Istnieje wiele form uwierzytelniania dwuskładnikowego (2FA). Możesz otrzymać jednorazowy kod wysłany na Twój telefon. Możesz użyć odcisku palca. Niektórzy kupują klucz sprzętowy (rodzaj pendrive’a). Ale jednym z najłatwiejszych i najbezpieczniejszych sposobów udowodnienia, że Ty to Ty, są aplikacje uwierzytelniające. Wszystko, co musisz zrobić, to zainstalować darmową aplikację i połączyć ją z różnymi kontami.
Chociaż zdecydowana większość aplikacji uwierzytelniających oferuje dokładnie te same funkcje, znaleźliśmy najlepsze darmowe aplikacje uwierzytelniające, które cechuje bezpieczeństwo, funkcjonalność i kompatybilność z urządzeniami.
Co to jest uwierzytelnianie wieloskładnikowe?
Uwierzytelnianie dwuskładnikowe (2FA) lub uwierzytelnianie wieloskładnikowe (MFA) to wieloetapowy proces zabezpieczeń służący do uwierzytelniania Twojej tożsamości podczas próby zalogowania się na konto.
Oznacza to, że oprócz nazwy użytkownika i hasła musisz podać dodatkowe dane uwierzytelniające, aby zweryfikować swoją tożsamość. Te dodatkowe dane uwierzytelniające to zazwyczaj jednorazowy kod (działający tylko przez chwilę), który dostajesz SMS-em, mailem lub za pośrednictwem aplikacji uwierzytelniającej.
Inne formy uwierzytelniania mogą obejmować wykorzystanie biometrii lub klucza sprzętowego.
Dlaczego uwierzytelnianie wieloskładnikowe jest ważne?
Uwierzytelnianie wieloskładnikowe dodatkowo chroni Twoje konta internetowe, zwłaszcza jeśli Twoje hasło wyciekło. Pomyśl o tym w ten sposób: ktoś kradnie Ci klucze i próbuje włamać się do Twojego domu, ale wkrótce odkrywa, że jeśli chce otworzyć drzwi, musi wprowadzić jeszcze kod dostępu. Widzisz? Kryzys zażegnany!
Jak działają aplikacje uwierzytelniające?
Aplikacje uwierzytelniające generują w telefonie jednorazowe kody dostępu, które wygasają w ciągu kilku sekund. Są bezpieczną formą 2FA, a ich celem jest udowodnienie, że to naprawdę Ty dokonujesz próby logowania.
Logując się na konto (np. pocztowe lub na Facebooku), najpierw wpisujesz swoją nazwę użytkownika i hasło, a następnie komunikat poprosi Cię o wprowadzenie kodu uwierzytelniającego. Wówczas musisz otworzyć aplikację uwierzytelniającą na swoim telefonie, która z kolei wyświetli kod. Wystarczy wpisać kod i gotowe!
Po zainstalowaniu aplikacji uwierzytelniającej na swoim urządzeniu szybko połączysz ją z usługami, z których korzystasz (to powinno zająć Ci nie więcej niż minutę). Po zalogowaniu się na konto wystarczy wybrać aplikację uwierzytelniającą jako metodę 2FA i postępować zgodnie z instrukcją.
Większość popularnych stron i usług – np. Google, Facebook i PayPal – działa z aplikacjami uwierzytelniającymi. Możesz wejść na 2FA Directory i sprawdzić, które strony obsługują 2FA/MFA.
Czy aplikacje uwierzytelniające są bezpieczne?
Tak, aplikacje uwierzytelniające zapewniają wysoki poziom bezpieczeństwa. Aplikacje uwierzytelniające są uważane za bezpieczniejszą formę 2FA niż kody wysyłane SMS-em. Zwykle nie polegają na połączeniach internetowych ani mobilnych, co oznacza, że atakujący nie może nic przechwycić. Zamiast tego kody są generowane bezpośrednio na Twoim urządzeniu. Aplikacje uwierzytelniające również nie mają dostępu do Twoich kont – one po prostu generują kody.
Jak działają aplikacje uwierzytelniające bez połączenia z Internetem? Poprzez proces zwany haszowaniem (ang. hashing).
