Vídeo: Twilio Verify: The best phone verification solution (Outubro 2024)
Uma senha é uma maneira terrível de proteger uma conta online, porque qualquer pessoa que aprende sua senha é proprietária da conta, mesmo que esteja a meio mundo de distância. Um gerenciador de senhas permite que você use senhas difíceis de lembrar, mas em uma violação de dados não importa se sua senha era "*" ou "senha". Você pode aprimorar bastante sua segurança usando um esquema de autenticação de dois fatores, e o Authy do Twilio torna a autenticação de dois fatores mais fácil do que nunca.
Os especialistas dividem os fatores de autenticação em três tipos: algo que você conhece (uma senha, por exemplo), algo que você tem (um objeto físico) e algo que você é (uma impressão digital ou outra característica biométrica). Authy transforma seu smartphone em um token físico necessário para o login, junto com a senha. Um hacker que rouba ou adivinha sua senha será frustrado pela etapa de autenticação que requer esse token.
Como funciona
Em 2011, a Internet Engineering Task Force lançou um padrão para senhas descartáveis baseadas em tempo (TOTP). O conceito é bastante simples. Quando o usuário registra um dispositivo compatível com TOTP em um site seguro, uma chave compartilhada exclusiva é criada. O dispositivo e o servidor podem gerar uma senha de uso único baseada no tempo, processando essa chave junto com o horário atual. Por convenção, cada TOTP é válido por 30 segundos. Você faz login usando sua senha normal, depois digita a senha única atual do seu dispositivo e entra. Um malfeitor que de alguma forma extrai essa senha única do éter a achará inútil em 30 segundos.
O Authy e o Google Authenticator são baseados no TOTP e, na verdade, você pode usar o Authy em qualquer site que suporte o Google Authenticator. Por que você mudaria para Authy? Existem várias razões; Vou entrar em detalhes mais tarde.
Introdução ao Authy
Configurar o Authy para usar seu smartphone como um token é simples. Você instala o aplicativo Authy no telefone, fornece seu número de telefone e clique em um link de verificação ou insira um código de verificação. É isso aí; Authy está pronto para uso. Os primeiros passos no meu Apple iPhone 6 não demoraram muito.
A técnica exata para configurar a autenticação de dois fatores varia de site para site. No entanto, para a maioria dos sites, você segue as instruções até ter a chance de selecionar o Google Authenticator. Nesse ponto, o site exibe um código QR. Encaixe o código QR com Authy e bam! Você tem autenticação de dois fatores. Ao pesquisar no aplicativo, descobri que ele suporta diretamente pelo menos duas dúzias de sites populares, entre eles Gmail, Facebook, Outlook, Lastpass, Evernote e WordPress. Mais de 10.000 outros sites e aplicativos, grandes e pequenos, usam o Authy diretamente para autenticação, sem conexão com o Google Authenticator.
Seus sites registrados aparecem na parte inferior da janela do aplicativo. Tocar um traz o código de autenticação atual para esse site, juntamente com um temporizador que mostra quanto tempo de vida útil do código permanece em 30 segundos. Funciona da mesma forma no Android e iOS, embora eu tenha observado que a edição iOS exibe uma barra de progresso circular com um rótulo em contagem regressiva segundos, enquanto a edição Android usa apenas uma barra de progresso simples.
Obviamente, se um hacker com habilidades de escolher o bolso conseguir obter sua senha e seu smartphone de autenticação, você poderá estar com problemas. Assim como a segurança estritamente baseada em dispositivo usada pelo oneID, você precisa proteger seu dispositivo completamente. Use uma senha forte ou autenticação biométrica e ative a proteção PIN da Authy (os usuários do iPhone podem atualizar para a autenticação Touch ID).
O LastPass 3.0 e o LastPass 3.0 Premium são compatíveis com o Google Authenticator. Isso significa que você pode proteger sua conta LastPass usando Authy e, em seguida, usar Authy para autenticação de dois fatores de seus outros sites seguros. Você poderia fazer o mesmo com o Dashlane 3.
Recursos para vários dispositivos
Você precisa de um smartphone para iniciar o Authy, mas assim que essa tarefa for concluída, você poderá instalar o Authy em outros smartphones, tablets ou desktops e sincronizar dados entre os dispositivos. Authy suporta dispositivos móveis iOS, Android e BlackBerry, além de Windows, Mac OS e Linux. Existe até um aplicativo Authy para o Apple Watch; basta olhar para o seu pulso para obter o código de autenticação.
