Как восстановить аккаунт authy

Как обойти двух факторную аутенфикацию Authy с ../sms

С помощью простого ввода ../sms можно было обойти второй фактор на сайтах использующих 2FA через authy.com (а их довольно много).

Самое интересное что такая досадная уязвимость появилась не по вине Authy, да и нашел я всю эту цепочку багов с большой удачей.

Итак, процесс работы с authy простой и состоит из двух API вызовов: api.authy.com/protected/json/sms/AUTHY_ID?api_key=KEY для запроса нового токена и api.authy.com/protected/json/verify/SUPPLIED_TOKEN/AUTHY_ID?api_key=KEY для верификации полученного токена от юзера. Оба вызова должны вернуть 200 статус, тогда запрос считается успешным.

1. Началось все с проверки их SDK библиотек. Все выглядело хорошо кроме authy-node, которая вообще не кодировала токен перед вставкой в URL — this._request(«get», “/protected/json/verify/” + token + “/” + id, <>, callback, qs);

Можно было просто вставить VALID_TOKEN_FOR_OTHER_AUTHY_ID/OTHER_AUTH_ID# в поле токена и перезаписать API запрос так, чтобы он всегда возвращал 200 статус, что считалось за подтверждение второго шага и пускало атакующего в аккаунт. Дело в том что все после # считается фрагментом и не отсылается на сервер, и запрос вида /protected/json/verify/VALID_TOKEN_FOR_OTHER_AUTHY_ID/OTHER_AUTH_ID будет возвращать 200 и его невозможно отличить от обычных запросов.

2. Дальше был замечен интересный баг в authy-python: urllib.quote кодировал все знаки кроме слеша (почему — не пойму). Хм, а что можно сделать со слешем? Может попробывать вставить /../? Как вы знаете, /../, /%2e%2e/ и даже /%252e%252e/ значат «перейти на одну директорию вверх» в браузерах. Но сервера совершенно не обязаны иметь такую функцию. Однако я решил ради теста послать ../sms и это сработало! Я пока еще понятия не имею почему, но теперь вставляя ../sms мы превращали /verify вызов в /sms вызов (/verify/../sms/authy_id) который возвращал 200 и пускал нас в аккаунт.

3. И тут я вспомнил что читал интервью Дэниела по архитектуре Authy совсем недавно. Там говорилось что Authy использует Sinatra, которая за собой тащит rack-protection, который как я помню имел модуль под названием path_traversal.

И тут самое интересное — оказалось что path_traversal зачем то декодировал path обратно и убивал директории перед /../. Ну, в теории, это должно было защищать разработчиков от потенциальных path traversal уязвимостей. На практике же это и стало причиной такой серьезной уязвимости.

Итак, по порядку:

1. Я ввожу ../sms в поле токена

3. path_traversal декодирует полученный URL на раннем этапе в api.authy.com/protected/json/verify/../sms/authy_id, делит все по / и удаляет директорию /verify

4. Теперь само приложение получает модифицированный путь api.authy.com/protected/json/sms/authy_id который посылает СМС жертве и возвращает 200 статус и ответом

5. Наш клиент который хотел проверить наш токен видит 200 статус и делает вывод что токен правильный. Даже если используется кастомная реализация API, клиент скорее всего ищет success=true что в нашем ответе тоже присутствует.

Попросту говоря введя ../sms в поле токена можно было обойти двух факторную аутенфикацию на всех сайтах использующих Authy.

Есть еще один замечательный текст про похожую уязвимость с обходом первого фактора через вставку символа | в другом популярном 2FA провайдере Duo Security, но мне его лень переводить.

Тут была ссылка что мы ищем хакеров, но ее удалили. Напишите в личку пожалуйста, если вы находите такого рода уязвимости во время утренней зарядки.

Как установить и использовать приложение Authy

В инструкции описан процесс установки приложения Google Authenticator на различные мобильные операционные системы (Android, iOS), на рабочий стол Windows (также доступно на macOS), а также его использование при подключении к панели управления.

Содержание:

• Что это такое?
• Установка Authy на Android
• Установка Authy на iOS
• Установка Authy на рабочий стол Windows
• Использование приложения Authy для подключения к панели управления
• Отключение двухуровневой аутентификации для входа в панель управления

Что это такое?

