Divpakāpju autentifikācija ar TOTP Tas ir kļuvis par būtisku vairogu jūsu kontu aizsardzībai: otrs kods, kas periodiski mainās un kas jāievada papildus parolei. Šajā rakstā es piedāvāju jums visaptverošu ceļvedi ar lietotņu salīdzinājumiem, konfigurācijas padomiem un reālās dzīves lietošanas gadījumiem, kas viss ir detalizēti un lietotājam draudzīgā veidā izskaidrots, lai jūs neapmaldītos.
Papildus vienkāršam sarakstam šeit jūs atradīsiet praktiska informācija Lai izvēlētos labāko TOTP lietotni, uzziniet, kā to iestatīt populāros pakalpojumos (GitHub, Bitwarden, Nextcloud u.c.), kā to ieviest savā servera sistēmā, izmantojot Node.js, un izvairieties no bieži pieļautām kļūdām, kuru dēļ varat zaudēt piekļuvi saviem kontiem. Ķersimies pie lietas.
Kas ir TOTP un kāpēc jums tas jāaktivizē jau šodien?
TOTP (uz laiku balstīta vienreizēja parole) Tas ir algoritms, kas ģenerē uz laiku balstītas vienreizējās paroles. Jūsu lietotnei un serverim ir kopīgs noslēpums; izmantojot sistēmas pulksteni, tie abi aprēķina vienu un to pašu kodu, kas parasti tiek atjaunots ik pēc 30 sekundēm. Tā kā tas darbojas bezsaistē, Tas ir ātrs, uzticams un ļoti ērtsun pievieno otru slāni, kas aptur uzbrukumus pat tad, ja jūsu parole ir nopludināta.
2FA ietvaros ir vairākas metodes (SMS, e-pasts, biometrija, fiziskās atslēgas, push paziņojumi...), taču TOTP lietotnes parasti ir vislīdzsvarotākais risinājums. Konfidencialitātes, pieejamības un kontroles nolūkos. Piezīme. SMS ir noderīga kā glābšanas līdzeklis, taču tā nav tik stabila vai uzticama, īpaši ārpus ASV.
Svarīgi padomi pirms sākat
Pirmkārt, Neizdzēsiet 2FA kontu no savas lietotnes. vispirms to nedeaktivizējot pakalpojuma tīmekļa vietnē. To ir viegli bloķēt uz mūžu. Otrkārt, ģenerējiet un saglabājiet atkopšanas kodi ikreiz, kad tie ir pieejami. Treškārt, plānojiet dublējumus: izvēlieties lietotnes ar šifrētu mākoņa dublējumu, eksportējiet uz šifrētu failu vai izmantojiet konta sinhronizāciju, lai izvairītos no žetonu zaudēšanas, mainot tālruņus.
Realitātes piezīme: Ik pēc 39 sekundēm notiek kiberuzbrukums jebkur pasaulē. 2FA aktivizēšana ar TOTP aizņem mazāk nekā divas minūtes un palielina jūsu drošību. Ja kā alternatīvu metodi pievienosiet arī fizisku drošības atslēgu, būsiet jau krietni nokavējis.
Kā izvēlēties TOTP lietotni: kam pievērst uzmanību un no kā izvairīties
Labākās lietotnes apvienojas drošība, vienkāršība, eksportēšana/dublēšana un saderību starp platformām. Ir svarīgi, lai tos varētu aizsargāt ar biometriju vai PIN kodu, paslēpt ekrānā redzamos kodus un piedāvāt šifrētas dublējumkopijas vai drošu eksportēšanu. Ja izmantojat vairākas operētājsistēmas, meklējiet sinhronizācija starp Android, iOS un galddatoriem.
No kā bēgt? Lietotnes bez dublējuma vai eksportēšanas iespējām. nesaderīgas kopijas starp platformām (ja izmantojat gan iOS, gan Android), vai arī tiem nepieciešams tālruņa numurs, ja tas nav nepieciešams. Krīzes laikā sīkas detaļas ir ļoti svarīgas.
