2020年最佳2FA应用

欢迎使用Cloudwards.net提供的最佳2FA应用指南,我们将在其中提供硬件和软件解决方案,以确定哪种方法占主导地位。最重要的是Google Authenticator vs Authy和YubiKey vs Kensington VeriMark.


2FA或两因素身份验证是安全云存储和在线备份之间的常见功能。请务必查看我们的云存储评论和在线备份评论,以找到适合您的解决方案.

您会很快发现我们在各自的回合中更喜欢Authy和YubiKey,但这并不意味着Kensington VeriMark和Google Authenticator没有优势。在两部分中,我们将比较这些硬件和软件解决方案,并给予第三次荣誉奖.

在我们深入观察血液浴之后,让我们定义两因素身份验证,以及为什么这是为在线帐户添加一层保护的最佳方法.

什么是两因素身份验证?

两因素身份验证(通常简称为2FA)是一种通过多轮身份验证来保护在线帐户的方法。对于2FA,您需要两个因素才能成功登录-您知道的一些东西和拥有的一些东西.

基本表单将密码作为第一要素(您知道的东西),并将通过文本或电子邮件发送的代码作为第二要素(您拥有的东西).

这使黑客很难破坏您的帐户。即使他们能够破解您的密码,也无法访问您的第二个因素而无法登录.

这是一个简单的过程,但是每种协议背后都蕴藏着许多技术。 U2F,HOTP和TOTP是最常见的三个。我们将为您简要介绍每一种,但请务必查看我们的文章“什么是双重身份验证”以了解更多详细信息.

U2F基于硬件,并在设备中内置了密钥。密钥是在制造过程中生成的,并终身绑定到该硬件。它使您可以在不发布任何个人信息的情况下对帐户进行身份验证,这是我们认为最安全的方法.

YubiKey-安全密钥

HOTP或基于HMAC的一次性密码是一种为您的帐户生成一次性密码的方法。在您尝试再次登录之前,该密码一直有效,因此有权访问该密码和您密码的任何人都可以登录到您的帐户。这是电子邮件和文本身份验证的最常用协议.

Google-2FA

与HOTP相比,TOTP更可取。验证方法相同,但是开头的“ T”表示基于时间的身份,这意味着此一次性代码将在设定的时间后过期,而不仅仅是您下次登录时.

任何2FA总比没有好,但是TOTP是理想的。基于硬件的U2F更好.

两因素身份验证的安全性?

尽管2FA在保护您的在线帐户方面有很长的路要走,但这并非没有问题。黑客是适应能力强的小恶魔,而2FA并不是在线安全的新方法.

简而言之,2FA是安全的,但并非所有形式的2FA都是相同的.

大多数网站都内置了某种多因素身份验证。Dropbox,Google Drive和Rackspace是支持该身份验证的众多网站之一。但是,这些网站在大多数情况下会使用电子邮件或SMS验证,这可能会使您的数字裤子失望.

Dropbox-2FA

通过这种身份验证方法生成的所有密钥都是HOTP,这意味着它们是一次性的,并且不会失效,直到您再次登录。黑客可以在发送短信时拦截该短信并找到代码。该黑客必须积极寻找短信,但这并不是没有问题的.

两者中最令人反感的是电子邮件验证。很多人为他们的帐户使用错误的密码,甚至更糟的是,多次使用它们。如果您的PayPal和电子邮件共享密码,那么黑客就可以在公园散步,登录到您的电子邮件帐户,找到您的代码并获得对PayPal的访问权限.

我们建议使用像Dashlane这样的密码管理器(请阅读我们的Dashlane评论)来解决这个问题。最好的密码管理器将帮助您生成强大而独特的密码并将其全部存储在安全的地方.

HOTP方法比单独使用密码更安全,但并非没有风险。重要的是,在深入研究之前,请先解决问题,因为我们建议使用的应用改为使用TOTP.

即使该服务提供2FA,也最好使用我们建议的应用之一。这些基于时间的代码为黑客提供了足够的回旋余地,使他们可以绕进来并破坏您的帐户.

最好的2FA应用

现在该运行我们最好的2FA应用程序了。我们正在从应用程序中寻找一些东西,以将其与Dropbox,Rackspace等提供的常规2FA直接分开.

最重要的是,该应用程序正在使用TOTP而不是HOTP。它更安全,只允许黑客使用一小段窗口来使用代码(通常只需几秒钟)。 U2F解决方案更好,但是它们是硬件,而不是应用程序。我们将在单独的部分中解决它们.

任何启用了2FA的人都知道该过程可能令人讨厌。输入密码,然后(有时需要等待几分钟)等待文本到达,这很有趣.