Приложение Authy обеспечивает двухфакторную аутентификацию (2FA). 2FA – дополнительный уровень безопасности, используемый для подтверждения пользователей, пытающихся получить доступ к онлайн-учетной записи. Сначала, пользователь вводит свои логин и пароль. Затем, вместо того, чтобы немедленно получить доступ, он должен будет предоставить другую информацию, например:

• дополнительные сведения (персональный идентификационный номер (ПИН), пароль, ответы на «секретные вопросы» или конкретная последовательность нажатия клавиш);
• подтверждение владения (как правило, пользователь имеет что-то в своем распоряжении, например, кредитную карту, смартфон или небольшой аппаратный токен);
• биометрические данные (эта категория немного более продвинута и может включать биометрический рисунок отпечатка пальца, сканирование диафрагмы или голосовую печать).

Таким образом, даже если у вас украден пароль или потерян телефон, вероятность того, что кто-то другой получит доступ к вашей информации маловероятен.

У приложения Authy есть широкий набор дополнительных функций: создание резервной копии базы, шифрование данных и резервных копий в облаке без сохранения паролей, использование приложения на нескольких устройствах.

Установка Authy на Android

Для установки приложения на операционную систему Android достаточно просто скачать его в магазине GooglePlay.

После установки приложения, необходимо указать код страны, ваш мобильный номер и почтовый адрес.

Далее необходимо подтвердить введенный телефон, выберете наиболее удобный способ: звонок оператора или СМС.

После можно переходить к добавлению аккаунта. В ОС Android сделать скриншот окна с аккаунтами не представляется возможным из-за политики безопасности, но оно является аналогичным iOS. Нажмите на + в центре окна. Вам будет предложено хранить зашифрованные копии в облаке Authy. Рекомендуем включить резервирование, т.к. при утере устройства, вы сможете без проблем восстановить данные. Введите и подтвердите пароль, затем нажмите Enable Backups.

Доступно два способа добавления аккаунта: сканировать штрихкод и ввести ключ. Наиболее удобным является сканирование (Scan QR code) – перед вами откроется камера, где в выделенный квадрат необходимо поместить QR-код, который будет распознан автоматически, а аккаунт сразу добавлен.

Установка Authy на iOS

Для установки приложения на операционную систему iOS достаточно скачать его в AppStore.

После установки приложения, необходимо указать код страны, ваш мобильный номер и почтовый адрес. После ввода нажмите OK.

Далее необходимо подтвердить введенный телефон, выберете наиболее удобный способ: звонок оператора или СМС.

После можно переходить к добавлению аккаунта. Нажмите на + в центре окна.

Вам будет предложено хранить зашифрованные копии в облаке Authy. Рекомендуем включить резервирование, т.к. при утере устройства, вы сможете без проблем восстановить данные. Введите пароль и нажмите Enable Backups.

Затем подтвердите пароль.

Доступно два способа добавления аккаунта: сканировать штрихкод и ввести ключ. Наиболее удобным является сканирование (Scan QR code) – перед вами откроется камера, где в выделенный квадрат необходимо поместить QR-код, который будет распознан автоматически, а аккаунт сразу добавлен.

Установка Authy на рабочий стол Windows

Примечание: в данной версии продукта не доступно сканирование QR-кода, но возможно использование добавленных с мобильных приложений аккаунтов.

Для того, чтобы установить приложение, загрузите нужную версию с сайта разработчика и запустите файл установки.

При возникновении следующего предупреждения выберете Выполнить в любом случае.

После установки необходимо ввести код страны, ваш номер и нажать Next.

Выполните подтверждение любым доступным способом.

Далее отобразится окно с доступными аккаунтами.

Использование приложения Authy для подключения к панели управления

После установки приложения на вашу систему откройте в панели управления раздел Настройка профиля -> Безопасность. На открывшейся странице выберете Двухфакторную аутентификацию через приложение.

Перед вами откроется штрихкод. Далее в приложении Authy выберете сканирование QR-кода (Scan QR code). После того как откроется камера, поместите штриход в выделенный квадрат на экране приложения, который будет распознан автоматически.

Приложение сгенерирует шестизначный код, который необходимо ввести в поле.

