วีดีโอ: Twilio Verify: The best phone verification solution (ตุลาคม 2024)
รหัสผ่านเป็นวิธีที่น่ากลัวในการปกป้องบัญชีออนไลน์เพราะใครก็ตามที่เรียนรู้รหัสผ่านของคุณเป็นเจ้าของบัญชีแม้ว่าพวกเขาจะอยู่ห่างออกไปครึ่งโลกก็ตาม ตัวจัดการรหัสผ่านให้คุณใช้รหัสผ่านที่ยากต่อการจดจำ แต่ในการฝ่าฝืนข้อมูลนั้นไม่สำคัญว่ารหัสผ่านของคุณคือ "*" หรือ "รหัสผ่าน" คุณสามารถเพิ่มความปลอดภัยของคุณได้อย่างมากมายโดยใช้รูปแบบการตรวจสอบสิทธิ์แบบสองปัจจัยและ Authy ของ Twilio ทำให้การตรวจสอบสิทธิ์แบบสองปัจจัยง่ายขึ้นกว่าที่เคยเป็นมา
ผู้เชี่ยวชาญแบ่งปัจจัยการรับรองความถูกต้องออกเป็นสามประเภท: สิ่งที่คุณรู้ (รหัสผ่านตัวอย่าง) สิ่งที่คุณมี (วัตถุทางกายภาพ) และสิ่งที่คุณเป็น (ลายนิ้วมือหรือลักษณะทางชีวภาพอื่น ๆ ) Authy เปลี่ยนสมาร์ทโฟนของคุณให้เป็นโทเค็นทางกายภาพที่จำเป็นสำหรับการเข้าสู่ระบบพร้อมด้วยรหัสผ่าน แฮ็กเกอร์ที่ขโมยหรือคาดเดารหัสผ่านของคุณจะถูกสกัดกั้นโดยขั้นตอนการรับรองความถูกต้องที่ต้องใช้โทเค็นนั้น
มันทำงานอย่างไร
ในปี 2554 Internet Engineering Task Force เปิดตัวมาตรฐานสำหรับรหัสผ่านแบบใช้ครั้งเดียวตามเวลา (TOTP) แนวคิดนั้นง่ายพอ เมื่อผู้ใช้ลงทะเบียนอุปกรณ์สนับสนุน TOTP ด้วยเว็บไซต์ที่ปลอดภัยจะมีการสร้างรหัสแชร์ที่ไม่ซ้ำกัน ทั้งอุปกรณ์และเซิร์ฟเวอร์สามารถสร้างรหัสผ่านครั้งเดียวตามเวลาโดยการประมวลผลคีย์นั้นพร้อมกับเวลาปัจจุบัน ตามแบบแผน TOTP แต่ละอันจะดีเป็นเวลา 30 วินาที คุณเข้าสู่ระบบโดยใช้รหัสผ่านปกติของคุณจากนั้นป้อนรหัสผ่านเพียงครั้งเดียวปัจจุบันจากอุปกรณ์ของคุณและคุณเข้าสู่ผู้กระทำผิดผู้ซึ่งอ้างว่ารหัสผ่านครั้งเดียวจากอีเธอร์จะพบว่าไม่มีประโยชน์ภายใน 30 วินาที
Authy และ Google Authenticator สร้างทั้งบน TOTP และที่จริงคุณสามารถใช้ Authy ในเว็บไซต์ใดก็ได้ที่สนับสนุน Google Authenticator ทำไมคุณถึงเปลี่ยนมาใช้ Authy มีเหตุผลค่อนข้างน้อย ฉันจะอธิบายรายละเอียดในภายหลัง
เริ่มต้นด้วย Authy
การตั้งค่า Authy ให้ใช้สมาร์ทโฟนของคุณเป็นโทเค็นง่าย ๆ คุณติดตั้งแอป Authy บนโทรศัพท์ระบุหมายเลขโทรศัพท์ของคุณแล้วคลิกลิงก์การยืนยันหรือป้อนรหัสยืนยัน แค่นั้นแหละ; Authy พร้อมใช้งานแล้ว การเริ่มต้นใช้งาน Apple iPhone 6 ของฉันใช้เวลาไม่นาน
