Video: Twilio Verify: The best phone verification solution (November 2024)
Kata sandi adalah cara yang mengerikan untuk melindungi akun online, karena siapa pun yang mengetahui kata sandi Anda memiliki akun itu, walaupun mereka tinggal setengah dunia lagi. Pengelola kata sandi memungkinkan Anda menggunakan kata sandi yang sulit diingat, tetapi dalam pelanggaran data tidak masalah apakah kata sandi Anda "*" atau "kata sandi." Anda dapat sangat meningkatkan keamanan Anda dengan menggunakan skema otentikasi dua faktor, dan Authy Twilio membuat otentikasi dua faktor lebih mudah dari sebelumnya.
Para ahli membagi faktor otentikasi menjadi tiga jenis: sesuatu yang Anda tahu (kata sandi, misalnya), sesuatu yang Anda miliki (objek fisik), dan sesuatu Anda (sidik jari atau sifat biometrik lainnya). Authy mengubah ponsel cerdas Anda menjadi token fisik yang diperlukan untuk masuk, bersama dengan kata sandi. Seorang hacker yang mencuri atau menebak kata sandi Anda akan digagalkan oleh langkah otentikasi yang memerlukan token itu.
Bagaimana itu bekerja
Pada 2011, Gugus Tugas Teknik Internet merilis standar untuk Sandi Satu Kali Berbasis Waktu (TOTP). Konsepnya cukup sederhana. Saat pengguna mendaftarkan perangkat yang mendukung TOTP dengan situs web aman, kunci bersama yang unik dibuat. Baik perangkat dan server dapat menghasilkan kata sandi satu kali berbasis waktu dengan memproses kunci itu bersama dengan waktu saat ini. Secara konvensional, setiap TOTP baik untuk 30 detik. Anda masuk menggunakan kata sandi biasa, lalu memasukkan kata sandi satu kali saat ini dari perangkat Anda, dan Anda masuk. Seorang pria yang entah bagaimana memetik kata sandi satu kali itu dari eter akan merasa tidak berguna dalam 30 detik.
Authy dan Google Authenticator keduanya dibangun di atas TOTP, dan pada kenyataannya Anda dapat menggunakan Authy di situs mana pun yang mendukung Google Authenticator. Mengapa Anda beralih ke Authy? Ada beberapa alasan; Saya akan masuk ke detail nanti.
Memulai Dengan Authy
Mengatur Authy untuk menggunakan ponsel cerdas Anda sebagai token itu mudah. Anda menginstal aplikasi Authy di telepon, memberikan nomor telepon Anda, dan mengklik tautan verifikasi atau memasukkan kode verifikasi. Itu dia; Authy siap digunakan. Memulai Apple iPhone 6 saya hampir tidak memakan waktu.
Teknik yang tepat untuk mengatur otentikasi dua faktor bervariasi dari situs ke situs. Namun, untuk sebagian besar situs Anda akan mengikuti petunjuk hingga Anda mendapatkan kesempatan untuk memilih Google Authenticator. Pada titik itu, situs menampilkan kode QR. Ambil kode QR dengan Authy dan bam! Anda memiliki otentikasi dua faktor. Menggali ke dalam aplikasi, saya menemukan bahwa itu secara langsung mendukung setidaknya dua lusin situs populer, di antaranya Gmail, Facebook, Outlook, Lastpass, Evernote, dan WordPress. Lebih dari 10.000 situs web dan aplikasi lain, besar dan kecil, menggunakan Authy secara langsung untuk otentikasi, tanpa koneksi ke Google Authenticator.
Situs terdaftar Anda muncul di bagian bawah jendela aplikasi. Mengetuk satu menampilkan kode autentikasi saat ini untuk situs itu, bersama dengan penghitung waktu mundur yang menunjukkan sisa masa pakai kode selama 30 detik. Ini berfungsi hampir sama di Android dan iOS, meskipun saya mengamati bahwa edisi iOS menampilkan progress bar melingkar dengan label menghitung detik, sedangkan edisi Android hanya menggunakan progress bar sederhana.
Tentu saja, jika seorang peretas yang memiliki keterampilan memilih saku berhasil mendapatkan kata sandi dan ponsel cerdas autentikasi Anda, Anda mungkin akan mendapat masalah. Seperti keamanan ketat berbasis perangkat yang digunakan oleh oneID, Anda harus mengamankan perangkat Anda secara menyeluruh. Gunakan kode sandi yang kuat, atau otentikasi biometrik, dan nyalakan perlindungan PIN Authy (pengguna iPhone dapat meningkatkan ke otentikasi Touch ID).
LastPass 3.0 dan LastPass 3.0 Premium keduanya mendukung Google Authenticator. Itu berarti Anda dapat melindungi akun LastPass Anda menggunakan Authy, dan kemudian menggunakan Authy untuk otentikasi dua faktor dari situs aman lainnya. Anda dapat melakukan hal yang sama dengan Dashlane 3.
Fitur Multi-Perangkat
Anda memerlukan ponsel cerdas untuk memulai dengan Authy, tetapi begitu tugas itu selesai, Anda dapat menginstal Authy di ponsel cerdas, tablet, atau desktop lain, dan menyinkronkan data di antara kedua perangkat. Authy mendukung perangkat seluler iOS, Android, dan BlackBerry, serta Windows, Mac OS, dan Linux. Bahkan ada aplikasi Authy untuk Apple Watch; lihat saja pergelangan tangan Anda untuk mendapatkan kode otentikasi.