После ввода кода вы увидите, что двухфакторная аутентификация подключена через приложение.

Теперь для входа в панель управления необходимо указать код из приложения.

Отключение двухуровневой аутентификации для входа в панель управления

Для отключения опции Двухфакторная аутентификация в панели управления перейдите в раздел Настройка профиля -> Безопасность.Чтобы ее отключить нажмите Отключить.

Как пользоваться Authy, приложением для двухфакторной авторизации

Рубрики

• Hamster
• Без рубрики
• инструкции
• новости
• события

Authy – это приложение наподобие Google Authenticator, которое дает возможность получать временные пароли (коды авторизации). Оно позволяет привязать все пароли к вашему номеру телефона, и в случае утери смартфона восстановить их.

Для начала работы с Authy программу нужно скачать: перейдите по ссылке и выберите версию для своей системы и устройства. Мы будем использовать desktop-версию для macOC.

После запуска программы Вам предложат верифицировать только что созданный аккаунт. Вы можете выбрать один из предложенных методов – звонок или СМС, либо устройство с ранее установленным Authy:

После этого зайдите в свой аккаунт биржи kuna.io.

Нажмите кнопку «Включить» в секции Двухфакторная Аутентификация:

Далее в приложении Authy нажмите значок плюс в правом верхнем углу.

Введите в приложении полученный на бирже код, либо считайте QR-код (если используете мобильную версию), и нажмите кнопку Add Account:

Ваш аккаунт Authy для биржи KUNA создан.

Теперь вам нужно ввести временный пароль (код авторизации), полученный в Authy, на сайте биржи, чтобы подтвердить включение двухфакторной аутентификации на вашем аккаунте:

Если код введен правильно, двухфакторная авторизация будет включена, кнопка в аккаунте изменит свой цвет на зеленый, и на ней появится надпись «Отключить».

Теперь для входа на биржу и подтверждения вывода средств биржа будет запрашивать у вас код из приложения Authy, и только после его ввода вы сможете совершать эти операции.

Включение двухфакторной авторизации значительно повышает защищенность вашего аккаунта, поэтому мы всегда рекомендуем использовать этот метод защиты.

Обзор Authy: как пользоваться, установить и восстановить аккаунт – детальная инструкция

С развитием финансовых сервисов, мошенники стали все более изобретательными.

Потому финансовые компании были вынуждены эволюционировать и создавать новые системы защиты.

Одна из таких систем – двухфакторная аутентификация.

Раньше, она работала только с помощью телефонных операторов, но в последнее время их потеснили сервисы типа Authy и Google Authenticator.

Содержание:

• Принцип двухфакторной аутентификации
• Что такое Authy
• Установка на Chrome
• Подвязать смартфон
• Как проходить аутентификацию
• Как подстраховаться
• Как восстановить аккаунт

Принцип двухфакторной аутентификации

Принцип работы двухфакторной аутентификации прост. При входе клиента на тот или иной финансовый сервис, например, криптобиржу, ему приходит специальный код.

Он необходим при входе в профиль. Шифр генерируется специально каждый раз из уникального набора символов.

Это нужно, чтобы усилить защиту. Допустим, хакеры сумели получить данные (логин, пароль) клиента и пытаются войти в его аккаунт на криптобирже Binance.

Сделать это они не смогут, ведь телефон пользователя при нем и, соответственно, секретный код для входа тоже.

Более того, криптоинвестор сможет понять, что кто-то пытается несанкционированно войти в его аккаунт и быстро сменить логин и пароль, или и вовсе заблокировать свой счет.

Что такое Authy

Качественно, Authy выигрывает у своего прямого соперника — техгиганта — по нескольким параметрам:

• Сервис работает на нескольких устройствах. То есть, можно синхронизировать свою учетную запись на ПК, смартфоне, работающем на Android и добавить еще верификацию через iPhone. Более того, authy2 устанавливается на Apple Watch. В то же время Google Аuthenticator работает только на смартфонах;
• Аутентификатор позволяет сделать зашифрованное резервное копирование. Информация хранится в облачном хранилище. При потере смартфона, утерянные данные можно будет легко восстановить. А у Google Аuthenticator, в лучшем случае, придется восстанавливать вручную доступ к каждому отдельному профилю;
• Верификатор позволяет настроить двухфакторную аутентификацию. Например, шифр можно получать не только в обычных СМС, но и при помощи звонка на смартфон или пуш-уведомлений;

Установка на Chrome

Чтобы установить authy2 на Chrome необходимо перейти в Google WebStore и найти соответствующее приложение. Как только аутентификатор найден, нажимаем «Добавить расширение».

