ビデオ: Twilio Verify: The best phone verification solution (10月 2024)
パスワードは、オンラインアカウントを保護するためのひどい方法です。なぜなら、パスワードを知っている人はだれでも世界の半分にいる場合でもアカウントを所有しているからです。 パスワードマネージャーを使用すると、覚えにくいパスワードを使用できますが、データ侵害では、パスワードが「*」であるか「パスワード」であるかは関係ありません。 二要素認証スキームを使用してセキュリティを大幅に強化できます。TwilioのAuthyは二要素認証をこれまで以上に簡単にします。
専門家は、認証要素を3つのタイプに分けます:知っているもの(たとえばパスワード)、持っているもの(物理的なオブジェクト)、およびあなたのもの(指紋またはその他の生体特性)。 Authyは、スマートフォンを、パスワードとともに、ログインに必要な物理トークンに変換します。 パスワードを盗んだり推測したりするハッカーは、そのトークンを必要とする認証手順によって阻止されます。
使い方
2011年、インターネットエンジニアリングタスクフォースは、時間ベースのワンタイムパスワード(TOTP)の標準をリリースしました。 コンセプトは非常にシンプルです。 ユーザーがTOTP対応デバイスを安全なWebサイトに登録すると、一意の共有キーが作成されます。 デバイスとサーバーの両方が、現在の時刻とともにそのキーを処理することにより、時間ベースのワンタイムパスワードを生成できます。 慣例により、各TOTPは30秒間有効です。 通常のパスワードを使用してログインし、デバイスから現在のワンタイムパスワードを入力すると、あなたはログインします。何らかの理由でそのワンタイムパスワードをエーテルから抜き取る悪人は、30秒以内にそれを使用できなくなります。
AuthyとGoogle AuthenticatorはどちらもTOTP上に構築されており、実際、Google AuthenticatorをサポートするサイトでAuthyを使用できます。 なぜAuthyに切り替えるのですか? いくつかの理由があります。 後で詳しく説明します。
Authyを使ってみる
スマートフォンをトークンとして使用するようにAuthyをセットアップするのは簡単です。 Authyアプリを電話にインストールし、電話番号を指定して、確認リンクをクリックするか、確認コードを入力します。 それでおしまい; Authyを使用する準備ができました。 Apple iPhone 6を使い始めるのにほとんど時間はかかりませんでした。
2要素認証を設定するための正確な手法は、サイトごとに異なります。 ただし、ほとんどのサイトでは、Google認証システムを選択する機会が得られるまでプロンプトに従います。 その時点で、サイトにQRコードが表示されます。 AuthyとbamでQRコードをスナップします! 二要素認証があります。 アプリを掘り下げてみると、Gmail、Facebook、Outlook、Lastpass、Evernote、WordPressなど、少なくとも20の人気サイトを直接サポートしていることがわかりました。 大小を問わず、10, 000を超える他のWebサイトおよびアプリケーションが、認証に直接Authyを使用し、Google認証システムに接続していません。
登録したサイトは、アプリのウィンドウの下部に表示されます。 1つをタップすると、そのサイトの現在の認証コードと、コードの30秒の有効期間がどれだけ残っているかを示すカウントダウンタイマーが表示されます。 Android版とiOS版ではほぼ同じように機能しますが、iOS版では秒単位のラベルが付いた円形の進行状況バーが表示されますが、Android版では単純な進行状況バーのみが使用されます。
もちろん、ポケットピッキングスキルを備えたハッカーがパスワード と 認証スマートフォンの両方を取得できた場合、問題が発生する可能性が あり ます。 oneIDで使用される厳密なデバイスベースのセキュリティと同様に、デバイスを徹底的に保護する必要があります。 強力なパスコードまたは生体認証を使用して、AuthyのPIN保護をオンにします(iPhoneユーザーはTouch ID認証にアップグレードできます)。
LastPass 3.0およびLastPass 3.0 Premiumは、どちらもGoogle認証システムをサポートしています。 つまり、Authyを使用してLastPassアカウントを保護した後、他の安全なサイトの2要素認証にAuthyを使用することができます。 Dashlane 3でも同じことができます。
マルチデバイス機能
Authyを使い始めるにはスマートフォンが必要ですが、そのタスクが完了したら、他のスマートフォン、タブレット、またはデスクトップにAuthyをインストールし、デバイス間でデータを同期できます。 Authyは、iOS、Android、およびBlackBerryモバイルデバイス、およびWindows、Mac OS、Linuxをサポートしています。 Apple Watch用のAuthyアプリもあります。 認証コードを手首で見るだけです。
AuthyデスクトップアプリとChrome拡張機能をインストールすると、スマートフォンを完全にバイパスできます。 デスクトップアプリでは、マスターパスワードを作成するように求められますが、それを要求することはありません(私の意見では見落としがあります)。 マスターパスワードはデバイス固有であるため、複数のデスクトップにインストールする場合、複数のマスターパスワードを作成することも考えられます。 マスターパスワードが設定されている場合、アプリでは定期的にパスワードを再入力する必要があります。 Chrome拡張機能を使用すると、登録済みのサイトの現在のコードを取得し、クリップボードにコピーして貼り付けることができます。電話を取り出す必要はありません。
はい、これは間違いなく二要素認証の定義に欠けています。 デスクトップコンピューターが「あなたが持っているもの」の要素になるため、デスクトップコンピューターにアクセスできる人が侵入する可能性があります。 Authyデスクトップアプリを使用する場合、強力なマスターパスワードでアプリを保護する必要があります。 さらに、デスクトップ上のユーザーアカウントをパスワードで保護し、離れるときはいつでもアカウントをロックする必要があります。
Chrome拡張機能には、すぐに気づかなかったもう1つの利点があります。 サイトの現在のコードをクリックして表示し、そのサイトが開いていない場合、フィッシング警告が表示されます。 それは便利です!
