Kaksivaiheinen todennus TOTP:llä Siitä on tullut tiliesi suojaamisen olennainen kilpi: toinen koodi, joka muuttuu säännöllisesti ja joka sinun on annettava salasanasi lisäksi. Tässä artikkelissa tarjoan sinulle kattavan oppaan, joka sisältää sovellusvertailuja, määritysvinkkejä ja tosielämän käyttötapauksia, kaikki selitettynä yksityiskohtaisesti ja käyttäjäystävällisellä tavalla, jotta et eksy matkan varrella.
Yksinkertaisen luettelon lisäksi täältä löydät käytännön tietoa Valitaksesi parhaan TOTP-sovelluksen, opi asentamaan se suosittuihin palveluihin (GitHub, Bitwarden, Nextcloud jne.), ymmärtämään, miten se toteutetaan taustajärjestelmässäsi Node.js:n avulla ja välttämään yleisiä virheitä, jotka voivat estää sinua pääsemästä ulos tileiltäsi. Aloitetaanpa.
Mikä on TOTP ja miksi sinun pitäisi aktivoida se tänään
TOTP (aikaperusteinen kertakäyttöinen salasana) Se on algoritmi, joka luo aikaan perustuvia kertakäyttöisiä salasanoja. Sovelluksesi ja palvelimesi jakavat salaisuuden; järjestelmäkellon avulla ne molemmat laskevat saman koodin, joka uusitaan tyypillisesti 30 sekunnin välein. Koska se toimii offline-tilassa, Se on nopea, luotettava ja erittäin mukavaja lisää toisen kerroksen, joka pysäyttää hyökkäykset, vaikka salasanasi vuotaisi.
2FA:n sisällä on useita menetelmiä (tekstiviestit, sähköposti, biometria, fyysiset avaimet, push-ilmoitukset...), mutta TOTP-sovellukset ovat yleensä tasapainoisin vaihtoehto Yksityisyyden, saatavuuden ja hallinnan vuoksi. Huomautus: Tekstiviesti on hyödyllinen pelastuskeino, mutta se ei ole yhtä vankka tai luotettava, varsinkin Yhdysvaltojen ulkopuolella.
Tärkeitä vinkkejä ennen aloittamista
Ensimmäinen, Älä poista 2FA-tiliä sovelluksestasi. ilman, että sitä ensin deaktivoidaan palvelun verkkosivustolla. Se on helppo estää pysyvästi. Toiseksi, luo ja tallenna palautuskoodit aina kun ne ovat saatavilla. Kolmanneksi, suunnittele varmuuskopiointisi: valitse sovelluksia, joissa on salattu pilvivarmuuskopiointi, vie tiedostot salattuun tiedostoon tai käytä tilin synkronointia, jotta vältät tokeneiden katoamisen puhelinta vaihdettaessa.
Todellisuuden huomio: Joka 39. sekunti tapahtuu kyberhyökkäys missä päin maailmaa tahansa. 2FA:n aktivointi TOTP:llä kestää alle kaksi minuuttia ja parantaa turvallisuuttasi. Jos lisäät myös fyysisen suojausavaimen vaihtoehtoisena menetelmänä, olet pahasti myöhässä.
Kuinka valita TOTP-sovelluksesi: mitä etsiä ja mitä välttää
Parhaat sovellukset yhdistyvät turvallisuus, helppous, vienti/varmuuskopiointi ja yhteensopivuus eri alustojen välillä. On tärkeää, että ne voidaan suojata biometrisillä tiedoilla tai PIN-koodilla, piilottaa näytöllä näkyvät koodit ja tarjota salattuja varmuuskopioita tai suojattua vientiä. Jos käytät useita käyttöjärjestelmiä, etsi synkronointi Androidin, iOS:n ja työpöydän välillä.
Mitä paeta? Sovelluksia, joilla ei ole varmuuskopiointia tai vientiä, yhteensopimattomat kopiot alustojen välillä (jos käytät vuorotellen iOS:ää ja Androidia) tai jotka vaativat puhelinnumeron, jos et tarvitse sitä. Hienot yksityiskohdat ratkaisevat kaiken kriisiaikoina.