После этого, верификатор попросит ввести свой телефон, электронный почтовый адрес и выбрать способ подтверждения – звонок или СМС.

Далее, необходимо добавить новый профиль. Сделать это можно, нажав на «плюс».

Дальше в настройках можно подправить личные данные, установить пароль, управлять устройствами и добавить аккаунты даже с Google Authenticator. Также здесь можно установить расширение для Chrome. Когда все выполнено, кликаем по Add Authenticator Account.

Подвязать смартфон

Все-таки изначально верификатор «затачивался» под смартфон. С него использовать приложение удобнее.

Более того, на телефоне можно сканировать QR-коды для первоначальной настройки аутентификации.

1. Для начала приложение необходимо загрузить с Play Market для Android или AppStore для iPhone.

2. Далее, открываем приложение и вводим свой номер. После этого аутентификатор предложит несколько путей проверки указанной информации: СМС, телефонный звонок, или через Chrome. Если последнее уже установлено выбираем его.

3. Authy2factor будет ждать, пока пользователь не подтвердит устройство на ПК. Чтобы это сделать, просто заходим в приложении на компьютере и нажимаем Accept.

4. Следующий шаг — аутентификатор попросит подтвердить выбор. Делаем это, и устройства синхронизированы.

Как проходить аутентификацию

Прежде всего нужно включить двухфакторную аутентификацию. К примеру, возьмем биржу Binance.

• Переходим в настройки профиля на Binance и находим соответствующий раздел, выбираем «включить верификацию с помощью Google Authenticator». Пусть название не сбивает с толку, большая часть сервисов почему-то игнорирует названия других верификаторов и все называет Google Authenticator.

• Далее открываем authy2factor на мобильном устройстве и сканируем QR-код с Binance.

• После этого, Binance попросит сохранить код (понадобится для восстановления), ввести его на следующей вкладке, указать пароль и шифр, который выдаст Authy.
• При всех следующих входах в аккаунт Binance, придется вводить код с Authy.

Как подстраховаться

На смартфоне резервное копирование данных происходит сразу при регистрации аккаунта. Все что нужно будет сделать – указать пароль для восстановления. После этой процедуры все профили будут храниться в облаке.

На ПК сделать «бекап» также просто. Открываем аутентификатор, заходим в настройки и нажимаем Backup&Sync.

Authy попросит придумать пароль, после чего все профили будут сохраняться в облаке.

Читайте также:

Как восстановить аккаунт

Если смартфон, на котором установлено authy2, похищен или потерян, придется пройти процедуру восстановления. Здесь есть несколько ситуаций.

Тогда заходим в настройки аккаунта через Chrome, находим строку с телефоном и нажимаем Edit.

Вводим новый номер, подтверждаем его через СМС и устанавливаем authy2 на смартфон. Вся информация при этом будут сохранена.

Этот процесс самый долгий и может растянуться до 4 дней.

Потому, используя authy2factor на «мобилке», всегда лучше перестраховаться и установить верификатор на свой ПК. При этом в обязательном порядке необходимо включить бекап данных.

• Google Authenticator: что делать, если потерял телефон
• Обзор криптовалютной биржи CCEX: особенности, недостатки и рекомендации
• Как создать Bitcoin кошелек – подробное руководство
• Обзор криптовалюты Revain (R) – технология и перспективы ревайн
• Обзор криптовалютной биржи Kuna: особенности, отзывы по работе, ввод и вывод средств
• Обзор криптобиржи CEX.IO: безопасность, комиссия и ограничения
• Лучшие криптовалютные кошельки для Dash в 2019 году — краткий обзор каждого
• Топ 100 криптовалют 2020 – коротко о каждой монете
• Биржа криптовалют Bitflip (Битфлип): обзор, отзывы по работе, условия, токен Flip