เทคนิคที่แน่นอนสำหรับการตั้งค่าการรับรองความถูกต้องด้วยสองปัจจัยนั้นแตกต่างกันไปในแต่ละไซต์ อย่างไรก็ตามสำหรับไซต์ส่วนใหญ่คุณจะปฏิบัติตามคำแนะนำจนกว่าคุณจะมีโอกาสเลือก Google Authenticator ณ จุดนั้นไซต์จะแสดงรหัส QR ถ่ายรหัส QR ด้วย Authy และแบม! คุณมีการตรวจสอบสิทธิ์แบบสองปัจจัย เมื่อขุดเข้าไปในแอพฉันพบว่ามันรองรับไซต์ยอดนิยมอย่างน้อยสองโหลโดยตรงในหมู่พวกเขาเช่น Gmail, Facebook, Outlook, Lastpass, Evernote และ WordPress กว่า 10, 000 เว็บไซต์และแอปพลิเคชันอื่น ๆ ทั้งเล็กและใหญ่ใช้ Authy สำหรับการตรวจสอบสิทธิ์โดยตรงโดยไม่ต้องเชื่อมต่อกับ Google Authenticator
ไซต์ที่ลงทะเบียนของคุณปรากฏที่ด้านล่างของหน้าต่างแอพ การแตะหนึ่งครั้งจะแสดงรหัสการรับรองความถูกต้องปัจจุบันสำหรับไซต์นั้นพร้อมกับตัวจับเวลานับถอยหลังที่แสดงจำนวนอายุการใช้งาน 30 วินาทีของรหัสที่เหลืออยู่ มันใช้งานได้เหมือนกันมากบน Android และ iOS แต่ฉันสังเกตว่ารุ่น iOS จะแสดงแถบความคืบหน้าแบบวงกลมที่มีป้ายกำกับนับถอยหลังวินาทีในขณะที่รุ่น Android ใช้แถบความคืบหน้าแบบง่าย
แน่นอนถ้าแฮ็กเกอร์ที่มีทักษะในการเลือกกระเป๋าจัดการได้ทั้งรหัสผ่าน และ สมาร์ทโฟนของคุณคุณอาจมีปัญหา เช่นเดียวกับการรักษาความปลอดภัยตามอุปกรณ์ที่ใช้โดย oneID คุณจะต้องรักษาความปลอดภัยอุปกรณ์ของคุณอย่างละเอียด ใช้รหัสผ่านที่คาดเดายากหรือการพิสูจน์ตัวตนแบบไบโอเมตริกซ์และเปิดใช้การป้องกัน PIN ของ Authy (ผู้ใช้ iPhone สามารถอัปเกรดเป็น Touch ID authentication)
LastPass 3.0 และ LastPass 3.0 Premium ทั้งรองรับ Google Authenticator นั่นหมายความว่าคุณสามารถปกป้องบัญชี LastPass ของคุณโดยใช้ Authy จากนั้นจึงใช้ Authy สำหรับการตรวจสอบสิทธิ์แบบสองปัจจัยของไซต์ที่ปลอดภัยอื่น ๆ ของคุณ คุณสามารถทำเช่นเดียวกันกับ Dashlane 3
คุณสมบัติหลายอุปกรณ์
คุณต้องมีสมาร์ทโฟนเพื่อเริ่มต้นใช้งาน Authy แต่เมื่องานนั้นสำเร็จคุณสามารถติดตั้ง Authy บนสมาร์ทโฟนแท็บเล็ตหรือเดสก์ท็อปอื่นและซิงค์ข้อมูลระหว่างอุปกรณ์ Authy รองรับอุปกรณ์มือถือ iOS, Android และ BlackBerry รวมถึง Windows, Mac OS และ Linux มีแม้กระทั่งแอป Authy สำหรับ Apple Watch; เพียงเหลือบไปที่ข้อมือของคุณสำหรับรหัสตรวจสอบ
