1. 北美评测官首页
  2. 未分类

美国最佳两步验证应用推荐(2023年)

纽约时报精选 未分类 阅读 85

一个打开Duo应用程序的智能手机屏幕。照片:迈克尔·赫申
除了使用密码管理器之外,增加在线安全的最重要的事情就是在所有可以的地方启用双重身份验证。在采访了五位专家并测试了八款身份验证应用程序之后,我们推荐使用Duo Mobile,它在兼容性、安全性、易用性和可靠性方面对大多数人来说是最佳选择。

了解双重身份验证

  • 双重身份验证通过在密码旁边添加第二个“密钥”来保护您的在线账户安全。
  • 短信是常见的双重身份验证形式,但它们容易出现安全问题。应用程序更安全,而且不需要手机信号。
  • 对于大多数网站,比如Facebook或Google,您只需使用手机扫描二维码,然后输入一个短数字即可开始使用。
  • 在设置此功能时需要花费一些时间。如果您没有正确存储备份代码,可能会丧失对账户的访问权限。

阅读更多

我们的选择:Duo Mobile

Duo Mobile

Duo Mobile是免费的,适用于Android和iPhone,易于使用,其安全功能优于其他双重身份验证应用程序。

从Duo购买(免费)

与其他身份验证应用程序相比,Duo Mobile简单且没有太多花哨或有趣的功能。但正因为如此,它易于使用,并且具有方便的入门功能,可以帮助刚开始使用双重身份验证的人决定首先保护哪些账户。与许多其他身份验证应用程序一样,Duo Mobile提供了一个可选的备份服务,将备份存储在Google Drive或iCloud上。由于此备份是可选的,您可以控制您愿意承担的任何安全风险。Duo Mobile由思科(Cisco)制作,思科是一家安全和网络公司,明确在网上说明了大部分的安全实践,并经常更新Duo Mobile以与最新的手机和操作系统兼容。

亚军:Authy

Authy

Authy是免费的,适用于多个平台,但需要一个电话号码来设置账户。

从Authy购买(免费) | 从Apple App Store购买(免费) | 从Google Play购买(免费)

Authy是最容易使用的双重身份验证应用程序之一,对于一些人来说,它的网格布局比Duo Mobile和Google Authenticator的列表界面更容易扫描。但Authy需要一个电话号码和电子邮件地址来使用该应用程序,即使您不使用其备份功能,这对一些人来说是一个不能接受的条件。这些要求至少提供了更多的功能,比如跨平台兼容性,使其成为如果您经常在iOS和Android之间切换的话,最佳选择之一。

另一个不错的选择:Google Authenticator

Google Authenticator

Google Authenticator缺少许多功能,包括在线备份,但对于一些人来说,这本身就是一个特色。

从Google购买(免费)

Google Authenticator自推出以来并没有太多变化,但它缺乏新奇的功能使其既可靠又安全。Google Authenticator不显示网站的图标,也不提供在线备份,但它是为数不多的几个应用程序之一,提供了一种安全的离线方法,将令牌从一个设备转移到另一个设备。 这对于你换了一部新手机很有帮助,但如果你拥有第二个设备,它也可以作为手动备份的功能。

我们推荐的一切 {#everything-we-recommend}

研究

为什么你应该相信我们

在这个指南的原始版本中,我与国家标准与技术研究所(NIST)的高级政策顾问David Temoshok、与NIST和其他组织合作的独立顾问Jim Fenton(🔗14)、Twilio Account Security的高级产品营销经理Nabeel Saeed以及独立科学家Stuart Schechter(🔗15)进行了交谈,他们花了时间研究各种认证方法。在2023年,我与加州大学伯克利分校的博士生Conor Gilsenan进行了交谈,他是同行评审论文《流行的双因素认证应用中的安全与隐私问题》(🔗16)的主要作者。

适用对象

对于你在互联网上做的任何事情,无论是购物、使用社交媒体还是在线银行,你都应该使用双因素认证来保护你最重要的账户。对于大多数人来说,这意味着使用我们在这里推荐的应用。但如果你需要更强的安全性,因为你是一名活动人士、记者、政府官员或其他公众人物,你应该考虑使用硬件安全密钥