Как майнить биткоины на домашнем компьютере – все хитрости и полезные советы

Как грамотно хранить биткоины в 2020 – подробное руководство

Если кратко описать мой опыт работы с этой биржей, то он выглядит так: перевел им деньги и с тех пор их не вижу!
После прохождения всех требуемых процедур верификации (аккаунт up118741364) отправил с банковской карточки для пробы 20 долларов — прошли сразу. Ну, подумал, можно тогда основной депозит по SWIFT заводить — от 5 тыс. долл. не взимают комиссию, и 21 февраля 2018 года отправил 5000,9 долларов. ЭТИ ДЕНЬГИ ДО СИХ ПОР НЕ ПОСТУПИЛИ НА МОЙ СЧЕТ НА БИРЖЕ! Я предоставил поддержке всевозможные подтверждения того, что перевод прошел! Но вопросы поддержка отвечает (тикет 709424), что деньги им не поступили и отмораживаются фразами «делаем все возможное», «как только деньги придут — они поступят на счет» и т. д. 3 месяца длится эта бессмысленная переписка и, судя по всему, она может длиться бесконечно, поскольку дальше шаблонных фраз дело не движется — они даже отказываются предоставить подтверждение своего обращения в банк-посредник или сообщить хоть какие-то детали по моей проблеме.
В ответ на финансовые документы, квитанцию о свифт-переводе и все возможные прочие подтверждения из банка присылают «письмо» за подписью своего «executive officer» Виталия Кедыка, что денег они не получали и говорят, что это письмо по доказательной силе равняется банковскому документу и они мне ничего не должны! При этом говорят, что ведут какое-то расследование в «своем банке», но ни рефернс-номера расследования, ни КАКИХ-ЛИБО ВООБЩЕ ДЕТАЛЕЙ НЕ СООБЩАЮТ! Создается впечатление, что просто тянут время! Никому не советую с ними связываться!

Что делать, если вы потеряли телефон с приложением-аутентификатором

Потеряли телефон с приложением-аутентификатором и не можете войти в аккаунт? Рассказываем, какие у вас есть варианты.

15 сентября 2021

Для защиты аккаунтов очень важна двухфакторная аутентификация: если утек пароль — а утекают они регулярно, — второй фактор помешает злоумышленникам взломать аккаунт. Один из удобных способов двухфакторной аутентификации — при помощи специального приложения, генерирующего одноразовые коды, вроде Google Authenticator и его аналогов. Но рано или поздно у многих пользователей возникает вопрос: что делать, если телефон с приложением-аутентификатором потерян/разбит/забыт/украден? Рассказываем, какие есть варианты.

Как восстановить аутентификатор, если смартфон с приложением недоступен

Если у вас больше нет доступа к смартфону, на котором установлен аутентификатор, попробуйте вспомнить: возможно, вы все еще залогинены на одном из ваших устройств в тот аккаунт, к которому пытаетесь получить доступ? Дальнейшие действия зависят от ответа на этот вопрос.

Восстанавливаем аутентификатор, если доступ к аккаунту есть на каком-то другом устройстве

Если вы все еще залогинены на одном из ваших устройств в аккаунт, в который пытаетесь войти на другом, то исправить положение будет несложно. В этом случае попробуйте зайти в настройки и сбросить аутентификатор, то есть привязать его к новому приложению. Обычно соответствующий пункт можно найти где-нибудь на вкладке «Безопасность». Например, с аккаунтами Google и «Яндекс» такой вариант сработает, даже если вы залогинены всего в одном из приложений этих компаний — скажем, в YouTube или «Яндекс.Навигаторе».

Иногда в тех же настройках можно посмотреть секретный ключ или QR-код аутентификатора — некоторые сервисы (но далеко не все) это позволяют. В таком случае вам останется просто ввести эти данные в приложение-аутентификатор на новом устройстве.

К сожалению, этот способ срабатывает не всегда, даже если вы все еще залогинены в аккаунт на одном из устройств. Проблема в том, что не у всех сервисов совпадает набор настроек в веб-версии и в мобильном приложении — нужной опции там, где вы залогинены, может просто не быть.