Pilnīgs TOTP autentifikācijas lietotņu salīdzinājums
Zemāk ir sniegts pārskats ar visatbilstošākajām rīku funkcijām un niansēm, kas visbiežāk parādās labākajās rokasgrāmatās, dokumentācijā un specializētajās analīzēs.
Google autentifikators (Android, iOS)
Tā ir klasiska atsauce: bezmaksas, vienkārši un bez nepieciešamības pēc kontaEksportējiet visus žetonus vienlaikus, izmantojot vienu QR kodu, lai migrētu tos uz citu tālruni, un operētājsistēmā iOS varat nodrošināt piekļuvi ar Face ID/Touch ID un meklēt žetonus. Tam trūkst vietējo mākoņa dublējumu un tas ne vienmēr slēpj kodus, kas publiskās vietās var būt neērti. Ideāli piemērots, ja nevēlaties mākoņpakalpojumus un jūs prioritāri piešķirat vienkāršībai.
Microsoft autentifikators (Android, iOS)
Apvieno paroļu pārvaldnieku un TOTP ar Biometriskā/PIN aizsardzība, koda slēpšana un mākoņkrātuves dublējumkopijas. Vājais punkts: iOS un Android dublējumkopijas ir nesaderīgi viens ar otru, neeksportē žetonus un aizņem daudz vietas (150–200 MB). Ja izmantojat Microsoft ekosistēmu, tas ievērojami atvieglo pieteikšanos.
Twilio Authy (Android, iOS, Windows, macOS, Linux)
Daudzplatformu zvaigzne: nevainojami sinhronizējas starp mobilo ierīci un datoru, izmantojot dublēšanu mākonī un PIN/biometrisko aizsardzību. Nepieciešama konta izveide ar tālruņa numuru, un tiek parādīts mobilais interfeiss pa vienam žetonam vienlaikus, kas ir mazāk elastīgs ar daudziem kontiem. Tas neeksportē/neimportē žetonus, bet kā alternatīva Google/Microsoft, tas ir viens no labākajiem.
Duo Mobile (Android, iOS)
Ļoti populārs uzņēmumos, tīrs un vienkāršs interfeiss, slēpj kodus un ļauj dublēt datus pakalpojumā Google Cloud (Android) vai iCloud (iOS), neizveidojot jaunu kontu. Lietotnē nav piekļuves aizsardzības, un iOS/Android kopijas netiek atbalstītas viens otru. Ja negrasāties mainīt platformas, tas var jums lieliski noderēt.
Bezmaksas OTP (Android, iOS)
Atvērtā pirmkoda projekts, minimālistisks un ļoti viegls (2–3 MB). Nav mākoņkrātuves vai žetonu eksportēšanas iespējas; operētājsistēmā iOS nav iespējams izveidot žetonus ar manuālu atslēgu (tikai QR kodi). Operētājsistēmā iOS žetonus var aizsargāt ar Face ID/Touch ID, un kodi tiek paslēpti pēc noklusējuma un pēc 30 sekunžu neaktivitātes. Tiem, kas dod priekšroku minimālismam un privātumam.
unOTP (Android)
Ļoti pilnīgs un atvērtā koda: PIN/paroles/pirkstu nospiedumu bloķēšana, etiķetes, meklēšana, automātiska paslēpšana un bloķēšana neaktivitātes gadījumā, "panikas poga" visa dzēšanai un eksportēšana uz šifrētu failu (piemēram, Google disku). Tā vairs netiek ražota, taču joprojām ir ļoti stabila. Riesgo: : atslēgu atgūšanas vienkāršība prasa ļoti labu piekļuves aizsardzību.
Aegis autentifikators (Android)
Mūsdienīga atvērtā koda alternatīva, bezmaksas, ar šifrēšanu, biometriju un labas dublēšanas iespējas. Tas atbalsta importēšanu no Authy/andOTP un gandrīz visiem 2FA formātiem. Dažām jaudīgām funkcijām ir nepieciešamas root tiesības, kas nav piemērotas visiem. Labs līdzsvars starp drošību un lietojamību.