双因素认证的工作原理

双因素认证增加了第二层安全性,使得除了你之外的其他人更难进入你的账户。这两个因素可以包括:

  • 你所知道的信息(如密码或PIN码)
  • 你拥有的物理设备(如手机或硬件密钥)
  • 生物特征(如指纹或面部扫描)
    双因素认证的一个常见例子是借记卡;你需要知道一个PIN码并拥有借记卡才能取钱。双因素认证应用是一个类似的概念,但与物理卡片不同,第二个元素是你的手机。
    使用双因素认证登录会在流程中添加第二步,使得除了你之外的其他人更难进入你的账户。视频:Rozette Rago
    它的工作原理如下:在一个在线账户上启用双因素认证后,你使用用户名和密码像往常一样登录。这是第一个因素。然后,网站会要求你输入一个安全代码。这是第二个因素。这个代码可能以短信、电子邮件、从双因素认证应用中获取的软件令牌或来自物理设备的硬件令牌的形式出现。短信验证比没有好,但不推荐,因为SIM卡交换很容易(当有人使用社交工程获取你的手机号码并将其分配给新的SIM卡,以便他们可以截取你的短信令牌)。电子邮件验证可能是安全的,但前提是你在该电子邮件账户上有强大的双因素认证。
    在这里我们谈论的双因素认证应用中,登录代码是一个"软令牌",即基于时间的一次性密码(TOTP)。该应用程序使用在安装应用程序时分配给你的设备的算法生成这些代码,每个代码持续30或60秒。 这意味着只有你的物理设备才有这些代码,这使它们比短信或电子邮件代码更安全。
    有些账户还支持推送通知,这样,网站会向你的手机发送通知以批准登录,而不是要求你手动输入代码。有时,这一步会要求你在手机和电脑之间匹配一个代码,就像你可能在蓝牙设备上做过的那样,而其他时候则会显示一个批准或拒绝登录的选项。推送通知比TOTP更易于使用和更安全,但并不适用于许多网站。
    每次登录网站时手动输入代码有点麻烦,但是几天之内,打开一个应用程序获取代码的过程应该就成了你的第二天性。(而且如果你也使用一个密码管理器,你绝对应该使用,那么总体工作量就会减少,因为你只需要输入你的身份验证代码,而密码管理器会自动填充其余部分。)此外,许多网站,包括谷歌或Facebook,只在你从新设备(或不同的浏览器)登录时要求第二因素,所以你不必每次都这样做。
    使用两步验证来保护您的在线账户是国家标准与技术研究所(NIST)和许多其他安全专家推荐的,并且在智能手机上使用身份验证应用程序是最方便的方法。您不需要在所有地方启用两步验证;NIST的高级政策顾问David Temoshok建议在“任何涉及个人信息、个人信息收集或个人信息维护”的情况下使用两步验证。您应该在密码管理器、电子邮件、您使用的任何云备份服务、银行、社交媒体资料、聊天应用和任何带有您的健康和健身数据的应用上启用两步验证。要查看当前支持两步验证的网站,请访问2FA目录

两步验证的风险

启用两步验证有一些需要考虑的风险。如果你丢失手机,你将无法访问两步验证应用。为了恢复你的两步验证应用并重新进入你的账户,你需要访问大多数网站在启用两步验证时提供的恢复代码,或者另一个已经手动扫描了所有相同二维码的设备上安装了该应用,或者一个基于网络的备份(大多数两步验证应用提供这个功能,但大多数专家不推荐使用)。
两步验证可以防止更基本的网络钓鱼尝试,比如当一个假登录页面试图窃取你的密码。但是,两步验证并不完美,没有任何安全工具是完美的。它仍然容易受到高级网络钓鱼尝试的攻击。有人可能会给你发送一封电子邮件,其中包含一个链接到一个假的Gmail登录页面,声称你的账户需要更新,然后你使用用户名、密码和两步验证令牌登录。与被盗密码不同,两步验证软件令牌需要实时获取才能发挥作用。关于这种网络钓鱼尝试的具体数据很少,但是FBI的互联网犯罪投诉中心在2017年收到了25,344份网络钓鱼报告(PDF)。FBI确实警告人们有关SIM卡交换和网络钓鱼工具的风险,但两步验证仍然有效地保护账户。你应该向FTC发送网络钓鱼尝试的报告,但由于大多数人不这样做,很难知道这种网络钓鱼的频率。

