Autentifikim me dy hapa me TOTP Është bërë mburoja thelbësore për mbrojtjen e llogarive tuaja: një kod i dytë që ndryshon periodikisht dhe që duhet ta futni përveç fjalëkalimit tuaj. Në këtë artikull, ju sjell një udhëzues gjithëpërfshirës me krahasime aplikacionesh, këshilla konfigurimi dhe raste përdorimi nga jeta reale, të gjitha të shpjeguara në detaje dhe në një mënyrë miqësore për përdoruesit, në mënyrë që të mos humbisni rrugën.
Përtej një liste të thjeshtë, këtu do të gjeni informacion praktik Për të zgjedhur aplikacionin më të mirë TOTP, mësoni se si ta konfiguroni atë në shërbimet e njohura (GitHub, Bitwarden, Nextcloud, etj.), kuptoni se si ta implementoni atë në backend-in tuaj me Node.js dhe shmangni gabimet e zakonshme që mund t'ju lënë jashtë llogarive tuaja. Le të fillojmë me të.
Çfarë është TOTP dhe pse duhet ta aktivizoni sot
TOTP (Fjalëkalim i Vetëmpërdorshëm i Bazuar në Kohë) Është një algoritëm që gjeneron fjalëkalime njëpërdorimëshe të bazuara në kohë. Aplikacioni juaj dhe serveri ndajnë një sekret; duke përdorur orën e sistemit, të dy llogarisin të njëjtin kod, i cili zakonisht rinovohet çdo 30 sekonda. Meqenëse funksionon jashtë linje, Është i shpejtë, i besueshëm dhe shumë i rehatshëm, dhe shton një shtresë të dytë që ndalon sulmet edhe nëse fjalëkalimi juaj zbulohet.
Brenda 2FA-së ekzistojnë disa metoda (SMS, email, biometrikë, çelësa fizikë, njoftime push...), por Aplikacionet TOTP janë zakonisht opsioni më i ekuilibruar Për privatësi, disponueshmëri dhe kontroll. Shënim: SMS-të janë të dobishme si shpëtim, por nuk janë aq të forta ose të besueshme, veçanërisht jashtë SHBA-së.
Këshilla kryesore para se të filloni
Primero, Mos e fshini një llogari 2FA nga aplikacioni juaj. pa e çaktivizuar më parë nga faqja e internetit e shërbimit. Është e lehtë të bllokohesh përgjithmonë. Së dyti, gjenero dhe ruaje kodet e rikuperimit sa herë që janë të disponueshme. Së treti, planifikoni kopjet rezervë: zgjidhni aplikacione me kopje rezervë të enkriptuar në cloud, eksportoni në një skedar të enkriptuar ose përdorni sinkronizimin e llogarisë për të shmangur humbjen e tokenëve kur ndërroni telefonat.
Një shënim për realitetin: Çdo 39 sekonda ka një sulm kibernetik kudo në botë. Aktivizimi i 2FA me TOTP zgjat më pak se dy minuta dhe rrit sigurinë tuaj. Nëse shtoni edhe një çelës sigurie fizik si një metodë alternative, do ta bëni me shumë vonesë.
Si të zgjidhni aplikacionin tuaj TOTP: çfarë të kërkoni dhe çfarë të shmangni
Aplikacionet më të mira kombinohen siguri, lehtësi, eksportim/kopje rezervë dhe përputhshmëri ndërplatformash. Është thelbësore që ato të mund të mbrohen me biometrikë ose PIN, të fshehin kodet në ekran dhe të ofrojnë kopje rezervë të enkriptuara ose eksport të sigurt. Nëse përdorni sisteme të shumta operative, kërkoni sinkronizimi midis Android, iOS dhe desktopit.
Nga çfarë të ikësh? Aplikacione pa kopje rezervë ose eksport, kopje të papajtueshme midis platformave (nëse kaloni nga iOS në Android), ose që kërkojnë një numër telefoni nëse nuk keni nevojë për një të tillë. Detajet e imëta bëjnë gjithë ndryshimin në një kohë krize.