因此,我们正在寻求易用性和速度。我们希望我们的2FA应用能够快速生成代码,因此第二个因素的痛苦不会带来太大的伤害。我们听说有人禁用2FA是因为它花费了太长时间,因此我们不希望看到任何读者.

最后,我们希望这些应用程序免费。鉴于互联网的危险性,没有人应该为更安全的在线体验付费。我们将其与您的第一个因素,即密码相关联。如果有任何在线服务要求您设置密码,那是荒谬的,我们认为该密码与您的第二个因素没有区别.

Authy

对于2FA,没有应用程序可以接近Authy。它方便,响应迅速且功能丰富,使其成为我们列表上显而易见的首选。它是免费的,适用于Windows,Mac,iOS,Android和Chrome.

任何支持Google Authenticator的网站也支持Authy。您可以使用手机扫描由Amazon,Google和Facebook等网站提供的QR码,以将新帐户添加到Authy界面。如果您使用的是非移动版本的应用程序,则可以手动输入身份验证密钥.

验证码

每次您打开应用程序时,Authy都会生成一个代码。您将有20秒的登录时间,之后Authy会继续并生成新代码.

二十秒钟听起来并不长,滴答作响的到期计时器令人不安。但是,使用一段时间后,我们喜欢时间跨度有多短。易于适应并加快2FA流程.

Authy仪表板

该界面也很好看。 Authy占据了您移动设备上的全屏以显示您的代码,该代码与您要进行身份验证的站点的颜色方案和徽标相符。您的帐户显示在底部的一行中,因此在它们之间进行切换很简单.

让Authy在其他身份验证应用程序中脱颖而出的有两点:备份和多设备同步。关于2FA的艰巨任务之一就是丢失设备后会发生什么。对于基本的方法,这意味着您将被完全锁定在您的帐户之外.

Authy允许在云中对帐户进行可选的加密备份。如果您丢失了手机或无法访问Authy,则可以使用备用密码下载和还原帐户.

与多设备同步一起使用。与许多2FA应用程序不同,Authy可在移动和桌面操作系统上使用。您可以跨设备同步帐户,因此在笔记本电脑上登录时无需挖掘手机。像备份一样,这是一项可选功能.

Google身份验证器

Google Authenticator是2FA的另一个绝佳选择。 Authy借用了其受支持的网站列表,该列表很大。但是,尽管支持的网站和免费的价格标签,它仍缺乏Authy的功能。.

这个应用程式仅适用于行动装置,因此您需要随时拿起手机。这是个小麻烦,因为大多数人无论如何都可以使用手机。 Google身份验证器适用于iOS和Android.

该界面比Authy的界面更重要。 Authenticator不会使用单个代码来显示整个屏幕,而是会列出您的帐户,每个帐户都带有基于时间的代码。它没有Authy的风格,但仍然有效.

Google-Authenticator-Dashboard
©Cloudwards.net

与Authy一样,Google身份验证器也使用TOTP,这意味着您在使用生成的密钥之前有很短的时间来使用它。当您点击窗口中的项目时,它会生成密钥,这很奇怪,这是从Authy界面出来的.

添加新帐户是相同的过程。安装应用程序时,系统会显示一个屏幕,您可以通过QR码或手动输入安全密钥来添加新帐户.

Google身份验证员手册条目

Google Authenticator在两个方面落后于Authy。经典格式的2FA不为您的帐户提供多设备同步或备份。从易于使用的角度来看,多设备同步会带来伤害,但并不像缺少备份那样令人担忧.

帐户恢复是一种形式,但是比Authy的实现更为老式。身份验证器为您提供了备用密码列表,如果您丢失设备可以使用该密码。这是一种可行的修复方式,但不如Authy优雅.

转移到另一台设备也很麻烦。由于Authenticator绑定到单个设备,因此您在切换手机时必须在Google设置中手动更改它。更改为新设备只会为Google生成新令牌,而不会为Authenticator中的所有帐户生成新令牌.

您必须手动为这些帐户禁用和重新启用2FA.

与Authy相比,很难推荐Google Authenticator。该应用程序可以完成工作,但并没有Authy的风吹草动或出色的用户体验。但是,由于两者都是免费的,因此值得下载它们并查看您更喜欢哪个.

荣誉奖:LastPass身份验证器

LastPass Authenticator是与LastPass无关的工具(请阅读我们的LastPass评论),它是最受好评的免费选项之一。它位于Authy和Google Authenticator之间,具有备份和多设备同步功能,但界面过时.

但是,它没有Google Authenticator的过时。它显示了一个外观相似的帐户列表,适合TOTP代码。当您点击一个时,它将拉动计时器三分钟。您将有足够的时间登录该网站并输入代码.

您也具有相同的受支持应用程序列表。任何提供Google Authenticator 2FA的东西都可以输入LastPass Authenticator。拉起QR码并用手机进行扫描,或输入验证码以添加帐户.