我们的选择标准

一个两步验证应用程序不需要提供太多功能才能算好,但是一个制作不好的应用程序可能会非常难用,甚至可能存在安全问题。 以下是我们通过专家访谈和独立研究发现的最重要的内容:

  • 平台兼容性: 一个好的双因素认证应用应该在Android和iOS上都能使用。在Windows和Mac上可用是有用的,但不是必需的。
  • 易用性: 认证器应该能够轻松添加新账户,找到现有账户,并删除不需要的账户。我们也希望有一个搜索栏,这样你就可以找到特定的应用程序或网站。
  • 可靠性: 几乎任何有应用程序开发许可证的人都可以制作一个认证应用程序,所以在安全性方面,我们寻找的是开源或由谷歌、Twilio、思科或微软等知名公司运营的应用程序。选择可靠的公司有助于保证对新的移动操作系统的持续支持,并在出现问题时提供技术支持。
  • 可选备份: 我们与安全研究人员交谈时,他们表示不建议备份或同步双因素认证账户,因为这样你的令牌就存储在公司的服务器上,可能会受到威胁。因此,我们寻找的认证器应该将此功能设置为可选。但对于大多数人来说,将代码在线备份的潜在安全风险被永久锁定账户的恐惧所超过,所以对于提供备份的应用程序,我们寻找了关于备份工作原理、存储位置和加密方式的清晰解释。

我们的测试方法

在采访专家并选择功能标准后,我们阅读了在Google Play和Apple的App Store上的应用程序评论,并查看了每个应用程序开发者网站上关于公司的安全措施、支持流程和应用程序功能的详细信息。
我们使用每个应用程序添加新账户,复制和粘贴代码,并测试重命名账户、更改图标和执行推送通知登录等功能。如果一个应用程序支持备份或多个设备,我们尝试使用这种方式在新设备上恢复账户。

我们的选择:Duo Mobile

智能手机屏幕上显示Duo Mobile应用程序的秘密验证码。
照片:Michael Hession

我们的选择:Duo Mobile

Duo Mobile

Duo Mobile是免费的,适用于Android和iPhone,易于使用,其安全功能优于其他双因素认证应用程序。

从Duo购买(免费)
Duo Mobile是我们测试的任何双因素认证应用程序中功能、易用性和支持的最佳组合。它适用于Android和iOS,设置新账户的速度很快,设计使您可以轻松找到您要查找的双因素代码。Duo Mobile由其母公司思科支持,因此应用程序会定期更新以适应新的操作系统。它的备份系统是可选的,易于打开或关闭,并存储在您自己的Google Drive或iCloud账户中,这使您对其工作方式有一定的控制,但也限制了操作系统之间的使用。
Duo Mobile适用于任何使用TOTP的网站和任何支持Google Authenticator的网站;如果一个网站没有明确提到支持Duo Mobile,但提到与Google Authenticator兼容,Duo Mobile(或任何其他双因素认证应用程序)仍然可以使用。
掌握多因素认证在任何应用程序上都不容易,但我们喜欢Duo Mobile的“添加账户”界面。与任何其他双因素认证应用程序一样,您可以使用相机扫描此页面上的QR码。但它还包括一个支持双因素认证的流行服务列表,这对于第一次设置应用程序的任何人来说都是一个巨大的优势。出于某种原因,当您从此列表中选择一个网站时,您必须手动添加一个代码,而不是扫描QR码。这仍然是一个有用的起点,但入口可能更顺畅一些。
与大多数双因素认证应用程序一样,Duo Mobile具有简单的界面。 我们喜欢Duo Mobile的大型网站图标,使得查找所需代码变得更加容易,尽管添加的服务越多,浏览长列表就越烦人。幸运的是,应用程序顶部的搜索框对于拥有10个或更多账户的用户非常有帮助。这比Google Authenticator的简单、无图标设计要好得多,尽管Duo Mobile的布局有些浪费空间,但相比Authy的基于网格的设计和微小图标,它仍然更容易快速找到一个账户。

