Двуетапно удостоверяване с TOTP Той се превърна в основен щит за защита на вашите акаунти: втори код, който се променя периодично и който трябва да въведете в допълнение към паролата си. В тази статия ви представям подробно ръководство със сравнения на приложения, съвети за конфигуриране и реални случаи на употреба, всички обяснени подробно и по лесен за ползване начин, за да не се изгубите по пътя.
Освен обикновен списък, тук ще намерите практическа информация За да изберете най-доброто TOTP приложение, научете как да го настроите в популярни услуги (GitHub, Bitwarden, Nextcloud и др.), разберете как да го имплементирате във вашия backend с Node.js и избягвайте често срещани грешки, които могат да ви оставят заключени от акаунтите ви. Нека да започнем.
Какво е TOTP и защо трябва да го активирате днес
TOTP (базирана на времето еднократна парола) Това е алгоритъм, който генерира еднократни пароли, базирани на време. Вашето приложение и сървърът споделят тайна; използвайки системния часовник, и двете изчисляват един и същ код, който обикновено се подновява на всеки 30 секунди. Тъй като работи офлайн, Бърз е, надежден и много удобени добавя втори слой, който спира атаките, дори ако паролата ви бъде разкрита.
В рамките на 2FA има няколко метода (SMS, имейл, биометрия, физически ключове, push известия...), но TOTP приложенията обикновено са най-балансираният вариант За поверителност, наличност и контрол. Забележка: SMS е полезен като спасителна мярка, но не е толкова надежден или надежден, особено извън САЩ.
Ключови съвети преди да започнете
на първо място, Не изтривайте 2FA акаунт от приложението си. без първо да го деактивирате от уебсайта на услугата. Лесно е да бъдете блокирани за цял живот. Второ, генерирайте и запазете кодове за възстановяване винаги когато са налични. Трето, планирайте резервните си копия: изберете приложения с криптирано архивиране в облака, експортирайте в криптиран файл или използвайте синхронизиране на акаунти, за да избегнете загуба на токени при смяна на телефони.
Бележка за реалността: На всеки 39 секунди има кибератака навсякъде по света. Активирането на 2FA с TOTP отнема по-малко от две минути и повишава сигурността ви. Ако добавите и физически ключ за сигурност като алтернативен метод, ще сте доста закъснели.
Как да изберете вашето TOTP приложение: какво да търсите и какво да избягвате
Най-добрите приложения се комбинират сигурност, лекота, експортиране/архивиране и междуплатформена съвместимост. Ключово е, че те могат да бъдат защитени с биометрични данни или ПИН, да скриват екранните кодове и да предлагат криптирани резервни копия или защитено експортиране. Ако използвате няколко операционни системи, потърсете синхронизация между Android, iOS и десктоп.
От какво да бягаме? Приложения без резервно копие или експортиране, несъвместими копия между платформи (ако редувате между iOS и Android) или които изискват телефонен номер, ако не ви е необходим такъв. Фините детайли правят цялата разлика във време на криза.
Пълно сравнение на приложенията за TOTP удостоверяване
По-долу имате общ преглед с най-подходящите характеристики и нюанси на инструментите, които се появяват най-често в най-добрите ръководства, документация и специализирани анализи.
Google Удостоверител (Android, iOS)
Това е класическата препратка: безплатно, лесно и не се изисква акаунтЕкспортирайте всички токени наведнъж, като използвате един QR код, за да мигрирате към друг телефон, а на iOS можете да защитите достъпа с Face ID/Touch ID и да търсите токени. Липсват вградени облачни резервни копия и не винаги скрива кодове, което може да е неудобно на публични места. Идеално, ако не искате облак и даваш приоритет на простотата.
Microsoft Authenticator (Android, iOS)
Комбинира мениджър на пароли и TOTP с Биометрична/ПИН защита, скриване на код и облачни резервни копия. Слаба страна: резервните копия на iOS и Android са несъвместими един с друг, не експортира токени и заема много място (150-200 MB). Ако сте в екосистемата на Microsoft, това прави влизането много по-лесно.
Twilio Authy (Android, iOS, Windows, macOS, Linux)
Звездата на многоплатформения пазар: синхронизира безупречно между мобилно устройство и настолен компютър, с облачно архивиране и ПИН/биометрична защита. Изисква се създаване на акаунт с телефонен номер и мобилният интерфейс показва един жетон наведнъж, който е по-малко гъвкав с много акаунти. Не експортира/импортира токени, но като алтернатива на Google/Microsoft е един от най-добрите.
Мобилно приложение Duo (Android, iOS)
Много популярен в компаниите, чист и опростен интерфейс, скрива кодове и позволява архивиране в Google Cloud (Android) или iCloud (iOS) без създаване на нов акаунт. В приложението няма защита на достъпа и Копия за iOS/Android не се поддържат един друг. Ако няма да сменяте платформи, това може да ви служи перфектно.