Как восстановить аунтентификатор, если доступа к аккаунту нет

Если вы уже не залогинены в аккаунт и смартфон с приложением-аутентификатором вы потеряли, сбросили к заводским настройкам или у вас его украли — в общем, у вас так или иначе больше нет к нему доступа, — то восстановить аутентификатор не получится. Как и в том случае, когда описанный выше способ не сработал.

Все, что вам остается, это воспользоваться процедурой восстановления доступа к учетной записи. Если речь идет об аккаунте в одном из крупных публичных сервисов — Google, «Яндекс», Facebook, Instagram, Mail.ru, «ВКонтакте» и так далее — и ваша учетная запись привязана к почте или телефону, то вы сможете восстановить доступ, воспользовавшись альтернативным способом подтверждения.

Для этого начните входить в аккаунт, укажите логин и пароль, а на том этапе, когда обычно требуется ввод одноразового кода из приложения-аутентификатора, поищите ссылку с названием вроде «Другие способы подтверждения».

После этого выберите удобный вам вариант — обычно сервисы поддерживают доставку кода в SMS, голосовым звонком или на электронную почту — и дождитесь получения кода. Скорее всего, это не займет много времени, и уже совсем скоро вы сможете войти в аккаунт.

Если из-за утраты аутентификатора вы потеряли доступ к аккаунту в корпоративном или в небольшом публичном сервисе, у которого нет удобной страницы автоматического восстановления доступа, то вам следует связаться с локальным администратором или службой поддержки. Придется описать ситуацию и, скорее всего, тем или иным образом подтвердить, что вы — настоящий владелец аккаунта.

После того как вы наконец сможете войти в аккаунт, привяжите аутентификацию к приложению на новом смартфоне. Ну а чтобы не проходить все вышеописанные процедуры в следующий раз, когда смартфон с аутентификатором потеряется, будет разумно прямо сразу создать резервную копию.

Authy против LastPass Authenticator: какое приложение 2FA следует использовать

Поскольку проблемы конфиденциальности продолжают расти, использование приложений с двухфакторной аутентификацией (2FA) теперь является необходимостью. Помимо Google и Microsoft, несколько игроков предлагают свои приложения 2FA с новыми и инновационными функциями. Authy и LastPass Authenticator быстро увеличивают популярность среди приложений 2FA.

Authy предоставляет красивый интерфейс, который удобен для глаз и функционален. Он предлагает синхронизацию нескольких устройств с резервными копиями в облаке. Полезно, когда вы теряете доступ к вашему смартфону.

LastPass – это популярный разработчик менеджера паролей, который выпустил приложение 2FA, которое предлагает облачные резервные копии и синхронизацию с несколькими устройствами.

Пришло время узнать, какой 2FA следует доверять вашему онлайн-миру и почему.

1. Пользовательский интерфейс и использование

Удивительно, но Authy и LastPass Authenticator используют красную тему. Как и в большинстве приложений 2FA, макет довольно прост. Существует знак плюса для быстрого добавления сканирования и добавления кодов 2FA, либо путем сканирования QR-кода, либо путем ввода ключа вручную. Для меня сканирование QR быстрее и проще.

Вам может показаться странным, что Authy запрашивает номер вашего мобильного телефона при первом запуске приложения. Это означает, что вам нужна активная SIM-карта. Тем не менее, это поднимает вопрос о взломе SIM-карт (подробнее об этом позже).

Authy извлекает логотипы самых популярных сайтов, что позволяет легко идентифицировать коды в море текста. LastPass Authenticator упускает эту простую, но полезную функцию, что делает пользовательский интерфейс менее привлекательным и более сложным для навигации. Кроме того, Authy поддерживает как список, так и вид сетки.

В целом, оба приложения имеют практически идентичный пользовательский интерфейс и позволяют легко добавлять и читать QR-коды на лету, но Authy делает это лучше.

2. Резервное копирование и восстановление

Authy попросит вас включить функцию резервного копирования при первом сканировании QR-кода. Конечно, вы всегда можете включить его позже в настройках приложения. После этого Authy сначала зашифрует их на вашем устройстве, а затем сделает резервную копию всех кодов на своих серверах.