Duo Mobile账户页面的截图。
Duo Mobile的账户页面提供了一个有用的初始账户列表,您应该为这些账户启用双重认证。

Duo Mobile提供了有用的文档和各种指南,如果您对应用程序的工作原理有疑问,可以参考这些文档,尽管我们希望他们在应用程序更新描述方面更加努力,而不是重复使用短语“此更新引入了各种幕后改进和次要错误修复,以提升您的认证体验”。

如果您丢失手机,您将无法访问您的认证应用程序。为了解决这个问题,大多数认证应用程序提供云备份(尽管一些安全专家倾向于不推荐使用此功能),而一些认证应用程序的制造商在解释如何(或是否)加密这些备份方面做得比其他人更好。

备份使您能够在丢失手机或更换新设备时恢复您的令牌。这样,您就不必手动扫描新的QR码或输入恢复码来访问您的账户。然而,我们与安全专家的讨论中,他们建议不要使用云备份来存储双重认证令牌。NIST的高级政策顾问David Temoshok指出:“当您混合使用不同的认证因素时,会出现问题。您所知道的东西加上其他您所知道的东西并不是双重认证。”尽管这些备份是加密的,但某人理论上可以破解该加密或猜测您的密码来获取您的令牌,因为它们被上传到云端。安全专家建议将启用双重认证后网站提供的恢复码(它们是一个或多个由字母和数字组成的长字符串)保存在一个安全的位置,即使您丢失手机也可以访问它们。

这在实践中比说起来容易得多,许多人,特别是那些对技术不太熟悉的人,可能希望启用备份。Duo Mobile的备份存储在您使用的操作系统的Google Drive或iCloud中,具体取决于您使用的操作系统。与Authy一样,您选择用于加密此备份的密码永远不会发送给公司,这意味着如果您忘记密码,Duo Mobile的任何人都无法帮助您恢复备份。因此,对于此备份,使用强密码和唯一密码非常重要。我们喜欢Duo Mobile阻止您使用明显的密码,例如“password”,而Authy允许我们这样做。

可选备份非常方便,可以轻松切换开关。这样,即使您不想一直保持备份启用,也可以将令牌转移到新手机上。您无法在操作系统之间转移备份。因此,如果您从iPhone更换到Android手机,您必须从头开始。同样,在iPhone上,只有在从先前的操作系统备份还原设备时,应用程序备份才适用于新设备。这意味着如果您将新手机设置为新设备,Duo的备份无法加载。

Duo Mobile在透明度方面处于中等水平。它的备份指南在应用程序内部链接,我们很喜欢这一点,尽管应用程序中的提示几乎没有关于其安全性的详细信息,但登陆页面至少会引导您了解备份的工作原理。 加州大学伯克利分校的研究人员发现,安卓版的Duo Mobile应用程序使用了强加密算法,但当我们给Duo Mobile发邮件确认时,该公司拒绝回答。这是一个细节,应该在其面向公众的文档中包含。