OTP autentifikācija (iOS, macOS)
Jaudīgs Apple ierīcēm: mapes, ko organizēt, eksportēšana failā, atslēgas/QR žetona nolasīšana, iCloud sinhronizācija un Face ID/Touch ID vai paroles aizsardzība. Tas neslēpj kodus, un dažas funkcijas macOS ierīcēs ir maksas. iPhone/Mac ierīcēm Tas ir vispilnīgākais.
Otrais solis (iOS, macOS)
Minimālistisks, ar iCloud sinhronizācija un Apple Watch atbalsts. Nav piekļuves aizsardzības, nav koda slēpšanas, nav žetonu eksportēšanas/importēšanas, un bezmaksas versijā varat izveidot tikai desmit žetonus. Operētājsistēmā macOS ir nepieciešama ekrānuzņēmuma atļauja, lai nolasītu QR kodus. Lieliski piemērots, ja vēlaties kaut ko ļoti vienkāršu Apple ekosistēmā.
WinAuth (Windows)
Spēlētājiem orientēts: atbalsta žetonus nestandarta Steam, Battle.net vai Trion/Gamigo, papildus standarta TOTP. Tas ļauj šifrēt datus, eksportēt tos vienkāršā tekstā vai šifrētā failā, aizsargāt ar paroli vai YubiKey un automātiski paslēpt kodus. Tas pastāv tikai operētājsistēmai Windows un, kā likums, 2FA nav ieteicams datorā, bet spēlēm tas ir dārgakmens.
Autentifikatora lietotne (Apple ekosistēma)
Pārbaudītājs ar lietotnēm iPhone, iPad, Mac un Apple Watch ierīcēm, kā arī paplašinājumi gandrīz visām pārlūkprogrammām (Safari, Chrome, Brave, Tor, Vivaldi…). Tam ir ļoti ierobežota bezmaksas versija; maksas versijai ir pievienota dublēšana un sinhronizācija. Tajā ir iekļauta šifrēšana, dalīties ar ģimeni un bloķēt ar Face ID. Ja dzīvojat Apple veikalā, šī ir iespēja, ko apsvērt.
2FAS (2FA autentifikators)
Vienkārši, bezmaksas un ar E2E šifrēšanu, darbojas bezsaistē un ļauj sasaistīt žetonus, izmantojot atslēgu vai QR kodu, un sinhronizēt tos ar Google disku. Dublējumkopijas, lai nepazaudētu žetonus, pārlūkprogrammas paplašinājums, PIN/biometriskie dati un nav reklāmu. Dažas papildu opcijas. bet ļoti uzticams Ikdienā.
1Password (ar iebūvētu TOTP)
Apmaksāts paroļu pārvaldnieks, kas ietver 2FA TOTP Integrēts. Liels pluss ir koda automātiskā aizpildīšana atbalstītajās vietnēs un vienota akreditācijas datu pārvaldība. Tā nav tikai 2FA lietotne, bet, ja jūs jau izmantojat 1Password, tas vienkāršo jūsu dzīvi mobilajā ierīcē, datorā un pārlūkprogrammā.
Bitwarden (ar integrētu TOTP)
Atvērtā koda un bezmaksas vienam lietotājam; maksas versijai ir pievienots TOTP, kas ir automātiskā pabeigšana tīmekļa vietnēs un lietotnēsPēc noklusējuma tas ģenerē sešciparu kodus (SHA-1, 30 s) un ļauj pielāgot parametrus, rediģējot TOTP URI. Pārlūkprogrammas paplašinājumi pēc automātiskās pabeigšanas kopē TOTP starpliktuvē, ja iespējojat šo opciju. Ļoti apaļš lai centralizētu paroles un 2FA.
TOTP autentifikators (BinaryBoot)
Tīra saskarne un plašs atbalsts 2FA pakalpojumiem. Tas piedāvā Mākoņa sinhronizācijas Premium ar Google disku (jūs kontrolējat datus), pārlūkprogrammas paplašinājumu (premium), tumšo tēmu, tagi un meklēšana, starpplatformu atbalsts (Android/iOS), vairāku ierīču lietošana (šifrētas dublējumkopijas), vairāki logrīki, ikonu pielāgošana un biometriskā drošība ar iespēju bloķēt ekrānuzņēmumus. Bezmaksas versija ir nedaudz ierobežota.