Что если вы потеряете свой телефон или его украдут? Если вы потеряете полный доступ к своему телефону, вам придется загрузить Authy на новое устройство. Тем не менее, вы должны использовать тот же номер телефона, чтобы войти и начать процесс восстановления. Прежде чем вы сможете получить доступ к кодам, вам нужно будет расшифровать их с помощью резервного пароля, который вы создали во время создания резервных копий. Никто не имеет доступа к этому резервному паролю. Если вы потеряете его, даже Authy не восстановит его для вас. Поэтому убедитесь, что вы сохранили это в очень безопасном и надежном месте.

LastPass следует аналогичному процессу. Когда вы включите опцию резервного копирования, коды будут зашифрованы и сохранены на серверах LastPass. Но есть одно отличие. Вам понадобится учетная запись LastPass. Он также предлагает менеджер паролей это будет управлять вашими паролями.

LastPass обеспечивает углубленное руководство о том, как это сделать. По сути, вам нужно подключить приложение Authenticator с LastPass и включить опцию Multifactor в настройках. Затем вы можете решить хранить все локально (в зашифрованном виде) или оставить все в сети, для чего потребуется активное подключение к Интернету для входа. Многофакторная аутентификация не работает в автономном режиме, что делает ее избыточной, на мой взгляд.

В отличие от Authy, ваша учетная запись привязана к вашей учетной записи LastPass. Некоторые пользователи утверждают, что хранить все локально, а не делать резервные копии в облаке, более безопасно. Таким образом, вы защищены от атак с подменой SIM-карты, поскольку единственный способ получить доступ к кодам 2FA – это украсть ваше устройство. Отличный шанс. С надеждой, Сервер LastPass больше не взломан,

3. Безопасность

Вы должны знать, что Authy использует номер SIM для регистрации устройства на своих серверах. Во избежание атак подкачки SIM-карты в Authy предусмотрена функция для нескольких устройств. Это означает, что вы можете установить Authy и войти в систему для восстановления кодов только при включенной опции. Вот почему мы рекомендуем вам отключить эту опцию, когда она не используется.

LastPass использует похожую технику, когда вы можете разрешить определенным устройствам устанавливать приложение 2FA и восстанавливать ваши коды. Эта опция доступна в разделе «Настройки»> «Мобильные устройства».

Это простой, но эффективный способ предотвратить принудительный доступ неавторизованных устройств к вашим приложениям для проверки подлинности.

Одно из ключевых отличий заключается в том, что вместо SIM-карты LastPass Authenticator зависит от вашей учетной записи LastPass, для регистрации которой требуется идентификатор электронной почты. Поэтому рекомендуется также использовать 2FA для своего провайдера электронной почты. Если вы потеряете доступ к своей учетной записи LastPass и идентификатору электронной почты, вы можете восстановить его, используя номер SIM-карты (опция восстановления телефона).

4. Однократное утверждение

LastPass Authenticator поставляется с уникальной функцией, которая в настоящее время не поддерживается ни одним приложением 2FA. Когда вы используете Менеджер паролей LastPass с Аутентификатором, вам не нужно вводить идентификатор пользователя и пароль – эти данные будут заполнены автоматически.

Более того – вам не нужно будет вводить код 2FA. Вы получите всплывающее уведомление с возможностью подтвердить или отклонить вход в центр уведомлений. Просто нажмите на него, и вы хорошо. Эта функция работает с большинством популярных сайтов и приложений.

5. Платформа и цены

Authy и LastPass Authenticator являются бесплатными. Существует даже бесплатная версия LastPass Password Manager, которая должна быть достаточно хороша для большинства пользователей.

Authy поддерживает Android, iOS, Windows, macOS и браузер Chrome. Между тем, LastPass Authenticator поддерживает Android, iOS и Windows только.

Безопасность или удобство?

Смущенный? Позвольте мне упростить. Если вы используете менеджер паролей LastPass, использование LastPass Authenticator имеет смысл, особенно если вы платите за услугу Premium. Вы получаете вход в систему одним нажатием и автоматическое заполнение пароля, что позволяет быстро войти в систему в любом месте.

Authy стал золотым стандартом приложений 2FA и по уважительной причине. У него чистая запись, его интерфейс лучше, и он автоматически выбирает логотипы большинства сервисов.

Следующий: Вы используете Google Authenticator в качестве стандартного приложения 2FA? Узнайте, почему вы должны перейти на Authy сегодня.