缺陷但不是致命问题

和几乎所有的双因素认证应用一样,苹果应用商店和谷歌Play商店的评论经常被推送通知不工作、IT错误、对双因素认证概念的普遍厌恶以及注册问题所影响;尽管这些投诉都是合理的,但如果你只是用这个应用来生成TOTP令牌,大部分投诉都不适用。
根据加州大学伯克利分校的研究人员,Duo Mobile的备份并不总是加密网站和标签的名称,因此如果有人能够访问备份,他们理论上可以看到你在哪些网站上启用了双因素认证,即使没有备份密码。但由于备份从未发送到Duo Mobile,这个风险只限于能够访问你的手机、谷歌云端硬盘或iCloud的人,即使如此,攻击者也只能得到一个网站列表,而不是验证码。
Duo Mobile拒绝验证研究人员关于安卓备份所使用的加密类型的发现,并且不愿意验证是否在iPhone上使用了相同的加密,声称:“虽然强加密是Duo产品的关键部分,为了保护其完整性,我们无法回答所有与产品相关的问题。”考虑到经过良好验证的加密的可靠性,这个回答与我们希望看到的透明度不符。包括Authy在内的许多其他应用程序都明确说明了他们在备份中使用的加密类型。
由于Duo Mobile既面向企业又面向普通用户,它的一些文档充斥着行话。例如,如果你不是IT管理员,要理解Duo恢复页面上的细节就太难了。
Duo Mobile不允许你将应用程序锁定在个人识别码或生物识别ID(如指纹或面部扫描)后面。Google Authenticator、Microsoft Authenticator和Authy都支持这一功能。但是假设你已经为你的锁屏启用了这些类型的锁定(你应该这样做),并且你不会将手机随意放在解锁状态下,对于大多数人来说,这个额外的安全步骤可能是不必要的。
如果你没有启用备份或推送通知,Duo Mobile会在应用程序顶部反复显示一个令人讨厌的横幅。虽然我们理解需要提醒人们启用他们可能需要的功能,但这很快就会变得恼人。

亚军:Authy

Authy应用程序上显示一个秘密令牌代码的智能手机屏幕。
照片:Michael Hession
Authy具有出色的功能和支持,并且在更多平台上可用,包括Windows、Mac和Linux,除了安卓和iOS应用程序。设置新账户非常快速,简单的基于网格的设计让你更快地找到你要找的代码,比Duo Mobile的界面更方便。Authy由母公司Twilio支持,因此这些应用程序始终会为新操作系统进行更新。与Duo Mobile不同,Authy支持密码和生物识别锁定,并且Authy是我们测试的唯一一个支持多设备的双因素认证应用程序,并提供可选的备份以便于账户恢复,尽管这也有一些限制。Authy还是仅有的两个双因素认证应用程序之一,需要手机号码和电子邮件才能使用,这可能会带来某些安全和隐私问题。
我们喜欢Authy的基于网格的设计,它可以让你快速扫描你的令牌并找到你要找的那个。但是一旦你有了十几个账户,使用搜索栏会更容易。对于不太流行的网站来说,通常很小的图标几乎不可见,除非你把手机靠近脸。 尽管如此,这种排列方式比Google Authenticator的简单、无图标的设计要好得多。这是一个偏好问题,但我们发现Duo Mobile的大图标和简单的列表比Authy更容易使用。在Android上,Authy有一个列表视图,但图标仍然很小,很难看清楚。

Duo Mobile、Authy和Google Authenticator应用程序的并排截图。

从左到右,我们选择的是Duo Mobile、Authy和Google Authenticator,它们看起来截然不同,其中一个应用程序的吸引力之一是它是否能让您快速找到代码。

与Duo Mobile一样,Authy提供了在线备份令牌的选项。在上传之前,这些备份会在您的设备上进行加密。您的密码永远不会发送给Authy,这意味着即使有人成功入侵Authy,他们仍无法获取您的双因素身份验证令牌。我们希望Authy能够强制执行更好的密码要求;我们能够将备份密码设置为"password",如果有人获取了这些备份,很容易猜到。根据研究人员的说法,Authy只使用了10,000次PBKDF2(基于密码的密钥派生函数2)迭代,这是NIST(美国国家标准与技术研究院)推荐的最低次数。迭代次数越多,计算密码哈希所需的时间就越长,安全性就越高。Authy在2023年2月的电子邮件中告诉我们,他们正在积极努力将PBKDF2的迭代次数增加到100,000次。