Krahasim i plotë i aplikacioneve të vërtetimit TOTP
Më poshtë keni një përmbledhje me karakteristikat dhe nuancat më të rëndësishme të mjeteve që shfaqen më shpesh në udhëzuesit, dokumentacionin dhe analizat e specializuara më të mira.
Autentifikuesi i Google (Android, iOS)
Është referenca klasike: falas, e thjeshtë dhe nuk kërkon llogariEksportoni të gjitha token-at menjëherë duke përdorur një kod të vetëm QR për të migruar në një telefon tjetër, dhe në iOS mund të siguroni akses me Face ID/Touch ID dhe të kërkoni për token-a. Nuk ka kopje rezervë të cloud-it dhe nuk i fsheh gjithmonë kodet, gjë që mund të jetë e vështirë në publik. Ideale nëse nuk dëshironi cloud dhe ju i jepni përparësi thjeshtësisë.
Autentifikuesi i Microsoftit (Android, iOS)
Kombinon menaxherin e fjalëkalimeve dhe TOTP me Mbrojtje biometrike/PIN, fshehje e kodit dhe kopjet rezervë në cloud. Pika e dobët: Kopjet rezervë në iOS dhe Android janë të papajtueshme me njëra-tjetrën, nuk eksporton tokena dhe zë shumë hapësirë (150-200 MB). Nëse jeni në ekosistemin e Microsoft, i bën hyrjet shumë më të lehta.
Twilio Authy (Android, iOS, Windows, macOS, Linux)
Ylli i shumë platformave: sinkronizohet në mënyrë të përsosur midis celularit dhe desktopit, me kopje rezervë në cloud dhe mbrojtje PIN/biometrike. Kërkohet krijimi i një llogarie me një numër telefoni dhe shfaqet ndërfaqja e celularit një shenjë në të njëjtën kohë, i cili është më pak i shkathët me shumë llogari. Nuk eksporton/importon tokena, por si një alternativë ndaj Google/Microsoft, është një nga më të mirët.
Duo Mobile (Android, iOS)
Shumë popullor në kompani, ndërfaqe e pastër dhe e thjeshtë, fsheh kodet dhe lejon ruajtjen e të dhënave në Google Cloud (Android) ose iCloud (iOS) pa krijuar një llogari të re. Nuk ka mbrojtje qasjeje në aplikacion dhe Kopjet iOS/Android nuk mbështeten njëri-tjetrin. Nëse nuk do të ndryshoni platforma, kjo mund t'ju shërbejë në mënyrë të përkryer.
FreeOTP (Android, iOS)
Projekt me burim të hapur, minimalist dhe shumë i lehtë (2-3 MB). Nuk ka hapësirë ruajtjeje në cloud ose eksportim token-ash; në iOS, nuk ju lejon të krijoni token-a me një çelës manual (vetëm kode QR). Në iOS, mund t'i mbroni token-at me Face ID/Touch ID, dhe kodet fshihen si parazgjedhje dhe pas 30 sekondash mosaktiviteti. Për ata që i japin përparësi minimalizmit dhe privatësisë.
dheOTP (Android)
Shumë i plotë dhe me burim të hapur: Kyçje me PIN/fjalëkalim/gjurmë gishtash, etiketa, kërkim, fshehje dhe bllokim automatik për shkak të mosaktivitetit, një "buton paniku" për të fshirë gjithçka dhe eksportim në një skedar të enkriptuar (p.sh., Google Drive). Është ndërprerë prodhimi, por është ende shumë i qëndrueshëm. rrezik: : lehtësia e rikuperimit të çelësave kërkon mbrojtje shumë të mirë të aksesit.
Aegis Authenticator (Android)
Alternativë moderne me burim të hapur, falas, me enkriptim, biometrikë dhe mundësi të mira për kopje rezervë. Mbështet importimin nga Authy/andOTP dhe pothuajse të gjitha formatet 2FA. Disa veçori të fuqishme kërkojnë root, gjë që nuk është për të gjithë. Ekuilibër i mirë midis sigurisë dhe përdorshmërisë.