Безплатен OTP (Android, iOS)
Проект с отворен код, минималистичен и много лек (2-3 MB). Няма облачно съхранение или експортиране на токени; в iOS не е възможно да се създават токени с ръчен ключ (само QR кодове). В iOS можете да защитите токените с Face ID/Touch ID, а кодовете са скрити по подразбиране и след 30 секунди неактивност. За тези, които предпочитат минимализма и уединението.
и OTP (Android)
Много пълноценен и с отворен код: Заключване с ПИН/парола/пръстов отпечатък, етикети, търсене, автоматично скриване и заключване поради неактивност, „паник бутон“ за изтриване на всичко и експортиране в криптиран файл (напр. Google Drive). Спрена е от производство, но все още е много стабилна. рискЛекотата на възстановяване на ключове изисква много добра защита на достъпа.
Aegis Authenticator (Android)
Модерна алтернатива с отворен код, безплатно, с криптиране, биометрия и добри опции за архивиране. Поддържа импортиране от Authy/andOTP и почти всички 2FA формати. Някои мощни функции изискват root достъп, което не е за всеки. Добър баланс между сигурност и използваемост.
Еднократно удостоверяване (OTP) (iOS, macOS)
Мощен за Apple: папки за организиране, експортиране във файл, четене на ключове/QR токени, синхронизиране с iCloud и защита с Face ID/Touch ID или парола. Не крие кодове и някои функции са платени в macOS. За iPhone/Mac, Това е най-пълното.
Стъпка втора (iOS, macOS)
Минималистичен, с iCloud синхронизиране и поддръжка на Apple Watch. Няма защита на достъпа, няма скриване на код, няма експортиране/импортиране на токени, а безплатната версия ви ограничава до десет токена. В macOS се изисква разрешение за четене на QR кодове. Перфектно, ако искате нещо много просто в екосистемата на Apple.
WinAuth (Windows)
Ориентиран към геймърите: поддържа токени нестандартен Steam, Battle.net или Trion/Gamigo, в допълнение към стандартния TOTP. Позволява ви да криптирате данни, да ги експортирате като обикновен текст или криптиран файл, защитете с парола или YubiKey и автоматично скриване на кодовете. Съществува само за Windows и като правило, 2FA не се препоръчва на компютър, но за игри е истинско бижу.
Приложение за удостоверяване (екосистема на Apple)
Checker с приложения за iPhone, iPad, Mac и Apple Watch, и разширения за почти всички браузъри (Safari, Chrome, Brave, Tor, Vivaldi…). Има много ограничена безплатна версия; платената версия добавя архивиране и синхронизиране. Включва криптиране, споделете със семейството и заключване с Face ID. Ако живеете в Apple, това е опция, която си струва да обмислите.
2FAS (2FA удостоверител)
Просто, безплатно и с E2E криптиране, работи офлайн и ви позволява да свързвате токени чрез ключ или QR код и да ги синхронизирате с Google Drive. Резервни копия, за да не губите токени, разширение за браузър, ПИН/биометрия и без реклами. Малко разширени опции. но много надежден За ден за ден.
1Password (с вграден TOTP)
Платен мениджър на пароли, който включва 2FA TOTP Интегрирано. Големият плюс е автоматичното попълване на кода на поддържаните сайтове и унифицираното управление на идентификационните данни. Не е чисто 2FA приложение, но ако вече използвате 1Password, това опростява живота ви на мобилни устройства, настолни компютри и браузър.
Bitwarden (с интегриран TOTP)
Отворен код и безплатен за един потребител; платената версия добавя TOTP, който е автоматично довършване на уебсайтове и приложенияПо подразбиране генерира шестцифрени кодове (SHA-1, 30s) и ви позволява да персонализирате параметри чрез редактиране на TOTP URI. Разширенията на браузъра копират TOTP в клипборда след автоматично довършване, ако активирате опцията. Много кръгъл за централизиране на паролите и 2FA.
TOTP удостоверител (BinaryBoot)
Изчистен интерфейс и обширна поддръжка за 2FA услуги. Предлага Премиум услуга за синхронизиране в облака с Google Drive (вие контролирате данните), разширение за браузър (премиум), тъмна тема, тагове и търсене, междуплатформена поддръжка (Android/iOS), използване на множество устройства (криптирани резервни копия), множество джаджи, персонализиране на икони и биометрична сигурност с опция за блокиране на екранни снимки. Безплатната версия е донякъде ограничена.