TOTP-todennussovellusten täydellinen vertailu
Alla on yleiskatsaus työkalujen olennaisimpien ominaisuuksien ja vivahteiden avulla, jotka esiintyvät useimmin parhaissa oppaissa, dokumentaatiossa ja erikoisanalyyseissä.
Google Authenticator (Android, iOS)
Se on klassinen viittaus: ilmainen, yksinkertainen eikä vaadi tiliäVie kaikki tunnukset kerralla käyttämällä yhtä QR-koodia siirtääksesi ne toiseen puhelimeen, ja iOS:ssä voit suojata pääsyn Face ID:llä/Touch ID:llä ja hakea tokeneita. Siinä ei ole natiiveja pilvivarmuuskopioita eikä se aina piilota koodeja, mikä voi olla kiusallista julkisesti. Ihanteellinen, jos et halua pilvipalvelua ja asetat yksinkertaisuuden etusijalle.
Microsoft Authenticator (Android, iOS)
Yhdistää salasananhallinnan ja TOTP:n Biometrinen/PIN-suojaus, koodin piilotus ja pilvivarmuuskopiot. Heikko kohta: iOS- ja Android-varmuuskopiot ovat yhteensopimattomia keskenään, ei vie tokeneita ja vie paljon tilaa (150–200 Mt). Jos olet Microsoftin ekosysteemissä, se helpottaa kirjautumista huomattavasti.
Twilio Authy (Android, iOS, Windows, macOS, Linux)
Monialustainen tähti: synkronoituu moitteettomasti mobiililaitteen ja tietokoneversion välillä pilvivarmuuskopioinnilla ja PIN-/biometrisellä suojauksella. Tilin luominen puhelinnumerolla vaaditaan, ja mobiilikäyttöliittymä näyttää yksi merkki kerrallaan, joka on vähemmän ketterä monien tilien kanssa. Se ei vie/tuo tokeneita, mutta vaihtoehtona Googlelle/Microsoftille se on yksi parhaista.
Duo-mobiilisovellus (Android, iOS)
Hyvin suosittu yrityksissä, puhdas ja yksinkertainen käyttöliittymä, piilottaa koodit ja sallii varmuuskopioinnin Google Cloudiin (Android) tai iCloudiin (iOS) ilman uuden tilin luomista. Sovelluksessa ei ole käyttöoikeuksien suojausta ja iOS/Android-kopioita ei tueta toisiaan. Jos et aio vaihtaa alustaa, se voi palvella sinua täydellisesti.
FreeOTP (Android, iOS)
Avoimen lähdekoodin projekti, minimalistinen ja erittäin kevyt (2–3 Mt). Ei pilvitallennustilaa tai tokenien vientiä; iOS:ssä ei voi luoda tokeneita manuaalisella avaimella (vain QR-koodit). iOS:ssä voit suojata tokeneita Face ID:llä/Touch ID:llä, ja koodit piilotetaan oletuksena ja 30 sekunnin käyttämättömyyden jälkeen. Niille, jotka arvostavat minimalismia ja yksityisyyttä.
jaOTP (Android)
Erittäin kattava ja avoimen lähdekoodin: PIN-/salasana-/sormenjälkitunnistus, tunnisteet, haku, automaattinen piilottaminen ja lukitseminen käyttämättömyyden vuoksi, "paniikkipainike" kaiken poistamiseksi ja vienti salattuun tiedostoon (esim. Google Drive). Se on lopetettu, mutta on edelleen erittäin vakaa. riski: : Avainten palauttamisen helppous edellyttää erittäin hyvää pääsyn suojaamista.
Aegis-todentaja (Android)
Moderni avoimen lähdekoodin vaihtoehto, ilmainen, salauksella ja biometrialla ja hyvät varmuuskopiointivaihtoehdot. Se tukee tuontia Authysta/ja OTP:stä ja lähes kaikista 2FA-muodoista. Jotkin tehokkaat ominaisuudet vaativat rootin, mikä ei sovi kaikille. Hyvä tasapaino turvallisuuden ja käytettävyyden välillä.