ด้วยการติดตั้งแอป Authy สำหรับเดสก์ท็อปและส่วนขยาย Chrome คุณสามารถข้ามสมาร์ทโฟนไปเลยก็ได้ แอปเดสก์ท็อปแจ้งให้คุณสร้างรหัสผ่านหลัก แต่ไม่จำเป็นต้องใช้ (เป็นการกำกับดูแลในความคิดของฉัน) โปรดทราบว่ารหัสผ่านหลักเป็นรหัสเฉพาะอุปกรณ์ดังนั้นหากคุณติดตั้งบนเดสก์ท็อปหลายเครื่องคุณอาจสร้างรหัสผ่านหลักหลายรหัสได้ เมื่อมีรหัสผ่านหลักแอปจะต้องให้คุณป้อนรหัสผ่านอีกครั้ง ด้วยการใช้ส่วนขยายของ Chrome คุณสามารถรับรหัสปัจจุบันสำหรับไซต์ใด ๆ ที่ลงทะเบียนของคุณคัดลอกไปยังคลิปบอร์ดและวางลงในโดยไม่จำเป็นต้องออกโทรศัพท์ของคุณ
ใช่นี่คือสิ่งที่แน่นอนที่นิยามของการรับรองความถูกต้องด้วยสองปัจจัย คนที่สามารถเข้าถึงคอมพิวเตอร์เดสก์ท็อปของคุณอาจแตกเป็นเสี่ยง ๆ เพราะคอมพิวเตอร์เดสก์ท็อปกลายเป็นปัจจัย "สิ่งที่คุณมี" หากคุณเลือกที่จะใช้แอปบนเดสก์ท็อป Authy คุณจะต้องป้องกันด้วยรหัสผ่านหลักอย่างเข้มงวด นอกจากนี้คุณควรป้องกันด้วยรหัสผ่านบัญชีผู้ใช้ของคุณบนเดสก์ท็อปและล็อคบัญชีเมื่อใดก็ตามที่คุณไป
มีประโยชน์อีกอย่างหนึ่งสำหรับส่วนขยาย Chrome ที่ฉันไม่ได้สังเกตเห็นในทันที หากคุณคลิกเพื่อดูรหัสปัจจุบันของไซต์และไซต์นั้นไม่เปิดคุณจะได้รับคำเตือนฟิชชิง มีประโยชน์!
การเปิดใช้งาน Authy บนสมาร์ทโฟนหรือแท็บเล็ตอื่นเป็นเรื่องง่าย บนอุปกรณ์ใหม่คุณป้อนหมายเลขโทรศัพท์ของสมาร์ทโฟนของคุณและตอบกลับข้อความแจ้งการเข้าถึงที่ปรากฏบนสมาร์ทโฟนนั้น เช่นเดียวกับที่ Authy เปิดใช้งานบนอุปกรณ์ใหม่
ทำอุปกรณ์หาย คุณสามารถใช้แอป Authy เพื่อลบอุปกรณ์นั้นออกจากกระบวนการซิงค์ โปรดทราบว่าสำหรับเว็บไซต์ที่ใช้ TOTP ของ Google โทเค็นจะยังคงให้รหัสสำหรับไซต์ที่ลงทะเบียนแล้ว ผู้ใช้ที่ชาญฉลาดจะปิดการใช้งานและเปิดใช้งานการตรวจสอบความถูกต้องด้วยสองปัจจัยบนไซต์เหล่านี้อีกครั้ง
หากคุณลงทะเบียนอุปกรณ์ทั้งหมดที่คุณต้องการคุณสามารถตั้งค่า Authy ให้หยุดรับอุปกรณ์เพิ่มเติมได้ นอกจากนี้ยังมีตัวเลือกในการบันทึกข้อมูลสำรองที่เข้ารหัสของคีย์ความปลอดภัยของคุณไปยังคลาวด์
ฉันสังเกตเห็นตัวเลือก Bluetooth ในแอป Authy iOS ฉันเปิดใช้งาน แต่ไม่สามารถหาวิธีใด ๆ ที่จะให้มันโต้ตอบกับพีซีของฉัน ปรากฎว่าคุณสมบัตินี้เฉพาะสำหรับ Mac และแม้แต่ใน Mac ก็ยังมีปัญหากับการเปลี่ยนแปลงล่าสุดในการใช้งานบลูทู ธ