Haszowanie to forma szyfrowania, która wykorzystuje algorytm do generowania unikalnego kodu. Jednak w przeciwieństwie do szyfrowania – które z definicji można odszyfrować – haszowania nie można cofnąć. Aby uwierzytelnianie zakończyło się powodzeniem, należy udowodnić, że wygenerowany unikalny kod jest wynikiem działania algorytmu.
Konfiguracja kont z aplikacjami uwierzytelniającymi na pierwszy rzut oka może wydawać się skomplikowana, ale w istocie to naprawdę łatwy i szybki proces. A co najważniejsze, aplikacje, które wybraliśmy, nic nie kosztują!
Najlepsze darmowe aplikacje uwierzytelniające
Przejdź do…
andOTP
Obsługuje: Androida
To jedna z najmocniejszych pozycji na naszej liście. andOTP jest zarówno łatwy w użyciu, jak i bardzo funkcjonalny. Dla przykładu, aplikacja posiada funkcję tap-to-reveal do wyświetlania haseł jednorazowych oraz „przycisk paniki”, który w nagłych wypadkach usuwa wszystkie tokeny. andOTP umożliwia również tworzenie zaszyfrowanych eksportów danych uwierzytelniających. Niestety andOTP to aplikacja dostępna tylko dla użytkowników Androida.
Plusy:
- funkcja „przycisku paniki”
- ochrona logowania (kod PIN, hasło lub odcisk palca)
- ukrywanie kodów
Minusy:
- aplikacja dostępna tylko na Androida
Twilio Authy
Obsługuje: Windowsa, macOS, Androida, iOS, Linuksa
W przeciwieństwie do innych pozycji na naszej liście, Authy obsługuje i synchronizuje się z różnymi platformami, co czyni go doskonałym wyborem, jeśli stawiasz na wygodę i do uwierzytelniania nie chcesz używać tylko telefonu. À propos, to jedyna z wymienionych przez nas aplikacji, która wymaga podania numeru telefonu. Niestety, to może narazić Twoje konto na atak typu SIM-swapping, czyli atak polegający na zamianie karty SIM.
Plusy:
- obsługuje szeroką gamę platform
- uwierzytelnianie przez SMS, e-mail i telefon
- darmowa pomoc techniczna
- możliwa integracja z zewnętrznymi firmami
Minusy:
- maksymalnie 100 uwierzytelnień miesięcznie
- do utworzenia konta na Authy wymagany jest numeru telefonu
Google Authenticator
Obsługuje: Androida, iOS
To podstawowa i prosta opcja. Google Authenticator jest jedną z pierwszych aplikacji do uwierzytelniania wieloskładnikowego, które pojawiły się na rynku. W porównaniu z innymi aplikacjami z naszej listy ta jest dość prosta, ale działa zgodnie z tym, co obiecuje w reklamach. Poza generowaniem haseł jednorazowych nie robi jednak za dużo. Ponadto, biorąc pod uwagę brak ochrony samej aplikacji, Twoje konta mogą znaleźć się w niebezpieczeństwie, jeśli Twoje urządzenie wpadnie w niepowołane ręce.
Plusy:
- numer telefonu nie jest wymagany
- nie trzeba zakładać konta
- łatwy w użyciu interfejs
- możliwa integracja z zewnętrznymi firmami
Minusy:
- nie ukrywa kodów
- brak obsługi wielu urządzeń
- dostęp do aplikacji nie jest chroniony
- brak open source
2FA Authenticator
Obsługuje: Androida, iOS
2FA Authenticator jest kompatybilny z ponad 500 usługami, generuje czasowe hasła jednorazowe, wysyła powiadomienia push i oferuje synchronizację w chmurze w celu tworzenia kopii zapasowych tokenów uwierzytelniających. 2FA Authenticator zapewnia te same funkcje, co większość wymienionych przez nas aplikacji, ale już 2FAS (deweloper) ma na swojej stronie całkiem przydatne narzędzie, za pomocą którego możesz sprawdzić, czy Twoje jednorazowe hasła są poprawnie generowane.