OTP-todennus (iOS, macOS)
Tehokas Applelle: järjestettävät kansiot, tiedostoon vienti, avaimen/QR-tunnuksen luku, iCloud-synkronointi ja Face ID/Touch ID- tai salasanasuojaus. Se ei piilota koodeja, ja jotkin ominaisuudet ovat maksullisia macOS:ssä. iPhonella/Macilla Se on täydellisin.
Vaihe kaksi (iOS, macOS)
Minimalistinen, jossa iCloud-synkronointi ja Apple Watch -tuki. Ei pääsyn suojausta, ei koodin piilottamista, ei tokeneiden vientiä/tuontia, ja ilmaisversiossa voit käyttää enintään kymmentä tokenia. macOS:ssä QR-koodien lukemiseen vaaditaan kuvakaappauslupa. Täydellinen, jos haluat jotain todella yksinkertaista Applen ekosysteemissä.
WinAuth (Windows)
Pelaajakeskeinen: tukee tokeneita epästandardi Steam, Battle.net tai Trion/Gamigo, tavallisen TOTP:n lisäksi. Sen avulla voit salata tietoja, viedä ne pelkkänä tekstinä tai salattuna tiedostona, suojaa salasanalla tai YubiKeyllä ja piilottaa koodit automaattisesti. Se on olemassa vain Windowsille ja yleensä 2FA:ta ei suositella PC:lle, mutta peleihin se on helmi.
Authenticator-sovellus (Applen ekosysteemi)
Tarkistin, jossa on sovelluksia iPhonelle, iPadille, Macille ja Apple Watchille, ja laajennukset lähes kaikille selaimille (Safari, Chrome, Brave, Tor, Vivaldi…). Siinä on hyvin rajoitettu ilmaisversio; maksullinen versio lisää varmuuskopioinnin ja synkronoinnin. Se sisältää salauksen, jakaa perheen kanssa ja lukitse Face ID:llä. Jos asut Applella, se on harkitsemisen arvoinen vaihtoehto.
2FA (2FA-todennus)
Yksinkertainen, ilmainen ja E2E-salauksella, toimii offline-tilassa ja antaa sinun linkittää tokeneita avaimen tai QR-koodin avulla ja synkronoida ne Google Driven kanssa. Varmuuskopiot, jotta et menetä tokeneita, selainlaajennus, PIN-koodi/biometriset tiedot ja ei mainoksia. Vähän lisäasetuksia. mutta erittäin luotettava Päivittäin.
1Password (sisäänrakennetulla TOTP:llä)
Maksettu salasananhallintaohjelma, joka sisältää 2FA TOTP:n Integroitu. Suuri plussa on koodin automaattinen täyttö tuetuilla sivustoilla ja yhtenäinen tunnistetietojen hallinta. Se ei ole puhdas 2FA-sovellus, mutta jos käytät jo 1Passwordia, se yksinkertaistaa elämääsi mobiililaitteilla, tietokoneilla ja selaimessa.
Bitwarden (integroidulla TOTP:llä)
Avoimen lähdekoodin ja ilmainen yhdelle käyttäjälle; maksullinen versio lisää TOTP:n, joka on automaattinen täydennys verkkosivustoilla ja sovelluksissaSe luo oletuksena kuusinumeroisia koodeja (SHA-1, 30s) ja antaa sinun mukauttaa parametreja muokkaamalla TOTP URI:ta. Selainlaajennukset kopioivat TOTP:n leikepöydälle automaattisen täydennyksen jälkeen, jos otat asetuksen käyttöön. Hyvin pyöreä keskittää salasanat ja 2FA:n.
TOTP-todentaja (BinaryBoot)
Selkeä käyttöliittymä ja laaja tuki 2FA-palveluille. Se tarjoaa Pilvisynkronointi Premium Google Driven (sinä hallinnoit tietoja), selainlaajennuksen (premium), tumman teeman avulla tunnisteet ja haku, alustojen välinen tuki (Android/iOS), useiden laitteiden käyttö (salatut varmuuskopiot), useita widgetejä, kuvakkeiden mukauttaminen ja biometrinen turvallisuus ja mahdollisuus estää kuvakaappaukset. Ilmaisversio on hieman rajoitettu.