ทำไมต้อง Authy
ฉันได้กล่าวไปแล้วก่อนหน้านี้ว่าคุณสามารถใช้ Authy ในเว็บไซต์ใดก็ได้ที่สนับสนุน Google Authenticator แต่ทำไมคุณถึงรบกวน? Authy นั้นดีกว่าในหลาย ๆ วิธี
เมื่อคุณตั้งค่าบัญชีให้รับรองความถูกต้องผ่าน Google Authenticator การเข้าถึงบัญชีนั้นในอุปกรณ์มือถือของคุณจะถูกตัดออก คุณต้องป้อน "รหัสผ่านแอปพลิเคชัน" ที่มีตัวพิมพ์เล็กยาว ๆ เพื่อเปิดใช้งานการเข้าถึงสำหรับแต่ละแอปพลิเคชันในแต่ละอุปกรณ์ ผู้ใช้ Authy สามารถติดตั้ง Authy บนอุปกรณ์เพื่อลบล้างความต้องการสำหรับกระบวนการที่น่ารำคาญนี้
หากคุณได้รับโทรศัพท์ใหม่คุณสามารถถ่ายโอนการลงทะเบียน Authy ทั้งหมดของคุณได้อย่างง่ายดาย ด้วย Google Authenticator คุณจะต้องทำตามขั้นตอนการลงทะเบียนอีกครั้งสำหรับทุกไซต์ และ Google Authenticator ไม่มีวิธีใด ๆ ในการเพิกถอนการเข้าถึงสำหรับโทรศัพท์ที่สูญหายหรือถูกขโมย
แนวคิดทั้งหมดของรหัสผ่านตามเวลาแบ่งถ้าลูกค้าและเซิร์ฟเวอร์ไม่ได้ตรงเวลา Authy มีชื่อเสียงในด้านการซิงค์แม้ว่าอุปกรณ์ของคุณจะไม่สามารถเข้าถึงเครือข่ายได้มากกว่า Google Authenticator อย่างไรก็ตามฉันไม่พบวิธีทดสอบสิ่งนี้
นอกจากนี้ยังมีไซต์ขนาดเล็ก แต่กำลังเติบโตขึ้นซึ่งรองรับ Authy แต่ไม่ใช่ Google authenticator ผู้ติดต่อ Authy ของฉันรายงานว่า Coinbase, Cloudflare และ HumbleBundler อยู่ในเว็บไซต์ Authy เท่านั้น
ง่ายไม่มัน
การรับรองความถูกต้องด้วยสองปัจจัยคือการปรับปรุงความปลอดภัยที่ยอดเยี่ยมสำหรับการรักษาความปลอดภัยเว็บไซต์ที่ละเอียดอ่อน แต่ผู้ใช้มักจะแลกเปลี่ยนความปลอดภัยเพื่อความสะดวก การเริ่มต้นใช้ Authy นั้นต้องใช้ความพยายามเริ่มต้นเมื่อคุณแปลงไซต์ที่ปลอดภัยของคุณให้ใช้สองปัจจัย หลังจากนั้นมันใช้งานง่ายสุด ๆ และถูกตัดเหนือ Google Authenticator อย่างชัดเจน หากคุณจริงจังกับการเข้าสู่ระบบออนไลน์ให้พิจารณาจับคู่ Authy กับ LastPass 3.0 หรือ Dashlane 3 ซึ่งทั้งคู่เป็นผู้จัดการรหัสผ่านของ Editors 'Choice Authy นั้นอาจได้รับเกียรติจาก Editors 'Choice ในการตรวจสอบสองปัจจัย; เราไม่ได้ทำการตรวจสอบผลิตภัณฑ์ที่คล้ายกันมากพอ
