционируют отдельно друг от друга и зайти в одно приложение через другое вы не сможете. Единственное, что их связывает — это общий аккаунт. Однако, поскольку LastPass является лучшим менеджером паролей, как на Android, так и на iOS, зарегистрировать в нем аккаунт (если вы еще этого не сделали) будет только на пользу.
Большим преимуществом LastPass Authenticator перед Authy является возможность настраивать параметры токена, а именно менять длину и время действия кода. То есть, пользователи LastPass могут выбирать между безопасностью и удобством. Правда, код в этом случае придется вводить вручную (а не посредством QR-сканера).
А вот чего LastPass не хватает, так это десктопной версии. Данный аутентификатор — единственный из нашего списка, который ее не имеет. А еще LastPass лишен другой возможности, которая пригодилась бы многим пользователям — совместимости со смарт-часами. И, опять-таки, такой «прокол» случился только у данного приложения.
И Authy, и LastPass Authenticator по-своему хороши. Если вы предпочитаете не смешивать пароли и токены, используйте Authy. Впрочем, поскольку пароли и токены шифруются, никакой опасности в том, чтобы хранить все в одном месте, нет. В любом случае LastPass Authenticator является отличным приложением, обеспечивающим второй уровень защиты интернет-аккаунтам.
Приложение 3. Duo Mobile
Приложение Duo Mobile построено на платформе безопасности Duo и предназначено для корпоративного использования. Оно позволяет управлять доступом и аутентификацией многих пользователей и предусматривает различные тарифы. В целом это отличное бесплатное 2FA-приложение, простое в использовании и с приятным дизайном.
Duo Mobile поддерживает те же сервисы, что и Google Authenticator, плюс больше сторонних сервисов и сайтов социальных сетей (также, как и Authy). Еще одно достоинство Duo Mobile состоит в том, что приложение постоянно обновляется.
Аутентификатор совместим с Apple Watch, и имеет десктопные версии для Windows и macOS.
Кроме того, приложение поддерживает шифрование резервных копий. Место хранения бэкапов определяется используемым устройством. На iOS-устройствах резервные копии хранятся в iCloud, а на Android — в Google Drive.
Хотя Duo Mobile не достает функции синхронизации аккаунтов, возможность создания резервных копий базы данных облегчает процесс перенесения токенов на новое устройство. И все же отсутствие синхронизации между устройствами и защиты паролем не позволили приложению подняться выше третьего места в нашем списке.
Приложение 4. Microsoft Authenticator
Как и Google Authenticator, Microsoft Authenticator не создает резервные копии в облаке. Однако, в отличие от приложения Google, аутентификатор Microsoft поддерживает push-уведомления и чаще обновляется. Да и вообще, хотя программа привязывает вас к экосистеме Microsoft, она очень удобна.
Одним из главных плюсов Microsoft Authenticator является поддержка push-уведомлений. При использовании приложения для аутентификации в аккаунтах Microsoft или Azure Active Directory вам не придется вводить одноразовый пароль вручную — достаточно будет одним касанием одобрить (или отклонить) высланный на ваше устройство токен. Такая процедура аутентификации значительно проще, чем ручной ввод пароля, и она присутствует и у трех других приложений нашего списка. Правда, количество сервисов, поддерживающих данную возможность, ограничено.
Недавно компания Microsoft внедрила функцию уведомлений безопасности. Теперь пользователи получают оповещения о любых подозрительных действиях, связанных с их аккаунтом, например, о смене пароля, входе в аккаунт с нового устройства или из незнакомого местоположения. Таким образом пользователи могут своевременно предпринять соответствующие меры.
Нам было непросто определиться с тем, какое приложение поставить на четвертую позицию — Microsoft Authenticator или Google Authenticator. В конце концов, чаша весов склонилась в сторону аутентификатора от Microsoft. Последний выиграл благодаря постоянной поддержке и наличию push-уведомлений. В отличие от Google, Microsoft обновляет свой аутентификатор несколько раз в месяц. В общем, несмотря на отсутствие десктопной версии для Mac, Microsoft Authenticator получил четвертое место в нашем рейтинге.
Если вы предпочитаете хранить всю конфиденциальную информацию на одном устройстве и чувствуете себя комфортно в рамках экосистемы Microsoft, данный аутентификатор — для вас. Функция push-уведомлений вкупе с регулярными обновлениями и возможностью использовать приложение на разных платформах делают Microsoft Authenticator отличным вариантом для тех, кто пользуется аккаунтами Microsoft и не только.
Приложение 5. Google Authenticator
Два главных преимущества Google Authenticator перед другими приложениями нашего списка — это, пожалуй, самый высокий уровень безопасности и широкая доступность. Что касается отсутствия синхронизации между устройствами, то это, в зависимости от ваши приоритетов, можно рассматривать и как минус, и как плюс.
Поскольку Google Authenticator не создает резервных копий базы данных, ваши токены будут привязаны к одному устройству. При переходе на новое устройство все аккаунты придется подключать к приложению заново. Зато, если ваш девайс украдут, ваши данные будут в большей безопасности.
Современные смартфоны позволяют стирать данные удаленно, что позволяет защищать аккаунты независимо от того, используете вы Authy или Google Authenticator. Однако Authy привязывает базу токенов к номеру телефона, которым теоретически может завладеть злоумышленник. Тот, кому удастся узнать ваш пароль и получить доступ к телефону, сможет распоряжаться и вашими токенами. С Google Authenticator такой сценарий исключен.
Google Authenticator является стандартом приложений для двухфакторной аутентификации. Однако создается впечатление, что Google не уделяет должного внимания своему детищу. Последнее обновление для iOS было выпущено два года назад. Обновление для Android вышло в сентябре 2017 года и, если бы не оно, мы исключили бы Google Authenticator из нашего списка.
Десктопная версия приложения представлена расширением для Chrome, что вынуждает пользоваться браузером Google. Однако при этом она, в отличие от других приложений нашего списка, доступна на всех десктопных платформах, включая Chrome OS. Кроме того, Google Authenticator — единственный представленный здесь аутентификатор, который официально поддерживает операционную систему Wear OS (ранее известную как Android Wear).
Честно говоря, главной причиной, по которой мы внесли в наш список Google Authenticator, стало отсутствие функции создания резервных копий токенов в облаке. Да, эта возможность удобна, но потенциально небезопасна. Хотя многие пользователи выбирают именно удобство.
Заключение
Начнем с того, что использовать двухфакторную аутентификацию стоит каждому. Конечно, данная процедура требует времени, особенно, если сайт не поддерживает 2FA-приложения и использует для аутентификации SMS или звонок. К тому же, в последнем случае не исключена возможность спуфинга номера, а значит, и получения доступа к вашим интернет-аккаунтам. Программный токен в этом отношении безопаснее, поскольку требует непосредственного доступа к вашему телефону или компьютеру. Даже если ваш пароль скомпрометируют, дополнительный уровень защиты не позволит злоумышленнику получить доступ к вашим учетным записям.
На данный момент лучшим 2FA-приложением, несомненно, является Authy. Его главные плюсы — это простота в использовании, защита пароля и синхронизация базы данных с другими устройствами. Если же вы успешно пользуетесь менеджером паролей LastPass и не против доверить 2FA-токены той же компании, LastPass Authenticator вам тоже отлично подойдет.