Protectimus Smart OTP
Saatavilla Androidille ja iOS:lle, yhteensopiva Android-kellojen kanssa, tukee useita protokollia ja antaa sinun suojata sovelluksen PIN-koodilla. Vähemmän tunnettu, mutta erittäin kattava, jos etsit erilaisia standardeja ja käyttö puettavissa laitteissa.
Ohjeet: TOTP:n aktivointi suosituissa palveluissa
Mennäänpä tarkkojen ohjeiden mukaan, virallisista asiakirjoista tislattu joten voit määrittää TOTP:n eksymättä.
TOTP:n määrittäminen GitHubissa (TOTP-sovellus tai tekstiviesti, lisämetodeilla)
GitHub suosittelee käyttöä Pilvipohjaiset TOTP-sovellukset ja suojausavaimet varajärjestelmänä tekstiviestien sijaan. 2FA:n aktivoinnin jälkeen tilisi siirtyy 28 päivän vahvistusjaksoon: jos et läpäise todennusprosessia, sinua pyydetään tekemään 2FA 28. päivänä, ja voit määrittää sen uudelleen, jos jokin menee pieleen.
- Vaiheittainen TOTPKäyttäjäasetukset → Salasana ja todennus → Ota 2FA käyttöön → Skannaa QR-koodi TOTP-sovelluksellasi tai käytä manuaalista asennusavainta (Kirjoita TOTP, GitHub-tunniste: , GitHub-myöntäjä, SHA1, 6 numeroa, 30 sekuntia). Vahvista nykyisellä koodilla ja lataa palautuskoodit.
- Tekstiviesti vaihtoehtonaLisää numerosi CAPTCHA-testin läpäistyäsi, syötä tekstiviestitse saamasi koodi ja tallenna palautuskoodit. Käytä tätä vain, jos et voi käyttää TOTP:tä.
- SalasanatJos sinulla on jo 2FA TOTP-sovelluksen tai tekstiviestin kautta, lisää salasana kirjautuaksesi sisään ilman salasanaa ja täyttäen silti 2FA-vaatimuksen.
- Suojausavaimet (WebAuthn)Kun olet aktivoinut 2FA:n, rekisteröi yhteensopiva avain. Se lasketaan toiseksi vahvistustekijäksi ja vaatii salasanasi. Jos kadotat sen, voit käyttää tekstiviestiä tai TOTP-sovellusta.
- GitHub MobileKun olet saanut TOTP:n tai tekstiviestin, voit käyttää mobiilisovellusta push-ilmoitukset; ei ole riippuvainen TOTP:stä ja käyttää julkisen avaimen salausta.
Jos TOTP-sovellus ei sovi sinulle, rekisteröi SMS B-suunnitelmaksi ja lisää sitten suojausavain nostaaksesi turvallisuustasoa mutkistamatta asioita.
Bitwarden Authenticator: Luonti, automaattinen täyttö ja temput
Bitwarden luo 6-numeroisia TOTP:itä SHA-1:llä ja 30 sekunnin rotaatiollaVoit skannata QR-koodin selainlaajennuksesta (kamerakuvake) tai syöttää koodin manuaalisesti iOS:llä/Androidilla. Kun asetukset on määritetty, näet pyörivän TOTP-kuvakkeen kohteen sisällä ja voit kopioida sen aivan kuten salasanan.
Automaattinen täydennysSelainlaajennukset täyttävät TOTP:n automaattisesti tai kopioivat sen leikepöydälle automaattisen täytön jälkeen, jos otat käyttöön "Automaattinen täyttö sivun latauduttaessa" -toiminnon. Mobiililaitteella koodi kopioidaan leikepöydälle kirjautumisen automaattisen täytön jälkeen.