Dengan menginstal aplikasi desktop Authy dan ekstensi Chrome, Anda dapat mem-bypass smartphone sekaligus. Aplikasi desktop meminta Anda untuk membuat kata sandi utama, tetapi tidak memerlukannya (menurut pendapat saya). Perhatikan bahwa kata sandi master khusus untuk perangkat, jadi jika Anda menginstal pada beberapa desktop, Anda dapat membuat beberapa kata sandi master. Ketika kata sandi utama sudah ada, aplikasi mengharuskan Anda untuk memasukkannya kembali secara berkala. Menggunakan ekstensi Chrome, Anda bisa mendapatkan kode saat ini untuk situs terdaftar Anda, menyalinnya ke clipboard, dan menempelkannya, tanpa perlu mengeluarkan telepon Anda.
Ya, ini jelas memotong definisi otentikasi dua faktor. Seseorang yang memiliki akses ke komputer desktop Anda dapat masuk akal, karena komputer desktop menjadi faktor "sesuatu yang Anda miliki". Jika Anda memilih untuk menggunakan aplikasi Authy desktop, Anda harus benar-benar melindunginya dengan kata sandi utama yang kuat. Selain itu, Anda harus melindungi kata sandi akun pengguna Anda di desktop dan mengunci akun kapan pun Anda pergi.
Ada manfaat lain untuk ekstensi Chrome yang tidak langsung saya sadari. Jika Anda mengklik untuk melihat kode saat ini untuk sebuah situs, dan situs itu tidak terbuka, Anda akan mendapatkan peringatan phishing. Itu berguna!
Mengaktifkan Authy pada smartphone atau tablet lain sangat mudah. Pada perangkat baru, Anda memasukkan nomor telepon ponsel cerdas Anda, dan menanggapi konfirmasi akses yang muncul pada ponsel cerdas itu. Sama seperti itu, Authy diaktifkan pada perangkat baru.
Kehilangan perangkat? Anda dapat menggunakan aplikasi Authy untuk menghapus perangkat itu dari proses sinkronisasi. Namun, perlu diketahui bahwa untuk situs yang menggunakan TOTP penerapan Google, token akan terus menyediakan kode untuk situs yang sudah terdaftar. Pengguna yang bijaksana akan menonaktifkan dan mengaktifkan kembali otentikasi dua faktor di situs-situs ini.
Jika Anda telah mendaftarkan semua perangkat yang Anda inginkan, Anda dapat mengatur Authy untuk berhenti menerima lebih banyak perangkat. Ada juga opsi untuk menyimpan cadangan terenkripsi dari kunci aman Anda ke cloud.
Saya perhatikan opsi Bluetooth di aplikasi Authy iOS. Saya mengaktifkannya, tetapi tidak dapat menemukan cara untuk membuatnya berinteraksi dengan PC saya. Ternyata fitur ini khusus untuk Mac, dan bahkan pada Mac pun mengalami masalah dengan beberapa perubahan terbaru dalam implementasi Bluetooth.
Mengapa authy?
Saya sebutkan sebelumnya bahwa Anda dapat menggunakan Authy di situs mana pun yang mendukung Google Authenticator. Tapi mengapa Anda repot-repot? Yah, Authy hanya lebih baik dalam beberapa hal.
Saat Anda mengatur akun untuk diautentikasi melalui Google Authenticator, akses Anda ke akun itu di perangkat seluler terputus. Anda harus memasukkan "kata sandi aplikasi" yang panjang semua untuk huruf kecil untuk mengaktifkan kembali akses untuk setiap aplikasi pada setiap perangkat. Pengguna Authy dapat dengan mudah menginstal Authy pada perangkat, menghindari kebutuhan untuk proses yang menjengkelkan ini.
Jika Anda mendapatkan telepon baru, Anda dapat dengan mudah mentransfer semua pendaftaran Authy Anda. Dengan Google Authenticator, Anda harus melalui proses pendaftaran lagi untuk setiap situs. Dan Google Authenticator tidak menawarkan cara apa pun untuk mencabut akses untuk ponsel yang hilang atau dicuri.
Seluruh konsep kata sandi berbasis waktu akan rusak jika klien dan server tidak disinkronkan berdasarkan waktu. Authy memiliki reputasi untuk tetap sinkron meskipun perangkat Anda tidak memiliki akses jaringan, lebih dari Google Authenticator. Namun, saya tidak menemukan cara untuk menguji ini.
Ada juga kumpulan situs yang tumbuh tetapi kecil yang mendukung Authy tetapi bukan autentikator Google. Kontak Authy saya melaporkan bahwa Coinbase, Cloudflare, dan HumbleBundler adalah di antara situs Authy-only ini.
Mudah Melakukannya
Otentikasi dua faktor benar-benar merupakan peningkatan keamanan yang luar biasa untuk mengamankan situs web sensitif, tetapi pengguna sering memperdagangkan keamanan untuk kenyamanan. Memulai dengan Authy membutuhkan upaya awal saat Anda mengonversi situs aman Anda untuk menggunakan dua faktor. Setelah itu, sangat mudah digunakan, dan potongan yang pasti di atas Google Authenticator. Jika Anda serius untuk mengamankan login online Anda, pertimbangkan untuk memasangkan Authy dengan LastPass 3.0 atau Dashlane 3, yang keduanya adalah manajer kata sandi Pilihan Editor. Authy sendiri mungkin pantas mendapatkan penghargaan Pilihan Editor untuk otentikasi dua faktor; kami belum cukup mengulas produk serupa untuk memastikan.