一键式登录是使LastPass Authenticator与众不同的一项功能。对于某些帐户,您可以点击以在应用程序中进行确认作为第二个因素,而不用输入基于时间的代码。支持的网站列表包括最佳笔记应用程序,例如Evernote和Google Keep.

LastPass-Authenticator-仪表板

其他值得注意的内容包括亚马逊,Facebook和Dropbox.

不幸的是,LastPass身份验证器未与LastPass集成。虽然我们不确定该技术如何工作,但如果LastPass可以从您的保管库中导入帐户,那就太好了。将两者捆绑在一起的任何方式都将使此身份验证器高于其他身份验证器.

因此,它出现在我们的荣誉奖插槽中。 LastPass Authenticator所做的仅是Google Authenticator或Authy所能做的。这只是另一种选择.

最佳硬件2FA键

如果您专注于安全性,那么基于硬件的U2F是最好的选择。在本节的最后,我们将软件与硬件进行比较,但是,到目前为止,我们将使用最好的硬件2FA密钥.

引入物理对象后,标准就会更改。我们将大小作为主要考虑因素,而不是易于使用。我们希望使用不会占用太多空间的小型硬件钥匙,否则会有被笔记本电脑损坏的风险。.

此外,我们正在寻找强键。通常,这些设备中的一种会挂在钥匙串上,与其他金属一起晃动。它需要经受住您的钥匙可以采取的任何打击(或抛出).

虽然易用性不是我们的主要因素,但这是一个令人担忧的问题。基于硬件的密钥有助于提高安全性,但同时也提高了用户友好性。我们正在寻找启用NFC的密钥和自动身份验证.

对于硬件钥匙带来的所有附加功能,它们还带有价格标签。与我们所有的定价评估一样,我们正在着眼于物超所值。如果按键具有足够的功能,则成本不那么重要.

YubiKey

YubiKey是硬件2FA密钥的最佳建议。这种解决方案非常流行,因此名称已成为基于硬件的U2F身份验证的同义词。虽然钥匙价格不菲,但YubiKey却能满足我们所有标准.

我们将YubiKey用作Yubico提供的所有身份验证密钥的总称。有几个不同的选项,它们的形状因数,身份验证方法和连接类型都有变化。对于我们的概述,我们将看一下YubiKey 4.

YubiKey-4-系列

此基线密钥有四种样式。有用于全尺寸或纳米尺寸的USB-C和USB-A的钥匙。纳米尺寸可以防止笔记本电脑掉落,但是看起来它们需要一把钳子才能出来.

YubiKey-4-纳米

如果您选择全尺寸版本,跌倒不会引起很多问题。 YubiKeys具有弹性。按键没有电池或活动部件,并且能够抵御水,灰尘和蛮力.

我们已经讨论了针对这些基于硬件的密钥的FIDO U2F协议,但是YubiKey支持许多不同的协议。您有OTP,HOTP,TOTP,质询和响应,PIV智能卡,Open PGP,U2F和静态密码.

静态密码是最有趣的内容。它适用于无法通过第二种身份验证进行修复的旧版系统。它会为任何应用程序登录随机生成一个38个字符的静态密码.

这种灵活性使YubiKey与众不同。对于关心自己的安全,新闻工作者保护自己的隐私以及想要为其基础结构增加另一层保护的企业,这是事实上的选择。 Google甚至使用YubiKey来保护其员工帐户.

Yubico还提供YubiKey NEO,这是用于移动设备的具有NFC功能的钥匙。设置为自动验证后,您可以在手机背面点击它.

YubiKey-NEO-登录
©Cloudwards.net

YubiKey开箱即用地支持许多应用程序,包括Windows,macOS,Twitter,Facebook和Google。在这些帐户之外,我们建议将其与密码管理器一起使用。其中一些受支持的是Dashlane,LastPass和Keeper(请阅读我们的Keeper评论).

您也可以将YubiKey与VPN一起使用,但是2FA的这种方法适用于公司环境中的VPN。 Yubico拥有有关如何使用定制解决方案将YubiKey与公司VPN结合使用的指南.

Kensington VeriMark USB指纹

在安全方面,肯辛顿是个大牌。 VeriMark USB指纹执行与YubiKey类似的功能,但是缺少自定义功能。即便如此,它仍在方程式中添加了指纹扫描仪,以防止密钥丢失或被盗.

它是紧凑型设计,比Yubico的nano产品略大。 USB身份验证器的对接具有指纹扫描器,该指纹扫描器具有完整的360度可读性和防欺骗保护。失败率也很低,错误拒绝率为3%,错误接受率为十分之一的二十分之一。.