Jos koodisi eivät toimi, synkronoi laitteen kellon (Automaattisen ajan ottaminen käyttöön/pois käytöstä Androidilla/iOS:llä; sama päivämäärälle/kellonajalle ja aikavyöhykkeelle macOS:ssä.) Jos palvelu vaatii eri asetuksia, muokkaa URI-todennus manuaalisesti kohdassa numeroiden, pisteen tai algoritmin säätämiseksi.
iOS 16+:ssa voit asettaa Bitwardenin seuraavasti: oletussovellusvahvistus Kun skannaat koodeja kamerasta: Asetukset → Salasanat → Salasana-asetukset → Määritä vahvistuskoodit → Bitwarden. Skannauksen aikana napauta "Avaa Bitwardenissa" tallentaaksesi sen.
Microsoft Azure/Office 365 -tileille: Valitse 2FA-asennuksen aikana ”toinen todennussovellus” Microsoft Authenticatorin sijaan ja skannaa QR-koodi Bitwardenilla. Steamin osalta käytä etuliitteellä varustettua URI:ta. steam:// ja sen jälkeen salainen avaimesi; koodit ovat 5 merkkiä aakkosnumeerinen.
Nextcloud: TOTP ja varakoodit
Jos instanssisi ottaa käyttöön 2FA:n, näet henkilökohtaisissa asetuksissasi salainen koodi ja QR-koodi skannataksesi TOTP-sovelluksellasi. Luo ja tallenna varakoodit turvallisessa paikassa (ei itse puhelimessa), koska ne auttavat sinut pulasta, jos menetät toisen tekijän.
Kun kirjaudut sisään, anna TOTP-salasana selaimeesi tai valitse toinen toinen vaihe, jos sellainen on määritetty. Jos käytät WebAuthnia, älä käytä samaa merkkiä uudelleen 2FA:lle ja salasanattomalle kirjautumiselle, koska se ei enää olisi "kaksinkertainen" tekijä.
Yritystapaustutkimus: Erikoislääkkeiden portaali (AEMPS)
Tyypillinen työnkulkuesimerkki: asenna TOTP-sovellus (Microsoft/Google Authenticator, FreeOTP, Authy…) ja selaimesta pyyntö "Nollaa vahvistuskoodi" tunnistetietosivulla. Saat sähköpostin, jossa on linkki QR-koodilla.
Skannaa QR-koodi sovelluksellasi, näet ensimmäisen koodisi ja palaa selaimeesi syöttääksesi sen nollaussivulla. Kirjaudu sieltä sisään valitsemalla "Vahvistuskoodi"-menetelmä: käyttäjätunnus, salasana ja puhelimessasi näkyvä nykyinen TOTP-koodi.
Laitteistoavaimet: YubiKey ylellisenä lisävarusteena
Maksimaalisen turvallisuuden takaamiseksi YubiKey Yubicon kehittämä Se on kultastandardi: IP68-luokitellut fyysiset avaimet, paristottomat, kestävät ja yhteensopivat FIDO2:n, U2F:n, OTP:n, älykortin jne. kanssa. Ne toimivat täydellisesti Googlen, Facebookin ja monien muiden palveluiden kanssa. Jos palvelu ei tue laitteistoa, voit käyttää heidän todennussovellustaan varmuuskopiointi. Saatavilla on jopa FIPS-sertifioituja malleja ympäristöihin, jotka sitä vaativat.
Ideaali: TOTP-sovellus + YubiKeySinulla on aina käytettävissäsi toinen ja erittäin turvallinen suojauskerroin, kun haluat maksimoida suojauksesi.
Toteuta TOTP taustajärjestelmässäsi (Node.js ja otplib)
Jos kehität omaa sovellustasi, TOTP on helppo integroida siihen otplib ja ripaus Express.js:ää. Työnkulussa on kaksi vaihetta: TOTP-salaisuuden liittäminen käyttäjään ja koodien validointi sisäänkirjautumisen yhteydessä.
- kumppanuusLuo palvelimelle salaisuus, luo OTPauth URI ja näytä se QR-koodina (käyttäen kirjastoja, kuten QRcode). Käyttäjä skannaa sen sovelluksellaan ja lähettää sinulle TOTP:n. vahvista ja tallenna yhteys.
