هنگامی که من شروع به استفاده از احراز هویت دو عاملی کردم ، رمزهای عبور یک بار مبتنی بر زمان خود (TOTP) را در Google Authenticator ذخیره کردم زیرا این یکی از اولین ابزارهای برجسته برای کار بود. سالها بعد ، من Google Authenticator را برای Authy ترک کردم زیرا همگام سازی دستگاه های متقابل و پشتیبان گیری از راه حل Google در آن زمان وجود داشت.
هنگامی که من شروع به استفاده از احراز هویت دو عاملی کردم ، رمزهای عبور یک بار مبتنی بر زمان خود (TOTP) را در Google Authenticator ذخیره کردم زیرا این یکی از اولین ابزارهای برجسته برای کار بود. سالها بعد ، من Google Authenticator را برای Authy ترک کردم زیرا همگام سازی دستگاه های متقابل و پشتیبان گیری از راه حل Google در آن زمان وجود داشت.
و در حالی که من از زمان خوبی از Authy خوشحال شدم ، از آن زمان تصمیم گرفتم کدهای 2FA خود را به خانه دیگری تغییر دهم که شاید انتظار نداشته باشید: مدیر رمز عبور من. Authy در طول سالها مرا رها کرده است ، و در حالی که من در ابتدا در برابر نگه داشتن 2FA در همان مکان رمزهای عبور خود مقاوم بودم ، اکنون به این موضوع توجه نمی کنم.
چرا Authy دیگر آن را قطع نکرد
در ابتدا ، Authy بزرگترین مشکل من را با Google Authenticator (GA) حل کرد. در مراحل اولیه خود ، GA به یک دستگاه واحد گره خورده بود ، و گزینه ای آسان برای انتقال کدهای 2FA خود به تلفن جدید نیست. این بدان معنی است که اگر تلفن شما گم شده یا به سرقت رفته بود ، شما گزینه ای جز کدهای پشتیبان خود نداشتید. در حالی که این موارد قابل اجرا است ، من نمی خواهم از این که از دست دادن دسترسی 2FA می تواند شما را سوزاند ، خطر را تحمل کنم.
یکی دیگر از ضعف های اصلی GA ، عدم وجود برنامه دسک تاپ بود. هنگامی که من در سال 2014 استفاده از Authy را شروع کردم ، دوست داشتم که بتوانم هنگام کار روی رایانه خود کدها را تهیه کنم ، بنابراین نیازی به گرفتن تلفن خود نیست. با این حال ، Authy از پشتیبانی از برنامه دسک تاپ خود در اوایل سال 2024 متوقف شد.
همچنین این مشکلات امنیتی وجود دارد ، که مخصوصاً مربوط به برنامه ای است که شما به آن اعتماد دارید تا از حساب های خود محافظت کنید. در ژوئیه سال 2024 ، شرکت مادر Twilio اعلام کرد که Authy هک شده است و باعث می شود مهاجمان به بیش از 30 میلیون شماره تلفن کاربر دسترسی پیدا کنند.
در حالی که از اهمیت کمتری برخوردار است ، من از عدم به روزرسانی های بصری Authy در طول زمان نیز ناامید شده ام. نگاه اصلی هنوز هم همان است که من از یک دهه قبل استفاده از آن را شروع کردم. هیچ حالت تاریک وجود ندارد ، که غیرقابل توصیف است. چندین آرم منسوخ شده اند ، در جعبه قرار نمی گیرند ، مبهم به نظر می رسند یا موارد دیگری دارند.
متأسفانه ، مسئله نهایی من با اتهامات مربوط به ترک آن دارم. Authy هیچ گزینه ای برای صادرات کلیدهای TOTP شما ندارد. اگر می خواهید به برنامه 2FA دیگر تغییر دهید ، باید 2FA را در هر سرویس غیرفعال کنید و با برنامه جدید 2FA خود دوباره فعال شوید.
انتخاب جایگزینی Authy
دلایل کافی برای ترک Authy وجود دارد ، اما من نمی دانم کدام برنامه را باید انتخاب کنم تا آن را جایگزین کنم. من نمی خواهم همان مسائل دوباره به من بیفتد ، بنابراین با دقت فکر کردم.
من در ابتدا Ente Auth ، تازه وارد نسبی در فضا را در نظر گرفتم. این ویژگی دارای ویژگی های متفکرانه است ، مانند برچسب ها برای انواع مختلف حساب ، گزینه ای برای دیدن کد بعدی ، پین کردن بیشترین استفاده در بالا و برنامه دسک تاپ ضروری.
من به دلیل سرمایه گذاری زمان مورد نیاز ، این حرکت را به تعویق انداختم (بیش از 50 حساب در Authy ذخیره شده ام). در این مدت ، پروتون راه حل 2FA خود را به نام پروتون تأیید کننده منتشر کرد. این من را شبیه به Ente کرد ، هرچند که از یک شرکت امنیتی خوب و اعتماد به نفس ناشی می شود.
سپس گزینه دیگری را در نظر گرفتم: من سالها خوشحال شدم که 1Password را بپردازم و همیشه درخواست های استفاده از 2FA را در مدیر رمز عبور رد کردم. فکر من این بود که عاقلانه نیست که هر دو کلید حساب خود را در یک مکان داشته باشید ، زیرا اگر کسی مدیر رمز عبور شما را نقض کند ، همه چیز را برای ورود به آنها دارد.