Protectimus Smart OTP
Pieejams operētājsistēmās Android un iOS, saderīgs ar Android pulksteņiem, atbalsta vairākus protokolus un ļauj aizsargāt lietotni ar PIN kodu. Mazāk zināms, bet ļoti pilnīgs, ja meklējat dažādus standartus un izmantošana valkājamās ierīcēs.
Rokasgrāmatas: Kā aktivizēt TOTP populāros pakalpojumos
Iesim tālāk ar konkrētiem norādījumiem, no oficiālās dokumentācijas destilēts lai jūs varētu iestatīt TOTP, neapmaldoties.
TOTP konfigurēšana vietnē GitHub (TOTP lietotne vai īsziņa ar papildu metodēm)
GitHub iesaka izmantot Mākonī balstītas TOTP lietotnes un drošības atslēgas kā rezerves variantu īsziņas vietā. Pēc 2FA aktivizēšanas jūsu konts nonāk 28 dienu verifikācijas periodā: ja autentifikācijas process neizdodas, 28. dienā jums tiks lūgts veikt 2FA, un, ja kaut kas noies greizi, varēsiet to konfigurēt atkārtoti.
- Soli pa solim TOTPLietotāja iestatījumi → Parole un autentifikācija → Iespējot 2FA → Noskenējiet QR kodu ar savu TOTP lietotni vai izmantojiet manuālās iestatīšanas atslēgu (ierakstiet TOTP, GitHub etiķete: , GitHub izdevējs, SHA1, 6 cipari, 30 sekunžu pārslas). Pārbaudiet ar pašreizējo kodu un lejupielādējiet atkopšanas kodi.
- SMS kā alternatīvaPievienojiet savu numuru pēc CAPTCHA nokārtošanas, ievadiet īsziņā saņemto kodu un saglabājiet atkopšanas kodus. Izmantojiet šo tikai tad, ja nevarat izmantot TOTP.
- ParolesJa jums jau ir 2FA, izmantojot TOTP lietotni vai īsziņu, pievienojiet piekļuves atslēgu, lai pieteiktos bez paroles, vienlaikus izpildot 2FA prasību.
- Drošības atslēgas (WebAuthn)Pēc 2FA aktivizēšanas reģistrējiet saderīgu atslēgu. Tā tiek uzskatīta par otro faktoru un tai ir nepieciešama jūsu parole; ja to pazaudējat, varat izmantot īsziņu vai savu TOTP lietotni.
- GitHub MobilePēc TOTP vai SMS saņemšanas varat izmantot mobilo lietotni ar push paziņojumus; nepaļaujas uz TOTP un izmanto publiskās atslēgas šifrēšanu.
Ja TOTP lietotne jums nav piemērota, reģistrēt SMS kā B plānu un pēc tam pievienojiet drošības atslēgu, lai paaugstinātu drošības latiņu, neko nesarežģījot.
Bitwarden autentifikators: ģenerēšana, automātiskā aizpildīšana un triki
Bitwarden ģenerē 6 ciparu TOTP ar SHA-1 un 30 sekunžu rotācijuVarat skenēt QR kodu no pārlūkprogrammas paplašinājuma (kameras ikona) vai manuāli ievadīt kodu operētājsistēmās iOS/Android. Pēc konfigurēšanas vienuma iekšpusē redzēsiet rotējošu TOTP ikonu un varēsiet to nokopēt tāpat kā paroli.
Automātiskā pabeigšanaPārlūkprogrammas paplašinājumi automātiski aizpilda TOTP vai kopē to starpliktuvē pēc automātiskās aizpildīšanas, ja ir iespējota opcija “Automātiskā aizpildīšana lapas ielādes laikā”. Mobilajās ierīcēs kods tiek kopēts starpliktuvē pēc pieteikšanās automātiskās aizpildīšanas.
Ja jūsu kodi nedarbojas, sinhronizē ierīces pulksteni (Automātiskā laika ieslēgšana/izslēgšana operētājsistēmās Android/iOS; operētājsistēmā macOS tas pats attiecas uz datumu/laiku un laika joslu.) Ja pakalpojumam nepieciešami atšķirīgi iestatījumi, rediģējiet URI otpauth manuāli elementā, lai pielāgotu ciparus, periodu vai algoritmu.