Plusy:
- łatwa obsługa
- różne opcje tworzenia kopii zapasowych (w tym kopie zapasowe w chmurze)
- ochrona logowania (kod PIN lub rozpoznawanie twarzy)
Minusy:
- ograniczona dokumentacja
FreeOTP
Obsługuje: Androida, iOS
Poza tym, że FreeOTP nie był aktualizowany od kilku lat, jest to całkiem solidna pozycja na naszej liście. Podobnie jak Google Authenticator jest to dość prosta aplikacja, ale zajmuje mniej miejsca i jest open source. Niestety nie oferuje opcji tworzenia kopii zapasowych i synchronizacji.
Plusy:
- nie trzeba zakładać konta
- open source
Minusy:
- brak dostępnych aktualizacji
- brak możliwości tworzenia kopii zapasowych i synchronizacji
Microsoft Authenticator
Obsługuje: Androida, iOS
Microsoft Authenticator to doskonały wybór, jeśli regularnie pracujesz na pakiecie Microsoft Office lub Office 365. Podobnie jak większość innych pozycji na naszej liście, aplikacja generuje jednorazowe hasła znikające po czasie i łatwy w użyciu interfejs. Niestety możesz mieć problem, jeśli zechcesz przesłać swoje dane uwierzytelniające, używając urządzenia z innym systemem operacyjnym (np. jeśli zechcesz przesłać lub zduplikować dane z urządzenia z systemem Android na urządzenie z systemem iOS).
Plusy:
- łatwa obsługa
- ukrywa kody
- ochrona logowania (PIN lub biometria)
Minusy:
- ograniczona integracja z zewnętrznymi firmami
- może wystąpić problem z tworzeniem kopii zapasowych
Duo Mobile
Obsługuje: Androida, iOS
To prawdopodobnie jedna z bardziej podstawowych pozycji na tej liście. Duo Mobile od Cisco generuje jednorazowe hasła znikające po czasie, a także umożliwia synchronizację w chmurze i tworzenie kopii zapasowych. Jednak Duo Mobile nie zezwala na synchronizację między urządzeniami (podobnie jak Microsoft Authenticator) oraz nie chroni użytkownika podczas uzyskiwania dostępu do aplikacji.
Plusy:
- łatwa obsługa
- ukrywa kody
Minusy:
- dostęp do aplikacji nie jest chroniony
- może wystąpić problem z tworzeniem kopii zapasowych
Alternatywy do aplikacji uwierzytelniających
Kody tekstowe i mailowe
Jest to niezwykle powszechna forma uwierzytelniania konta. Największą wadą jest to, że jeśli Twoje urządzenie lub karta SIM zostaną skradzione, sklonowane lub zhakowane, teksty zabezpieczające mogą zostać łatwo przechwycone. Ponadto, jeśli zezwolisz na wyświetlanie powiadomień na ekranie blokady, kody zabezpieczające mogą również zostać skradzione przez osoby znajdujące się w pobliżu Twojego telefonu.
Biometria
To może obejmować rozpoznawanie głosu i skanowanie siatkówki. Chociaż ta forma uwierzytelniania jest unikatowa i bezpieczna, musisz odpowiedzieć sobie na pytanie, czy ufasz firmom na tyle, że chcesz powierzyć im swoje dane biologiczne.
Klucze sprzętowe
To małe klucze USB, które wykorzystują odciski palców do MFA na wielu kontach. Największym problemem związanym z kluczami sprzętowymi jest ryzyko ich zgubienia. Co więcej, musisz nosić klucz przez cały czas przy sobie, co na dłuższą metę może być kłopotliwe, zwłaszcza jeśli zostawisz go w domu.
Warstwy MFA: im więcej, tym lepiej
Chociaż uwielbiamy aplikacje uwierzytelniające jako formę uwierzytelniania wieloskładnikowego, warto również zapoznać się z kilkoma innymi opcjami MFA, aby zabezpieczyć dostęp do swoich kont. Mimo że alternatywy mogą mieć pewne wady, wiele warstw zabezpieczeń może tylko wzmocnić ochronę Twojego konta.
Zalecamy dodanie MFA do wszystkich Twoich kont, które nie są jeszcze chronione, w tym powiadomienia SMS, powiadomienia push i zakup klucza sprzętowego.