Protectimus Smart OTP
Предлага се за Android и iOS, съвместим с часовници с Android, поддържа множество протоколи и ви позволява да защитите приложението с ПИН код. По-малко известно, но много пълно, ако търсите разнообразие от стандарти и употреба в носими устройства.
Практически ръководства: Как да активирате TOTP в популярни услуги
Нека дадем конкретни инструкции, извлечено от официална документация така че можете да конфигурирате TOTP, без да се изгубите.
Конфигуриране на TOTP в GitHub (приложение TOTP или SMS, с допълнителни методи)
GitHub препоръчва използването TOTP приложения и ключове за сигурност, базирани в облака като резервно копие вместо SMS. След активиране на 2FA, вашият акаунт влиза в 28-дневен период на проверка: ако не успеете в процеса на удостоверяване, ще бъдете подканени за 2FA на 28-ия ден и можете да го преконфигурирате, ако нещо се обърка.
- Стъпка по стъпка ТОТППотребителски настройки → Парола и удостоверяване → Активиране на 2FA → Сканирайте QR кода с приложението TOTP или използвайте ключа за ръчна настройка (въведете TOTP, етикет на GitHub: , Издател на GitHub, SHA1, 6 цифри, 30 секунди). Проверете с актуален код и изтеглете кодове за възстановяване.
- SMS като алтернативаДобавете номера си след преминаване на CAPTCHA, въведете кода, получен чрез SMS, и запазете кодовете за възстановяване. Използвайте това само ако не можете да използвате TOTP.
- ПаролиАко вече имате 2FA чрез TOTP приложение или SMS, добавете ключ за достъп, за да влизате без парола, като същевременно отговаряте на изискването за 2FA.
- Ключове за сигурност (WebAuthn)След активиране на 2FA, регистрирайте съвместим ключ. Той се брои като втори фактор и изисква вашата парола; ако я загубите, можете да използвате SMS или вашето TOTP приложение.
- GitHub MobileСлед като имате TOTP или SMS, можете да използвате мобилното приложение с push известияне разчита на TOTP и използва криптиране с публичен ключ.
Ако приложението TOTP не ви подхожда, регистрирайте SMS като план Б и след това добавете ключ за сигурност, за да повишите летвата за сигурност, без да усложнявате нещата.
Bitwarden Authenticator: Генериране, автоматично попълване и трикове
Bitwarden генерира 6-цифрени TOTP с SHA-1 и 30s ротацияМожете да сканирате QR кода от разширението на браузъра (икона на камера) или да въведете кода ръчно на iOS/Android. След като го конфигурирате, ще видите въртящата се икона на TOTP вътре в елемента и можете да я копирате точно като парола.
АвтодовършванеРазширенията на браузъра автоматично попълват TOTP или го копират в клипборда след автоматично попълване, ако активирате „Автоматично попълване при зареждане на страница“. На мобилни устройства кодът се копира в клипборда след автоматично попълване на данните за вход.
Ако кодовете ви не работят, синхронизира часовника на устройството (Включване/изключване на автоматичното време на Android/iOS; на macOS, същото е за дата/час и часова зона.) Ако дадена услуга изисква различни настройки, редактирайте URI otpauth ръчно в елемента, за да настроите цифри, период или алгоритъм.
В iOS 16+ можете да настроите Bitwarden като проверка на приложение по подразбиране При сканиране на кодове от камерата: Настройки → Пароли → Опции за парола → Задаване на кодове за потвърждение чрез → Bitwarden. При сканиране докоснете „Отваряне в Bitwarden“, за да го запазите.
За акаунти в Microsoft Azure/Office 365: По време на настройката на 2FA изберете „друго приложение за удостоверяване„вместо Microsoft Authenticator и сканирайте QR кода с Bitwarden. За Steam използвайте URI с префикс. steam:// последвано от вашия секретен ключ; кодовете ще бъдат 5 буквено-цифрови символа.
Nextcloud: TOTP и резервни кодове
Ако вашият екземпляр активира 2FA, в личните си предпочитания ще видите секретният код и QR кодът за сканиране с вашето TOTP приложение. Генерирайте и запазете резервни кодове на сигурно място (не на самия телефон), защото те ще ви измъкнат от беда, ако загубите втория фактор.
Когато влезете, въведете паролата за TOTP в браузъра си или изберете друга втора стъпка, ако имате настроена такава. Ако използвате WebAuthn, не използвайте повторно един и същ токен за 2FA и за вход без парола, тъй като вече няма да е „двоен“ фактор.
Корпоративен казус: Портал за специализирани лекарства (AEMPS)
Типичен пример за поток: инсталиране на TOTP приложение (Microsoft/Google Authenticator, FreeOTP, Authy…) и от браузъра заявки за „Нулиране на код за потвърждение“ на страницата с идентификационни данни. Ще получите имейл с линк, показващ QR код.