Kensington-VeriMark-USB

VeriMark仅支持U2F,因此不如YubiKey灵活。但是,此协议在大多数情况下都是理想的。该密钥仅适用于Windows,并且支持Windows 10、8.1和7上的帐户登录。它还带有Windows密码管理器,但并不令人兴奋,仅在Windows 10上受支持.

我们建议将另一个密码管理器与此密钥一起使用,并且Kensington似乎也可以。该设备支持领先的密码管理器,例如Dashlane,LastPass,Keeper和RoboForm(请阅读我们的RoboForm评论)。.

钥匙是塑料的,大小和结构与USB蓝牙接收器相似,但后端稍稍发胖。它没有像YubiKey那样内置在设备中的钥匙孔.

取而代之的是,它使用保护套将其固定在钥匙圈上。盖子也是塑料的,但是可以保护连接不受元件影响.

Kensington-VeriMark-USB-钥匙串

不过,这并不是YubiKey的理想解决方案。如果被撞到,VeriMark可能会掉出机盖,并且指纹扫描仪可能会从外面被弄坏。从物理角度来看,它不如YubiKey耐用或安全.

它的小巧外形确实可以防止笔记本电脑掉落.

Kensington VeriMark的功能不如YubiKey强大,但指纹扫描仪增加了一层安全保护。这是2FA的一种简单而安全的方式,可让您向Windows和您的在线帐户添加生物识别条目。不过,Mac和Linux用户最好使用YubiKey.

与Windows的兼容性是关键点之一。通过支持Windows Hello,它使登录和使用Windows成为一种流畅的体验。与YubiKey相比,这是一个很小的优势,可确保在第二位置放置硬件钥匙.

荣誉提名:Thetis

Thetis并不是最好的U2F钥匙。如果提供该选项,我们将在其上使用YubiKey或VeriMark。它之所以成为我们的荣誉名单,是因为它的价格不到这两种设备中的任何一种的一半,并且具有类似的功能.

这是FIDO U2F安全密钥,这意味着您没有YubiKey提供的不同协议或加密方法。但是,对于严格用于2FA的设备来说,就足够了.

任何支持U2F身份验证的应用程序对于Thetis都是公平的。一些网站包括Google,Facebook,Dropbox,Github和Salesforce。您也可以使用该密钥登录Windows,macOS和Linux.

该设计类似于旋转的USB驱动器,该驱动器的顶部有一个钥匙圈孔。护罩由铝制成,但钥匙由半透明塑料制成.

提斯

它具有与USB驱动器相同的刚性,这意味着它不耐用。它不会像Kensington VeriMark那样冒着掉下钥匙圈的风险,但是如果在笔记本电脑中意外旋转或掉落,可能会摔坏。.

对于便宜的钥匙,Thetis没什么可抱怨的。它提高了基于软件的解决方案的安全性,而又不会花费太多。如果您正在寻找业务解决方案或更多选择,尽管我们仍然推荐YubiKey.

硬件或软件?

既然我们已经向您展示了在硬件和软件领域的首选,那么问题就变成了您应该选择哪个。两者都有优点和缺点,但是出于安全考虑,我们建议您使用基于硬件的解决方案.

您可以访问更多协议,其中最重要的是U2F。该代码是硬编码到密钥中的,这意味着任何人都无法在没有密码的情况下对您的帐户进行身份验证.

丢失钥匙的可能性也至少比丢失手机的可能性小。这些钥匙本应位于您的房屋钥匙和汽车钥匙旁边,这意味着如果您丢失了钥匙,则可能比在线帐户还要担心的多。如果您确实丢失了它,请将其与您的帐户解除关联,然后添加一个新帐户.

额外的安全性带有价格标签,这是软件解决方案应运而生的地方。如果您不使用2FA或依靠短信和电子邮件,则Authy或Google Authenticator仍在升级。它不如硬件解决方案安全,但对于超紧凑的预算,总比没有好.

显然,硬件密钥是2FA的一种更安全,更方便的方法。唯一的限制因素是价格。如果您的钱包里没有现金,可以使用软件,但是如果您可以掏出50美元左右的钱,则应该使用硬件钥匙.

最后的想法

对于所有问题,两要素身份验证总比没有好。我们不建议您通过SMS或电子邮件进行验证,但是基于移动设备的应用程序或U2F硬件密钥可用于保护您的在线帐户.

在提出的选项中,我们建议整体上使用YubiKey,而Authy紧随其后。这两种解决方案在各自领域均处于领先地位,并以两种不同的价格提供额外的安全性和便利性.

但是2FA只是安全性的一步。从安全的云存储和在线备份到使用VPN,有很多方法可以使自己保持在线保护。查看我们的最佳云存储,最佳在线备份和最佳VPN列表,以确保您覆盖所有数字基础.

您正在使用哪种2FA方法?让我们在下面的评论中知道,和往常一样,感谢您的阅读.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me