Ao instalar o aplicativo de desktop Authy e a extensão do Chrome, você pode ignorar completamente o smartphone. O aplicativo de desktop solicita que você crie uma senha mestra, mas não a exige (uma supervisão, na minha opinião). Observe que a senha mestra é específica do dispositivo; portanto, se você instalar em várias áreas de trabalho, poderá criar várias senhas mestras. Quando a senha mestra está em vigor, o aplicativo exige que você a digite novamente periodicamente. Usando a extensão do Chrome, você pode obter o código atual de qualquer um dos seus sites registrados, copiá-lo para a área de transferência e colá-lo, sem precisar sair do telefone.
Sim, isso definitivamente está prejudicando a definição de autenticação de dois fatores. Alguém que tenha acesso ao seu computador de mesa pode invadir, porque o computador de mesa se torna o fator "algo que você tem". Se você optar por usar o aplicativo de desktop Authy, deverá protegê-lo com uma senha mestra forte. Além disso, você deve proteger com senha sua conta de usuário na área de trabalho e bloquear a conta sempre que se afastar.
Há outro benefício na extensão do Chrome que eu não percebi imediatamente. Se você clicar para visualizar o código atual de um site, e esse site não estiver aberto, você receberá um aviso de phishing. Isso é útil!
Ativar o Authy em outro smartphone ou tablet é fácil. No novo dispositivo, você insere o número de telefone do seu smartphone e responde a uma solicitação de acesso que aparece nesse smartphone. Assim, o Authy está ativado no novo dispositivo.
Perdeu um dispositivo? Você pode usar o aplicativo Authy para remover esse dispositivo do processo de sincronização. Observe, no entanto, que para sites que usam a implementação do TOTP do Google, o token continuará fornecendo códigos para sites já registrados. Um usuário prudente desabilitará e reativará a autenticação de dois fatores nesses sites.
Se você inscreveu todos os dispositivos que deseja, pode configurar o Authy para parar de aceitar mais dispositivos. Há também uma opção para salvar um backup criptografado de suas chaves seguras na nuvem.
Percebi uma opção Bluetooth no aplicativo iOS Authy. Eu o habilitei, mas não consegui encontrar nenhuma maneira de fazê-lo interagir com o meu PC. Acontece que esse recurso é específico do Mac e, mesmo no Mac, ele está tendo problemas com algumas alterações recentes na implementação do Bluetooth.
Por que Authy?
Mencionei anteriormente que você pode usar o Authy em qualquer site que suporte o Google Authenticator. Mas por que você se incomodaria? Bem, Authy é apenas melhor de várias maneiras.
Quando você configura uma conta para autenticação através do Google Authenticator, seu acesso a essa conta em dispositivos móveis é interrompido. Você deve inserir uma "senha do aplicativo" minúscula e longa para reativar o acesso a cada aplicativo em cada dispositivo. Os usuários do Authy podem simplesmente instalar o Authy no dispositivo, evitando a necessidade desse processo irritante.
Se você receber um telefone novo, poderá transferir facilmente todos os seus registros da Authy. Com o Google Authenticator, você teria que passar pelo processo de registro novamente para todos os sites. E o Google Authenticator não oferece nenhuma maneira de revogar o acesso de um telefone perdido ou roubado.
Todo o conceito de senhas com base no tempo é quebrado se o cliente e o servidor não forem sincronizados no tempo. Authy tem uma reputação de permanecer sincronizado, mesmo quando seu dispositivo não tem acesso à rede, mais do que o Google Authenticator. No entanto, não encontrei uma maneira de testar isso.
Há também uma pequena mas crescente coleção de sites que oferecem suporte ao Authy, mas não ao autenticador do Google. Meu contato com a Authy informou que Coinbase, Cloudflare e HumbleBundler estão entre esses sites exclusivos da Authy.
Easy Does It
A autenticação de dois fatores é realmente um maravilhoso aprimoramento de segurança para proteger sites confidenciais, mas os usuários geralmente trocam segurança por conveniência. A introdução do Authy exige um esforço inicial, pois você converte seus sites seguros em dois fatores. Depois disso, é super fácil de usar e um corte definido acima do Google Authenticator. Se você quer proteger seus logins on-line, considere associar o Authy ao LastPass 3.0 ou Dashlane 3, ambos gerenciadores de senhas da Editors 'Choice. O próprio Authy pode muito bem merecer uma honra da Escolha do Editor pela autenticação de dois fatores; simplesmente não analisamos produtos semelhantes suficientes para ter certeza.