Autorizimi OTP (iOS, macOS)
I fuqishëm për Apple: dosje për të organizuar, eksportim në skedar, lexim i tastit/tokenit QR, sinkronizim iCloud dhe mbrojtje me Face ID/Touch ID ose fjalëkalim. Nuk fsheh kodet dhe disa veçori janë me pagesë në macOS. Për iPhone/Mac, Është më i plotë.
Hapi i dytë (iOS, macOS)
Minimalist, me sinkronizimi iCloud dhe mbështetje për Apple Watch. Nuk ka mbrojtje për akses, nuk ka fshehje kodi, nuk ka eksport/import tokenësh dhe versioni falas ju kufizon në dhjetë tokenësh. Në macOS, kërkohet leje për pamjen e ekranit për të lexuar kodet QR. Perfekte nëse dëshironi diçka shumë të thjeshtë në ekosistemin e Apple.
WinAuth (Windows)
I orientuar drejt lojtarëve: mbështet tokenët jo-standard Steam, Battle.net ose Trion/Gamigo, përveç TOTP-së standarde. Ju lejon të enkriptoni të dhënat, t'i eksportoni ato në tekst të thjeshtë ose skedar të enkriptuar, mbrojeni me një fjalëkalim ose YubiKey dhe fsheh kodet automatikisht. Ekziston vetëm për Windows dhe, si rregull, 2FA nuk rekomandohet në PC, por për lojërat është një perlë.
Aplikacioni Authenticator (ekosistem Apple)
Checker me aplikacione për iPhone, iPad, Mac dhe Apple Watch, dhe zgjerime për pothuajse të gjithë shfletuesit (Safari, Chrome, Brave, Tor, Vivaldi…). Ka një version falas shumë të kufizuar; versioni me pagesë shton kopje rezervë dhe sinkronizim. Përfshin enkriptimin, ndajnë me familjen dhe kyçje me Face ID. Nëse jetoni në Apple, është një mundësi për t'u marrë në konsideratë.
2FAS (Autentifikues 2FA)
E thjeshtë, falas dhe me enkriptim E2E, funksionon jashtë linje dhe ju lejon të lidhni token-at me anë të çelësit ose kodit QR dhe t'i sinkronizoni ato me Google Drive. Kopje rezervë në mënyrë që të mos humbni token-at, një zgjerim shfletuesi, PIN/të dhëna biometrike dhe pa reklama. Pak opsione të avancuara. por shumë i besueshëm Për ditën në ditë.
1Password (me TOTP të integruar)
Menaxher fjalëkalimesh me pagesë që përfshin 2FA TOTP I integruar. Plus i madh është plotësimi automatik i kodit në faqet e mbështetura dhe menaxhimi i unifikuar i kredencialeve. Nuk është një aplikacion i pastër 2FA, por nëse tashmë përdorni 1Password, jua thjeshton jetën në celular, desktop dhe shfletues.
Bitwarden (me TOTP të integruar)
Burim i hapur dhe falas për një përdorues të vetëm; versioni me pagesë shton TOTP i cili është plotësim automatik në faqet e internetit dhe aplikacionetAi gjeneron kode gjashtëshifrore (SHA-1, 30s) si parazgjedhje dhe ju lejon të personalizoni parametrat duke modifikuar URI-në e TOTP-së. Zgjerimet e shfletuesit kopjojnë TOTP-në në kujtesën e përkohshme pas plotësimit automatik nëse e aktivizoni opsionin. Shumë e rrumbullakët për të centralizuar fjalëkalimet dhe 2FA.
Autentifikuesi TOTP (BinaryBoot)
Ndërfaqe e pastër dhe mbështetje e gjerë për shërbimet 2FA. Ofron Cloud Sync Premium me Google Drive (ju kontrolloni të dhënat), zgjerimin e shfletuesit (premium), temën e errët, etiketat dhe kërkimi, mbështetje ndërplatformëshe (Android/iOS), përdorim në shumë pajisje (kopje rezervë të enkriptuara), widget-e të shumta, personalizim ikonash dhe siguria biometrike me opsionin për të bllokuar pamjet e ekranit. Versioni falas është disi i kufizuar.
