Authy – двостепена аутентификација каква је требала бити од почетка

Блог

Гугл Аутентификатор (Google Authenticator) – добијате преко њега кодове за сервисе на којима сте, искрено се надам активирали двостепену аутентификацију (или ће вам се десити ово). Дакле, примера ради – логовање на Џимејл или Фејсбук…корисничко име, лозинка – неко провали та два јер сте највероватније исте податке користили на неком другом сервису који је хакнут…или вам је имејл глупачки као што и јесте код већине за чије лозинке ја знам – и одоше налози…али ако сте активирали двостепену аутентификацију…постоји и трећа ствар која се мора погодити да би нападач добио приступ налогу – једнократки код. Дакле, први степен…корисничко име и лозинка, дриги степен…неки број који се маломало мења, типа сваких 60 секунди.

Шта је главна мана код Гугл Аутентификатора – везани сте за телефон ко мутави па ако исти изгубите или изгубите генерално приступ свом Гугл налогу или штагод – одоше и кодови па хајде поново иди од сервиса до сервиса и кукај за повратком QR кода, и логовања, доказивања да си то ти и слично. Друга ствар – коришћење аутентификатора на другим системима (Виндовсу, Меку, Хрому, Линуксу…) – практично немогуће за обичног корисника (има пар фора да се ово прескочи) а и опет није ништа синхронизовано ни са чим па ако сте додали нови налог на Аутентификаору – нећете га видети на компјутеру. Безвезе.

Ја сам ове багове са губитком телефона, враћањем на фабричка подешавања и слично решавао до проналаска Authy-ја тако што сам чувао скриншотове QR кодова којима се покреће налог за двостепену аутентификацију, што опет тражи неку физикалију после, јер се све опет мора уносити појединачно.

Е ту је Authy боготац. Опет је све везано за број телефона, потребно је направити налог са јаком лозинком али је све са свим синхронизовано и може се у исто време користити Authy и на Андроиду и на Ајфону и на Виндовсу и на Меку и преко Хрома на било којем систему који га може покренути и све опет да буде савршено синхронизовано и заштићено главном (мастер) лозинком, тако да онај ко седне за тај додатно уређај нема приступа кодовима. Све се шифрује на нивоу клијента па се тако шифровано шаље на сервере, што ће рећи да људи који стоје иза овог програма не могу видети податке.

Мана овог система јесте та што не подржава баш све аутентификаторе…рецимо Јандекс за који сам везан и даље ради само на његовом Yandex.Key аутентификатору. Друга мана је што сам софтвер није отвореног кода већ нека компанија стоји иза њега…што може побудити сумњу у чистоћу самог софтвера иако је у питању позната компанија Twillio  а опет је и логично пошто неко мора да плати рецимо сервере на којима се чувају шифровани подаци корисника…плус – све и да некако успеју да дешифрују то што је ту, опет им треба моје корисничко име и лозинка за сервисе које користим (а поприлично сам психо са лозикама).

Оно што сам видео као неку алтернативу овом програму јесте програм имена Aegis Authenticator, има бекапе – али је опет кита-банана јер се не може користити на другим уређајима синхронизовано.

Иначе, већ неко време се двостепена аутентификација путем СМС поруке не води као безбедна због могућности пресретања исте тако да је преферирано начин баш путем ових аутентификатора који немају везе са СМС сервисом. Ја Authy косристим за логовање на Фејзбук (два налога), Твитер, Time4VPS, Рекспејс, Хецнер, Гитхаб, Дропбокс, Линкедин, Џимејл, Пејпал, Инстаграм, Нејмчип и на подоста других сервиса и до сад стварно нисам нашао али буквално ни једну ману, сем ове за Јандекс (ако је то и мана, пошто сам Јандекс форсира своје сервисе).

Све у свему, да не гњавим много, Гугл аутентификатор је код мене завршио причу поодавно и поодавно је главни баја за двостепену аутентификацију Authy.

Више о самој апликацији, скриншотовима, могућностима и слично бачите поглед на званични сајт authy.com и наравно напомена – ово није плаћена реклама и плаћено булштитовање већ искрена препорука задовољног корисника. Што би рекао онај лудак са Палме из периода бомбардоваа: Пробајте. Нећете се вратити.