与Duo Mobile类似,Authy的备份没有加密一些您可能希望加密的信息,有时包括网站的名称和用户名(您可以编辑这些信息,但我们怀疑很少有人会这样做)。Mysk的安全研究人员还发现,这些相同的信息也被发送到分析数据中,这可能与您的电子邮件地址和电话号码相关联。与Duo Mobile不同的是,Authy将备份存储在自己的服务器上,这理论上使该公司能够访问这些详细信息。Authy最近更新了其隐私声明,以包含更多关于公司可以访问的信息,并在一封电子邮件中补充说:"访问这些信息的权限仅限于支持Authy或有合法需要知道这些信息的员工。"我们对政策的补充表示赞赏,但认为这些信息也应该包含在应用程序中。更好的做法是,我们希望该公司根本不收集这些数据。Duo Mobile和Authy都建议不加密帐户名称或网站可以帮助恢复帐户,但我们认为这种说法站不住脚:知道哪些帐户启用了双因素身份验证并不能简化重新进入帐户的过程。

尽管我们不喜欢Authy要求提供电话号码和电子邮件地址来使用,但它确实使其比Duo Mobile或Google Authenticator等其他替代方案更具灵活性。与我们测试的大多数其他双因素身份验证应用程序不同,Authy的备份是跨平台的。因此,如果您从iPhone切换到Android,您可以轻松加载您的备份。您还可以在辅助设备上安装Authy,例如计算机或平板电脑,并与备份一起使用该设备以恢复您的帐户,以防您丢失手机。Authy将此功能称为"多设备"。启用备份和多设备后,您的令牌将在安装了Authy的所有设备上同步。这种安排的好处是如果您丢失手机,更容易恢复所有令牌,但它也涉及到提供其他人进入您帐户的额外方式的权衡——您的令牌存在的设备越多,其他人进入您帐户的风险就越高。

所有这些关于备份的细节尤其重要,因为在2022年8月,Authy的母公司Twilio披露了一次网络钓鱼活动,该活动获取了一些客户数据,包括93个Authy用户(🔗41)。 攻击者能够访问和生成这93个用户的双因素认证代码,因为他们启用了“多设备”功能。公司现在在您添加新设备后会自动禁用“多设备”,但这一事件揭示了即使看起来所有保护措施都已到位,同步双因素认证代码也可能非常危险。

您可以将Authy应用程序锁定在PIN码或生物识别ID(如指纹或面部扫描)后面,这是Duo Mobile所缺少的功能。如果您的手机已经以这种方式锁定(应该是这样),则不需要这个额外的步骤,但如果您想使用不同的PIN码以增加安全性,这是一个不错的选择。

同样好用的还有Google Authenticator

智能手机屏幕上显示了Google Authenticator应用程序中的秘密令牌代码列表。
照片:Michael Hession
如果您不想使用云备份、设备同步或多彩图标,请考虑使用Google Authenticator。它易于使用,并且具有内置的方法,可以在不将数据上传到云端的情况下将令牌转移到新设备上。但是如果您不采取预防措施,没有备份的话,您可能会发现自己无法登录账户。

与本指南中的其他应用程序一样,Google Authenticator使用简单,添加账户就像扫描QR码一样简单。该应用程序没有Duo Mobile和Authy的多彩网站图标,使得滚动变得更加困难,但它具有搜索功能,我们发现自己在越来越多的网站支持双因素认证时经常使用该功能。由于它是由Google开发的,该应用程序在必要时会进行更新,尽管通常是为了与新的操作系统或手机兼容,而不是为了新功能。

Google Authenticator根本不支持云备份,这对某些人来说是个致命缺点,但对其他人来说是个功能。如果您不希望任何信息从您的身份验证应用程序泄露出去,并且愿意接受没有备份带来的风险,那么Google Authenticator是您的最佳选择。只要在启用双因素认证时确保保存恢复代码,否则如果您无法访问手机,可能会被锁定在您的账户之外。

虽然Google Authenticator没有云备份选项,但备份您的TOTP令牌并不是完全不可能的。如果您有两台设备,您可以按照导出过程手动备份您的代码。这个功能是为了当您更换手机时设计的,但对于备份也同样有效。然而,您始终需要记住这一点,并且需要拥有第二个设备进行备份(如平板电脑或旧手机)。这也可以跨平台使用,所以如果您有一部Android手机和一台iPad,您仍然可以通过这种方式进行手动备份。这可能看起来很麻烦,但除非您经常在新服务上创建新账户,否则您不需要经常这样做。