Operētājsistēmā iOS 16+ varat iestatīt Bitwarden kā noklusējuma lietotnes verifikācija Skenējot kodus no kameras: Iestatījumi → Paroles → Paroles opcijas → Iestatīt verifikācijas kodus, izmantojot → Bitwarden. Skenējot, pieskarieties “Atvērt Bitwarden”, lai to saglabātu.
Microsoft Azure/Office 365 kontiem: 2FA iestatīšanas laikā izvēlieties “cita autentifikācijas lietotne” Microsoft Authenticator vietā un skenējiet QR kodu, izmantojot Bitwarden. Steam platformā izmantojiet prefiksu URI. steam:// kam seko jūsu slepenā atslēga; kodi būs 5 rakstzīmju burtciparu.
Nextcloud: TOTP un rezerves kodi
Ja jūsu instancē ir iespējota 2FA, jūsu personīgajās preferencēs redzēsiet slepenais kods un QR kods lai skenētu ar savu TOTP lietotni. Ģenerējiet un saglabājiet rezerves kodi drošā vietā (nevis pašā tālrunī), jo tie jūs izglābs no nepatikšanām, ja zaudēsiet otro faktoru.
Piesakoties, ievadiet TOTP paroli savā pārlūkprogrammā vai atlasiet citu otro soli, ja tāds ir iestatīts. Ja izmantojat WebAuthn, nelietojiet atkārtoti vienu un to pašu žetonu 2FA un bezparoles pieteikšanās gadījumā, jo tas vairs nebūtu “dubultais” faktors.
Korporatīvā gadījuma izpēte: Specializēto zāļu portāls (AEMPS)
Tipisks plūsmas piemērs: instalējiet TOTP lietotni (Microsoft/Google Authenticator, FreeOTP, Authy…) un no pārlūkprogrammas pieprasījumi "Atiestatīt verifikācijas kodu" akreditācijas lapā. Jūs saņemsiet e-pastu ar saiti, kurā redzams QR kods.
Noskenējiet QR kodu ar savu lietotni, jūs redzēsiet savu pirmo kodu un atgriezieties pārlūkprogrammā, lai to ievadītu atiestatīšanas lapā. Pēc tam piesakieties, izvēloties metodi “Verifikācijas kods”: lietotājvārds, parole un pašreizējais TOTP kods, kas tiek parādīts jūsu tālrunī.
Aparatūras atslēgas: YubiKey kā luksusa aksesuārs
Lai nodrošinātu maksimālu drošību, YubiKey no Yubico Tas ir zelta standarts: IP68 fiziskās atslēgas, bez baterijām, izturīgas un saderīgas ar FIDO2, U2F, OTP, viedkartēm utt. Tās lieliski darbojas ar Google, Facebook un daudziem citiem pakalpojumiem. Ja pakalpojums neatbalsta aparatūru, varat izmantot viņu autentifikācijas lietotni dublēšana. Ir pat FIPS sertificēti modeļi vidēm, kurās tas ir nepieciešams.
Ideāls: TOTP lietotne + YubiKeyJums vienmēr būs pieejams otrs faktors un vēl viens ļoti drošs faktors, ja vēlaties maksimāli palielināt savu aizsardzību.
Ieviesiet TOTP savā serverī (Node.js ar otplib)
Ja izstrādājat savu lietojumprogrammu, TOTP ir viegli integrēt. otplib un nedaudz Express.js. Darbplūsmai ir divas fāzes: TOTP noslēpuma piesaistīšana lietotājam un kodu validācija pēc pieteikšanās.
- AsociācijaĢenerējiet serverī slepeno kodu, izveidojiet OTPauth URI un attēlojiet to kā QR kodu (izmantojot tādas bibliotēkas kā QRcode). Lietotājs to skenē ar savu lietotni un nosūta jums TOTP. validēt un saglabāt saistību.