別のスマートフォンまたはタブレットでAuthyを有効にするのは簡単です。 新しいデバイスで、スマートフォンの電話番号を入力し、そのスマートフォンに表示されるアクセスプロンプトに応答します。 そのように、Authyは新しいデバイスで有効になります。
デバイスを紛失しましたか? Authyアプリを使用して、同期プロセスからそのデバイスを削除できます。 ただし、TOTPのGoogleの実装を使用するサイトの場合、トークンは登録済みのサイトのコードを引き続き提供することに注意してください。 慎重なユーザーは、これらのサイトで2要素認証を無効にしてから再度有効にします。
必要なすべてのデバイスを登録した場合は、Authyを設定して、それ以上のデバイスの受け入れを停止できます。 セキュアキーの暗号化されたバックアップをクラウドに保存するオプションもあります。
Authy iOSアプリにBluetoothオプションがあることに気付きました。 有効にしましたが、PCとやり取りする方法が見つかりませんでした。 この機能はMac固有のものであり、MacでもBluetooth実装の最近の変更に問題があることがわかりました。
なぜAuthyなのか?
Google Authenticatorをサポートする任意のサイトでAuthyを使用できることを前述しました。 しかし、なぜあなたは気にしますか? さて、Authyはいくつかの点で優れています。
Google Authenticatorを介して認証するようにアカウントを設定すると、モバイルデバイスでのそのアカウントへのアクセスが切断されます。 各デバイスの各アプリケーションへのアクセスを再度有効にするには、長い小文字の「アプリケーションパスワード」を入力する必要があります。 AuthyユーザーはデバイスにAuthyをインストールするだけで、この面倒なプロセスの必要性を排除できます。
新しい電話を入手した場合は、Authyのすべての登録を簡単に転送できます。 Google認証システムを使用すると、すべてのサイトで登録プロセスを再度実行する必要があります。 また、Google認証システムには、紛失または盗難にあった携帯電話のアクセスを取り消す方法はありません。
クライアントとサーバーが時間的に同期されていないと、時間ベースのパスワードの概念全体が崩れます。 Authyは、デバイスにネットワークアクセスがない場合でも、Google Authenticatorよりも同期を維持することで定評があります。 しかし、私はこれをテストする方法を見つけませんでした。
また、AuthyをサポートしているがGoogle認証システムをサポートしていないサイトの小さなコレクションは増え続けています。 私のAuthyの連絡先は、Coinbase、Cloudflare、およびHumbleBundlerがこれらのAuthy専用サイトの1つであることを報告しました。
ゆっくりやれ
2要素認証は、機密性の高いWebサイトをセキュリティで保護するためのすばらしいセキュリティ強化ですが、ユーザーはしばしばセキュリティを利便性と引き換えにします。 Authyの使用を開始するには、セキュリティで保護されたサイトを変換して2要素を使用するための最初の努力が必要です。 その後、非常に使いやすくなり、Google認証システムよりも明確になりました。 オンラインログインの保護を真剣に考えている場合は、AuthyをLastPass 3.0またはDashlane 3とペアリングすることを検討してください。どちらもエディターズチョイスパスワードマネージャーです。 Authy自体は、2要素認証のエディターズチョイスの名誉に値するかもしれません。 確認できるほど類似した製品を十分にレビューしていないだけです。