Protectimus Smart OTP
I disponueshëm në Android dhe iOS, i pajtueshëm me orët Android, mbështet protokolle të shumëfishta dhe ju lejon të mbroni aplikacionin me një PIN. Më pak i njohur, por shumë i plotë nëse kërkoni një larmi standardesh dhe përdorim në pajisje të veshshme.
Udhëzues praktik: Si të aktivizoni TOTP në shërbimet popullore
Le të vazhdojmë me udhëzime specifike, i nxjerrë nga dokumentacioni zyrtar kështu që mund ta konfiguroni TOTP pa u humbur.
Konfiguroni TOTP në GitHub (aplikacioni TOTP ose SMS, me metoda shtesë)
GitHub rekomandon përdorimin e Aplikacione TOTP dhe çelësa sigurie të bazuara në cloud si një kopje rezervë në vend të SMS-it. Pas aktivizimit të 2FA-së, llogaria juaj hyn në një periudhë verifikimi 28-ditore: nëse nuk e kaloni procesin e vërtetimit, do t'ju kërkohet 2FA në ditën e 28-të dhe mund ta rikonfiguroni atë nëse diçka shkon keq.
- Hap pas hapi TOTPCilësimet e Përdoruesit → Fjalëkalimi dhe Autentifikimi → Aktivizo 2FA → Skano kodin QR me aplikacionin tënd TOTP ose përdor çelësin e konfigurimit manual (Shkruani TOTP, Etiketa GitHub: , Lëshuesi i GitHub, SHA1, 6 shifra, 30). Verifikoni me një kod aktual dhe shkarkoni kodet e rikuperimit.
- SMS si një alternativëShtoni numrin tuaj pasi të keni kaluar një CAPTCHA, futni kodin e marrë me SMS dhe ruani kodet e rikuperimit. Përdoreni këtë vetëm nëse nuk mund të përdorni TOTP.
- Çelësa fjalëkalimiNëse tashmë keni 2FA nëpërmjet aplikacionit TOTP ose SMS-it, shtoni një çelës kalimi për t'u identifikuar pa fjalëkalim, ndërkohë që përmbushni ende kërkesën e 2FA-së.
- Çelësat e sigurisë (WebAuthn)Pas aktivizimit të 2FA, regjistroni një çelës të përputhshëm. Ai llogaritet si një faktor i dytë dhe kërkon fjalëkalimin tuaj; nëse e humbni, mund të përdorni SMS ose aplikacionin tuaj TOTP.
- GitHub MobilePasi të keni TOTP ose SMS, mund të përdorni aplikacionin celular me shtyni njoftimet; nuk mbështetet në TOTP dhe përdor enkriptimin me çelës publik.
Nëse një aplikacion TOTP nuk ju përshtatet, regjistro SMS si plan B dhe pastaj shtoni një çelës sigurie për të rritur nivelin e sigurisë pa i komplikuar gjërat.
Autentifikuesi Bitwarden: Gjenerimi, Plotësimi Automatik dhe Truket
Bitwarden gjeneron TOTP 6-shifrore me SHA-1 dhe rotacion 30sMund ta skanoni kodin QR nga zgjerimi i shfletuesit (ikona e kamerës) ose ta futni kodin manualisht në iOS/Android. Pasi të konfigurohet, do të shihni ikonën rrotulluese TOTP brenda artikullit dhe mund ta kopjoni atë njësoj si një fjalëkalim.
Plotësimi automatikZgjerimet e shfletuesit e plotësojnë automatikisht TOTP-në ose e kopjojnë atë në kujtesën e përkohshme pas plotësimit automatik nëse aktivizoni "Plotësim automatik gjatë ngarkimit të faqes". Në celular, kodi kopjohet në kujtesën e përkohshme pas plotësimit automatik të të dhënave të hyrjes.
Nëse kodet tuaja nuk funksionojnë, sinkronizon orën e pajisjes (Aktivizoni/çaktivizoni kohën automatike në Android/iOS; në macOS, e njëjta gjë për datën/orën dhe zonën kohore.) Nëse një shërbim kërkon cilësime të ndryshme, modifikoni URI otpauth manualisht në artikull për të rregulluar shifrat, pikën ose algoritmin.