Сканирайте QR кода с приложението си, ще видите първия си код и се върнете в браузъра си, за да го въведете на страницата за нулиране. Оттам влезте, като изберете метода „Код за потвърждение“: потребителско име, парола и текущия TOTP код, показан на телефона ви.
Хардуерни ключове: YubiKey като луксозен аксесоар
За максимална сигурност, YubiKey от Yubico Това е златният стандарт: физически ключове IP68, без батерии, здрави и съвместими с FIDO2, U2F, OTP, смарт карти и др. Те работят перфектно с Google, Facebook и много други услуги. Ако дадена услуга не поддържа хардуер, можете да използвате приложението им за удостоверяване архивиране. Има дори FIPS-сертифицирани модели за среди, които го изискват.
Идеалът: Приложение TOTP + YubiKeyВинаги ще имате на разположение втори фактор, и още един силно защитен, когато искате да увеличите максимално защитата си.
Внедрете TOTP във вашия backend (Node.js с otplib)
Ако разработвате собствено приложение, TOTP е лесен за интегриране. отплиб и малко Express.js. Работният процес има две фази: свързване на TOTP секрет с потребителя и валидиране на кодовете при влизане в системата.
- съдружиеГенерирайте секретен код на сървъра, създайте OTPauth URI и го покажете като QR код (използвайки библиотеки като QRcode). Потребителят го сканира с приложението си и ви изпраща TOTP. валидиране и запазване на асоциацията.
- проверкапри всяко влизане след правилна парола, попитайте за TOTP и проверете валидността му спрямо запазената тайна. Ако е валидна, завършвате влизането.
Както виждате, това е много ясна закономерност: синхронизирате тайнаВалидирате първия код и след това сравнявате ротиращия се TOTP код с всяко влизане. Просто, надеждно и съвместимо с повечето приложения за удостоверяване.
Трикове и добри практики, които ще ви спестят проблеми
Помислете за вашия „план Б“: кодове за възстановяване и алтернативни методи (ключ за сигурност, SMS, push мобилно приложение) и ако разчитате на синхронизиране в облака, проверете дали има несъвместимости между iOS и Android (Калъф за Microsoft и Duo), за да няма изненади при смяна на телефона.
Кога да използвате мениджър на пароли с вграден TOTP
Ако вече използвате Bitwarden или 1Password, активирайте TOTP модула Унифицира пароли и второфакторно удостоверяване с автоматично попълване в един и същ инструмент. Предимства: бързина и по-малко триене. Недостатък: концентрирате повече чувствителни елементи на едно място, така че защитете го със силна 2FA и проверете опциите за защитено експортиране/архивиране.
Обобщение на представените приложения и съвместимости
AndroidGoogle Authenticator, Microsoft Authenticator, Authy, Duo, FreeOTP, Aegis и OTP, 2FAS, Protectimus, TOTP Authenticator, WinAuth (немобилен). В IOSGoogle Authenticator, Microsoft Authenticator, Authy, Duo, FreeOTP, OTP Auth, Step Two, приложение за удостоверяване, TOTP Authenticator. Бюро: Authy (Win/macOS/Linux), OTP удостоверяване (macOS), Стъпка втора (macOS), WinAuth (Windows).
за специални жетони за видеоигриWinAuth блести със Steam и Battle.net; Bitwarden може да се справи със Steam с steam://В Apple, интегриран удостоверител В iOS 15+ и Safari 15+ е полезно, но автоматичното му довършване не винаги е точно и не е толкова бързо, колкото специално приложение.
Бърз контролен списък за избор на вашето TOTP приложение
- Имате ли нужда истински кросплатформен (мобилно + настолно)? Authy е сигурен залог.
- Минимализъм и липса на облаци? Google Authenticator или FreeOTP са добра основа.
- Отворен код с фин контрол? Егида (Android) или OTP Auth (iOS) се открояват.
- Всичко в едно Мениджър + TOTP? Bitwarden или 1Password го прави много по-лесно.
- Светът на игрите? WinAuth поддържа нестандартни токени.
Какъвто и да е вашият избор, генерира резервни копия и запазва кодове за възстановяване. Това е спасение, когато нещата са най-лоши.
Активирането на TOTP ви дава огромен скок в сигурността с минимални разходи за време, а с приложенията, които сте виждали, можете да изберете кое е най-подходящо за вас: от прости, безоблачни решения до синхронизирани екосистеми на всички ваши устройства, включително мениджъри, които автоматично допълват кода вместо вас, или физически ключове за затваряне на цикъла. сценарии с висока сигурностС няколко добри решения и резервен план, Вашият акаунт преминава от „на милостта“ към „устойчив на страх“.