默认情况下,Google Authenticator不需要密码,并且在导出账户时不提供警告,因此我们建议在设置中启用隐私屏幕功能,将应用程序锁定在您的面部、指纹或PIN码后面。这样,除了您之外,没有人可以访问该应用程序。

如何设置和使用双因素认证应用程序

将服务添加到Authy中就像扫描QR码一样简单(在点击了半打按钮和链接后)。视频:Rozette Rago
一旦您选择了要使用的应用程序,就可以为您最重要的账户启用双因素认证。每个网站都有所不同,但2FA目录包括几乎支持双因素认证的每个网站以及该网站设置双因素认证的文档链接。以Google账户为例,以下是如何操作:

    1. 登录到你的Google账户(如果你从电脑上登录会更容易)。
  2. 在左侧点击***安全*** 选项卡。
  3. 选择***两步验证*** 。
  4. 重新输入你的密码。
  5. 找到***身份验证器应用***选项并点击***开始*** 。
  6. Google会显示一个二维码。打开你手机上的身份验证器应用并找到添加新账户的按钮。
  7. 使用手机上的摄像头扫描Google上的二维码。在手机上点击***完成*** 。
  8. 账户现在已经添加到应用中,但还没有启用。回到Google,点击***下一步***。然后,输入你应用中的六位数代码。点击***验证*** 。
  9. 你会看到一个***备份代码*** 选项。这是你失去手机和身份验证器应用访问权限时,可以重新进入你的Google账户的方法。保存这些代码。打印出来并将它们存放在你可以访问的地方,以防你失去手机。
    如果你从零开始,这个过程可能需要一些时间,但一旦你整理好你的积压账户,你就不需要经常设置新账户了。保存每个账户提供的备份代码非常重要,因为这是你失去手机时重新进入你的账户最安全的方式。
    如果你不相信自己能保存好网站提供的备份代码,可以考虑使用Duo Mobile或Authy中的加密备份选项。许多安全专家倾向于不推荐使用这种方式,使用这个功能意味着你在安全性和能够重新进入你的账户的便利性之间做出了权衡。如果你选择这种方式,你需要为备份选择一个强密码,这个密码在其他地方都没有使用过。