Në iOS 16+, mund ta caktoni Bitwarden si verifikimi i aplikacionit të parazgjedhur Kur skanoni kode nga kamera: Cilësimet → Fjalëkalimet → Opsionet e fjalëkalimit → Konfiguroni kodet e verifikimit duke përdorur → Bitwarden. Kur skanoni, prekni "Hap në Bitwarden" për ta ruajtur.
Për llogaritë Microsoft Azure/Office 365: Gjatë konfigurimit 2FA, zgjidhni "një aplikacion tjetër autentifikues"në vend të Microsoft Authenticator dhe skanoni kodin QR me Bitwarden. Për Steam, përdorni një URI me prefiks. steam:// e ndjekur nga çelësi juaj sekret; kodet do të jenë alfanumerike me 5 karaktere.
Nextcloud: TOTP dhe Kodet Rezervë
Nëse instanca juaj aktivizon 2FA, në preferencat tuaja personale do të shihni kodin sekret dhe një kod QR për të skanuar me aplikacionin tuaj TOTP. Gjeneroni dhe ruani kodet rezervë në një vend të sigurt (jo në vetë telefonin), sepse do t'ju shpëtojnë nga telashet nëse e humbni faktorin e dytë.
Kur të hyni, futni fjalëkalimin TOTP në shfletuesin tuaj ose zgjidhni një hap tjetër të dytë nëse e keni konfiguruar. Nëse përdorni WebAuthn, mos e ripërdor të njëjtin token për 2FA dhe për hyrje pa fjalëkalim, pasi nuk do të ishte më faktor "i dyfishtë".
Studimi i Rastit të Korporatës: Portali i Barnave të Specializuara (AEMPS)
Shembull tipik i rrjedhës: instaloni një aplikacion TOTP (Microsoft/Google Authenticator, FreeOTP, Authy…) dhe nga shfletuesi kërkon "Rivendos kodin e verifikimit" në faqen e kredencialeve. Do të merrni një email me një lidhje që tregon një kod QR.
Skanoni kodin QR me aplikacionin tuaj, do ta shihni kodin tuaj të parë dhe kthehuni në shfletuesin tuaj për ta futur atë në faqen e rivendosjes. Nga atje, hyni duke zgjedhur metodën "Kodi i Verifikimit": emri i përdoruesit, fjalëkalimi dhe kodi aktual TOTP i shfaqur në telefonin tuaj.
Çelësat e harduerit: YubiKey si një aksesor luksoz
Për siguri maksimale, YubiKey nga Yubico Është standardi i artë: çelësa fizikë IP68, pa bateri, të fuqishëm dhe të pajtueshëm me FIDO2, U2F, OTP, Smart Card, etj. Ato funksionojnë në mënyrë perfekte me Google, Facebook dhe shumë shërbime të tjera. Nëse një shërbim nuk mbështet harduerin, mund të përdorni aplikacionin e tyre të autentifikimit kopje rezervë. Madje ka edhe modele të certifikuara nga FIPS për mjediset që e kërkojnë atë.
Ideali: Aplikacioni TOTP + YubiKeyGjithmonë do të keni në dispozicion një faktor të dytë dhe një tjetër shumë të sigurt për kur të doni të maksimizoni mbrojtjen tuaj.
Implementoni TOTP në backend-in tuaj (Node.js me otplib)
Nëse zhvilloni aplikacionin tuaj, TOTP është i lehtë për t'u integruar me të. otplib dhe një pikë Express.js. Fluksi i punës ka dy faza: shoqërimi i një sekreti TOTP me përdoruesin dhe validimi i kodeve pas hyrjes.
- ortakëriGjeneroni një sekret në server, krijoni URI-në OTPauth dhe shfaqeni atë si një kod QR (duke përdorur biblioteka si QRcode). Përdoruesi e skanon atë me aplikacionin e tij dhe ju dërgon një TOTP. validoni dhe ruani lidhjen.