- pārbaude: katrā pieteikšanās reizē pēc pareizas paroles ievadīšanas, pajautājiet TOTP un pārbaudiet tā derīgumu, salīdzinot to ar saglabāto slepeno kodu. Ja tas ir derīgs, jūs pabeidzat pieteikšanos.
Kā redzat, tas ir ļoti skaidrs modelis: jūs sinhronizējat noslēpumuJūs validējat pirmo kodu un pēc tam salīdzināt mainīgo TOTP kodu ar katru pieteikšanos. Vienkārši, stabili un saderīgi ar lielāko daļu autentifikācijas lietotņu.
Triki un laba prakse, kas palīdzēs izvairīties no nepatikšanām
Padomājiet par savu "B plānu": atkopšanas kodi un alternatīvas metodes (drošības atslēga, īsziņa, push mobilā lietotne) un, ja paļaujaties uz mākoņsinhronizāciju, pārbaudiet, vai tāda ir pieejama nesaderība starp iOS un Android (Microsoft un Duo gadījums), lai, mainot tālruni, nerastos nekādi pārsteigumi.
Kad lietot paroļu pārvaldnieku ar iebūvētu TOTP
Ja jūs jau izmantojat Bitwarden vai 1Password, aktivizēt TOTP moduli Apvieno paroles un otrā faktora autentifikāciju ar automātisko aizpildīšanu vienā rīkā. Priekšrocības: ātrums un mazāka berze. Trūkums: jūs koncentrējat vairāk sensitīvu elementu vienuviet, tāpēc Aizsargājiet to ar spēcīgu 2FA autentifikāciju un pārbaudiet drošās eksportēšanas/rezerves opcijas.
Piedāvāto lietotņu un saderības kopsavilkums
androidGoogle Authenticator, Microsoft Authenticator, Authy, Duo, FreeOTP, Aegis, andOTP, 2FAS, Protectimus, TOTP Authenticator, WinAuth (ne mobilajām ierīcēm). iOSGoogle autentifikators, Microsoft autentifikators, Authy, Duo, FreeOTP, OTP autentifikācija, otrais solis, autentifikatora lietotne, TOTP autentifikators. Desk: Autentifikācija (Windows/macOS/Linux), OTP autentifikācija (macOS), otrais solis (macOS), WinAuth (Windows).
līdz īpaši videospēļu žetoniWinAuth lieliski darbojas ar Steam un Battle.net; Bitwarden var tikt galā ar Steam ar steam://Uzņēmumā Apple integrēts autentifikators Operētājsistēmās iOS 15+ un Safari 15+ tas ir noderīgi, taču tā automātiskā pabeigšana ne vienmēr sasniedz atzīmi un nav tik ātra kā īpaša lietotne.
Ātrs kontrolsaraksts TOTP lietotnes izvēlei
- Vai jums ir nepieciešams patiesi starpplatformu (mobilā versija + galddators)? Authy ir droša izvēle.
- Minimālisms un bez mākoņiem? Google autentifikators vai FreeOTP ir labs pamats.
- Atvērtā koda programmatūra ar precīzu kontroli? Šefība (Android) vai OTP autentifikācija (iOS) izceļas.
- Viss vienā pārvaldnieks + TOTP? Bitwarden vai 1Password padara to daudz vienkāršāku.
- Spēļu pasaule? WinAuth atbalsta nestandarta žetonus.
Neatkarīgi no jūsu izvēles, ģenerē rezerves kopijas un saglabā atkopšanas kodus. Tas ir glābiņš, kad viss ir vissliktākajā stāvoklī.
TOTP aktivizēšana sniedz milzīgu drošības lēcienu ar minimālām laika izmaksām, un ar redzētajām lietotnēm varat izvēlēties sev piemērotāko: sākot no vienkāršiem, mākoņpakalpojumiem brīviem risinājumiem līdz sinhronizētām ekosistēmām visās jūsu ierīcēs, tostarp pārvaldniekiem, kas automātiski aizpilda kodu jūsu vietā, vai fiziskām atslēgām, lai noslēgtu ciklu. augstas drošības scenārijiAr pāris labiem lēmumiem un rezerves plānu, Jūsu konts pāriet no “ļaunprātīgas” uz “nebaidošu”.