竞争对手

如果你在Google Play商店或Apple App Store中搜索"authenticators",你会看到搜索结果中有数十个应用。其中一些应用是单一用途的身份验证器,但其他一些来自较小的团队,有些可能是恶意的。来自Cisco、Google或Twilio等大公司的支持对大多数人来说是一个积极的特点。但其他人可能会发现开源选项更适合他们的需求。
如果你不想使用Google Authenticator,但是想要一个稳定的离线选项用于Android,Aegis Authenticator是开源的,并支持本地加密。和Google Authenticator一样,该应用是为备份而设计的,意味着你对备份的存储方式有更多的控制权。
Raivo OTP也是开源的,具有与Aegis Authenticator类似的功能集,但只适用于iPhone。它包括可选的在线备份、本地手动备份等功能。但对于新手来说并不是很好用。当你设置一个账户时,它会强制你使用一个强密码,但它不会告诉你密码的要求是什么,所以你只能尝试随机的字母、数字和字符的组合,直到它起作用。一旦设置完成,使用起来非常顺畅,但入门阶段比较陡峭。
2FAS设计简洁,易于使用,并具有与Authy和Duo Mobile相同的许多优点,包括备份功能。我们不喜欢在iPhone上自动选择备份,而且根本不需要密码。在Android上,你可以在没有密码的情况下启用备份到Google Drive,并且在创建备份之后不允许设置密码。制作2FAS的公司几乎没有关于其安全实践的文档和信息,包括备份是如何加密的细节。在2022年,该应用开源,并且该公司的网站似乎在不断添加新的信息,所以我们可能会在未来看到更多的数据。
至于我们测试的其他应用,每个应用都有一套不同的问题,使得它们难以推荐。 大多数人不使用Salesforce,但如果你使用,它的双因素认证应用程序为Salesforce提供了更安全的无密码登录,以及其他所有应用的TOTP代码。
LastPass Authenticator与Google Authenticator类似,不使用图标,因此查找代码更困难。它至少支持将应用程序锁定在PIN或生物识别登录后面。LastPass限制了认证器的额外功能,例如可选的加密备份和一键验证,仅适用于LastPass密码管理器客户端,因此只有在您使用该密码管理器时才有用。LastPass在安全和披露方面经历了艰难的一年,尽管安全事件与其认证应用程序无关,但公司在攻击者获得加密的客户保险库后的披露处理方面表现不佳,这使我们对其其他应用程序没有任何信心。
我们最喜欢的密码管理器,1Password和Bitwarden,都包含内置的认证器,但我们与的安全专家都不愿意推荐以这种方式将所有鸡蛋放在一个篮子里,因为有可能有人获得您的1Password或Bitwarden帐户,他们不仅可以访问您的密码,还可以访问您的认证器。如果您没有使用双因素认证,这些选项仍然比没有好,但请记住,您仍然需要另一个应用程序(或安全密钥)来保护您的密码管理器帐户。
同样,Apple在iCloud Keychain中包含了一个内置的认证器,但它只在您也在那里存储密码时才起作用,并且如果您尝试从不支持Keychain的其他浏览器登录,可能很难找到密码。但是,如果您已经与Apple的系统连接,它快速,相对容易使用,比不使用双因素认证要好。
单用途认证器也可以很有用,并且通常是某些不支持Authy等第三方应用程序的服务所要求的。诸如Battle.net AuthenticatorXfinityZoho的OneAuth之类的应用程序提供一键登录批准或它们自己的代码生成系统。如果一个网络服务不支持我们的选择,您应该使用该服务的应用程序。
本文由Caitlin McGarry和Arthur Gies编辑。

常见问题

双因素认证是如何工作的?

在启用了在线帐户的双因素认证后,您使用用户名和密码登录。这是第一因素。然后,网站会要求您输入安全代码。这是第二因素。有两个要求,其中一个限于您拥有的设备(例如应用程序中的手机),使得其他人难以潜在地登录您的帐户,即使他们知道您的密码。

哪些网站支持双因素认证?

大多数流行的电子邮件服务、云存储服务和社交网络都支持将应用程序作为第二个认证因素。您可以在这里找到几乎每个支持双因素认证的网站的完整列表。

如果我丢失了我的认证器应用程序会发生什么?

如果您无法访问您的认证器应用程序,并且没有通过应用程序安全地存储备份,那么您将需要使用网站在您首次注册认证器应用程序时提供的备份代码。否则,如果您备份了这些代码,您可以恢复它们并立即开始使用应用程序。

我可以将我的双因素认证恢复到新手机上吗?

每个双因素认证应用程序处理方式都不同,但我们的选择支持在设备之间同步代码,以便轻松从一个设备移动到另一个设备。其他应用程序可能有不同的方法,因此在清除旧设备之前,请确保您的认证器应用程序在新设备上正常工作。

来源

    1. Stuart Schechter,独立科学家,电子邮件采访,2019年8月13日

  2. David Temoshok,国家标准与技术研究所高级政策顾问,电话采访,2019年9月12日

  3. Jim Fenton,独立顾问,电话采访,2019年9月12日

  4. Matt Elliott,双因素认证:如何使用及其原因,CNET,2017年3月28日

  5. Nabeel Saeed,Twilio账户安全高级产品营销经理,电子邮件采访,2019年9月27日

  6. Conor Gilsenan,加利福尼亚大学伯克利分校博士生,Zoom采访,2023年2月7日

纽约时报精选头像
纽约时报精选

纽约时报旗下的产品评测平台,帮助您百里挑一!

原创文章,作者:纽约时报精选,如若转载,请注明出处:https://pingcer.com/nytimes/best-two-factor-authentication-app/

(0)
纽约时报精选
上一篇 12 9 月, 2023 12:13 下午
下一篇 12 9 月, 2023 12:15 下午

猜您喜欢