- verifikim: në çdo hyrje pas fjalëkalimit të saktë, kërkoni TOTP-in dhe kontrolloni vlefshmërinë e tij kundrejt sekretit të ruajtur. Nëse është i vlefshëm, ju përfundoni hyrjen.
Siç mund ta shihni, ky është një model shumë i qartë: ti sinkronizon një sekretJu validoni kodin e parë dhe më pas krahasoni kodin TOTP që rrotullohet me çdo hyrje. I thjeshtë, i fuqishëm dhe i pajtueshëm me shumicën e aplikacioneve të autentifikimit.
Truke dhe praktika të mira që do t'ju kursejnë telashe
Mendoni për "planin tuaj B": kodet e rikuperimit dhe metodat alternative (çelës sigurie, SMS, aplikacion celular push) dhe nëse mbështeteni në sinkronizimin në cloud, kontrolloni nëse ka papajtueshmëritë midis iOS dhe Android (Kutia për Microsoft dhe Duo) në mënyrë që të mos keni surpriza kur ndërroni telefonin.
Kur të përdorni një menaxher fjalëkalimesh me TOTP të integruar
Nëse tashmë përdorni Bitwarden ose 1Password, aktivizoni modulin TOTP Unifikon fjalëkalimet dhe vërtetimin me faktor të dytë, me plotësim automatik në të njëjtin mjet. Përparësitë: shpejtësi dhe më pak vështirësi. Disavantazhi: ju përqendroni elementë më të ndjeshëm në një vend, kështu që mbrojeni atë me 2FA të fortë dhe kontrolloni opsionet e eksportit/kopjes rezervë të sigurt.
Përmbledhje e aplikacioneve të paraqitura dhe përputhshmërive
androidGoogle Authenticator, Microsoft Authenticator, Authy, Duo, FreeOTP, Aegis dhe OTP, 2FAS, Protectimus, TOTP Authenticator, WinAuth (jo për celular). Në IOS: Autentifikuesi i Google, Autentifikuesi i Microsoft, Authy, Duo, FreeOTP, Authenticatori i OTP, Hapi i Dytë, Aplikacioni i Autentifikuesit, Autentifikuesi TOTP. Authy (Win/macOS/Linux), Authorizimi OTP (macOS), Hapi i Dytë (macOS), WinAuth (Windows).
në tokena speciale të lojërave video, WinAuth shkëlqen me Steam dhe Battle.net; Bitwarden mund të përballojë Steam me steam://Në Apple, autentifikues i integruar Në iOS 15+ dhe Safari 15+ është i dobishëm, por plotësimi automatik nuk e arrin gjithmonë objektivin dhe nuk është aq i shpejtë sa një aplikacion i dedikuar.
Një listë e shpejtë kontrolli për zgjedhjen e aplikacionit tuaj TOTP.
- A keni nevojë platformë e vërtetë ndër-platformë (celular + desktop)? Authy është një zgjedhje e sigurt.
- Minimalizëm dhe pa re? Autentifikuesi i Google ose FreeOTP janë një bazë e mirë.
- Burim i hapur me kontroll të imët? Aegis (Android) ose OTP Auth (iOS) dallohen.
- Menaxher gjithëpërfshirës + TOTP? Bitwarden ose 1Password e bën shumë më të thjeshtë.
- Bota e lojërave? WinAuth mbështet tokena jo standarde.
Cilado qoftë zgjedhja juaj, gjeneron kopje rezervë dhe ruan kodet e rikuperimit. Është një shpëtim jete kur gjërat janë në gjendjen e tyre më të keqe.
Aktivizimi i TOTP ju jep një hap të madh në siguri me kosto minimale kohore, dhe me aplikacionet që keni parë mund të zgjidhni atë që ju përshtatet më së miri: nga zgjidhje të thjeshta, pa cloud, deri te ekosisteme të sinkronizuara në të gjitha pajisjet tuaja, duke përfshirë menaxherët që e plotësojnë automatikisht kodin për ju ose çelësat fizikë për të mbyllur ciklin. skenarë të sigurisë së lartëMe disa vendime të mira dhe një plan rezervë, Llogaria juaj kalon nga një gjendje “nën mëshirë” në një gjendje “të paprekshme”.