- vahvistus: jokaisen kirjautumisen yhteydessä oikean salasanan syöttämisen jälkeen, kysy TOTP:tä ja tarkista sen oikeellisuus tallennettua salaisuutta vasten. Jos se on voimassa, suoritat sisäänkirjautumisen loppuun.
Kuten näette, se on hyvin selkeä kaava: synkronoit salaisuudenVahvistat ensimmäisen koodin ja vertaat sitten kiertävää TOTP-koodia jokaiseen kirjautumiseen. Yksinkertainen, luotettava ja yhteensopiva useimpien todennussovellusten kanssa.
Vinkkejä ja hyviä käytäntöjä, jotka säästävät vaivalta
Mieti "varasuunnitelmaasi": palautuskoodit ja vaihtoehtoiset menetelmät (suojausavain, tekstiviesti, push-mobiilisovellus) ja jos käytät pilvisynkronointia, tarkista, onko yhteensopimattomuudet iOS:n ja Androidin välillä (Microsoftin ja Duon tapaus), joten puhelinta vaihtaessasi et saa yllätyksiä.
Milloin käyttää salasananhallintaa, jossa on sisäänrakennettu TOTP
Jos käytät jo Bitwardenia tai 1Passwordia, aktivoi TOTP-moduuli Yhdistää salasanat ja toisen vaiheen todennuksen automaattisen täytön kanssa samassa työkalussa. Edut: nopeus ja vähemmän kitkaa. Haitta: keskität enemmän arkaluonteisia elementtejä yhteen paikkaan, joten Suojaa se vahvalla 2FA:lla ja tarkista suojatun viennin/varmuuskopioinnin asetukset.
Yhteenveto esitellyistä sovelluksista ja yhteensopivuudesta
AndroidGoogle Authenticator, Microsoft Authenticator, Authy, Duo, FreeOTP, Aegis ja OTP, 2FAS, Protectimus, TOTP Authenticator, WinAuth (ei mobiili). iOSGoogle Authenticator, Microsoft Authenticator, Authy, Duo, FreeOTP, OTP Auth, Step Two, Authenticator-sovellus, TOTP Authenticator. Työpöytä: Authy (Win/macOS/Linux), OTP-todennus (macOS), vaihe kaksi (macOS), WinAuth (Windows).
että erityisiä videopelimerkkejäWinAuth loistaa Steamin ja Battle.netin kanssa; Bitwarden pystyy käsittelemään Steamia steam://Applella integroitu todennus iOS 15+:ssa ja Safari 15+:ssa se on hyödyllinen, mutta sen automaattinen täydennys ei aina osu merkkiin eikä ole yhtä nopea kuin erillinen sovellus.
Nopea tarkistuslista TOTP-sovelluksen valintaan
- Tarvitsetko aito alustojen välinen (mobiili + pöytäkone)? Authy on varma valinta.
- Minimalismia ja ei pilviä? Google Authenticator tai FreeOTP ovat hyvä pohja.
- Avoin lähdekoodi ja hienosäätö? Aegis (Android) tai OTP-todennus (iOS) erottuvat joukosta.
- Kaikki yhdessä -hallinta + TOTP? Bitwarden tai 1Password tekee siitä paljon yksinkertaisempaa.
- Pelimaailma? WinAuth tukee epästandardeja tokeneita.
Mikä tahansa valinta, luo varmuuskopioita ja tallentaa palautuskoodit. Se on pelastus, kun tilanne on pahimmillaan.
TOTP:n aktivointi antaa sinulle valtavan harppauksen tietoturvassa minimaalisilla aikakustannuksilla, ja näkemiesi sovellusten avulla voit valita itsellesi parhaiten sopivan: yksinkertaisista, pilvivapaista ratkaisuista synkronoituihin ekosysteemeihin kaikissa laitteissasi, mukaan lukien hallintaohjelmat, jotka täydentävät koodin automaattisesti puolestasi, tai fyysiset avaimet silmukan sulkemiseksi. korkean turvallisuuden skenaariotParilla hyvällä päätöksellä ja varasuunnitelmalla, Tilisi muuttuu "armoilla" olevasta "pelonkestäväksi".