آیا استفاده از 2FA در مدیر رمز عبور خود ایمن است؟
با این حال ، مقاله 1Password در مورد نگه داشتن کدهای TOTP در یک مدیر رمز عبور من را متقاعد کرد که سوئیچ را بسازم. همانطور که در مقاله آمده است ، تقسیم کدهای 2FA شما در یک برنامه جداگانه فقط در سناریوهای طاقچه محافظت بیشتری می کند.
اگر شخصی موفق شد اطلاعات ورود به سیستم 1Password خود را ، به علاوه کلید مخفی شما بدست آورد و حفاظت 2FA را در حساب 1Password خود شکست ، اما دستگاه شما را ندارید ، پس داشتن کدهای 2FA خود در یک برنامه دیگر شما را ایمن نگه می دارد. در غیر این صورت ، کسی که دستگاه شما را به خطر می اندازد ، بدون توجه به اینکه در کجا ذخیره شده است ، می تواند کدهای 2FA شما را کنترل کند.
یک عامل دوم واقعی نگه داشتن کدهای شما بر روی دستگاه ثانویه ای است که فقط برای آنها استفاده می کنید یا یک راه حل سخت افزاری مانند Yubikey. این افراد امنیت قوی تری ارائه می دهند ، اما بسیار راحت تر هستند. داشتن کدهای TOTP خود در همان تلفن با 1Password ، اما در یک برنامه متفاوت ، محافظت بیشتری نمی کند زیرا هرکسی که تلفن شما را ترک می کند به هر دو دسترسی داشته باشد.
تمام آنچه در نظر گرفت ، من خوشحالم که کدهای 2FA خود را در 1Password نگه دارم و از راحتی خودکار کردن آنها لذت می برم.
روند خسته کننده سوئیچینگ
قسمت بعدی کسل کننده است: به صورت دستی تمام کدهای TOTP من را از Authy به 1Password تغییر دهید. بدون هیچ گزینه ای برای صادرات از Authy ، من باید از هر خدمتی که از Authy استفاده می کردم ، بازدید کنم ، 2FA را غیرفعال کنم ، سپس آن را در مدیر رمز عبور خود دوباره فعال کنم.
با 50 حساب کاربری ، برای حرکت همه چیز مدتی طول می کشد (من هنوز تمام نشده ام). بخش دیگر از دردسر این است که غیرفعال کردن و مجدد 2FA مجموعه جدیدی از کدهای پشتیبان را ایجاد می کند و شما را ملزم می کند که قدیمی ها را بازنویسی کنید (و دوباره آنها را برای Sakeeping چاپ کنید). اگر Authy دارای ویژگی صادراتی باشد (Microsoft Authenticator نیز فاقد این گزینه است) این مشکل نخواهد بود.
خوشبختانه ، 1Password افزودن اسرار 2FA به یک مورد را آسان می کند. در منو برای هر ورودی ، می توانید یک کد QR را اسکن کنید (این کار بهترین کار را می کند که در برنامه افزودنی مرورگر انجام شود) ، یا در صورت اسکن کردن کد کار نمی کند و راز را کپی و چسباند.
من از داشتن کلیدهای 2FA در 1Password خوشحال تر از Authy هستم. برنامه های 1Password برای دسک تاپ و Autofill Web Code 2FA خود را به همراه سایر اعتبار ذخیره شده خود ، که صاف است ، انجام دهید. رابط کاربری مرتب است ، و یک برنامه کمتر برای نگرانی در مورد نقض ، آفلاین شدن یا تحقیر کیفیت است.
من برای همه کدهای 2FA از 1Password استفاده نمی کنم
حتی اگر من به عنوان تأیید کننده اصلی خود به 1Password تغییر دادم ، من هنوز هم چند حساب 2FA را در پروتون تأیید می کنم: حساب ایمیل اصلی من و 2FA برای خود 1Password. من در مورد پروتون تصمیم گرفتم از آنجا که از یک شرکت قابل اعتماد است و UI جلا تر است.
این احمقانه خواهد بود که کدهای 2FA را برای ورود به سیستم 1Password در مدیر رمز عبور نگه دارید ، این بدان معنی است که حداقل برای این کار به برنامه 2FA دیگری احتیاج دارید. ایمیل شما مهمترین ورود به شما است زیرا به شما امکان می دهد رمزهای عبور را برای تمام حساب های دیگر خود تنظیم کنید. بنابراین می خواهم بتوانم به آن حساب وارد شوم حتی اگر به دلایلی نتوانم وارد 1Password شوم.
از آنجا که 1Password (بر خلاف Authy) صادر کردن اسرار 2FA خود را آسان می کند ، می توانید آنها را در بیش از یک برنامه ذخیره کنید. این به من اجازه می دهد تا از راحتی خودکار ایمیل خود را با 1Password لذت ببرم ، در حالی که در صورت قفل شدن از نسخه پشتیبان تهیه می کنم.
با این حال ، این نیز سربار بیشتری ایجاد می کند. من می توانم حساب پروتون خود را با 2FA تضمین کنم تا از چند کدهای موجود در آن محافظت کنم – اما به نوبه خود ، این به یک برنامه تأیید کننده سوم نیاز دارد (از آنجا که 1Password و پروتون از یکدیگر محافظت می کنند). من مایل هستم که این کار را انجام دهم زیرا من به آن احتیاج ندارم ، اما دست و پا چلفتی است.
برنامه 2FA خود را با دقت انتخاب کنید
با افزایش مقاله 1Password ، افزایش امنیت دیجیتال شما ، با این حال شما این کار را انجام می دهید ، یک تغییر مثبت است. اگر به هیچ وجه از 2FA استفاده نمی کنید ، باید شروع کنید. و اگر از 2FA مبتنی بر SMS استفاده می کنید ، که بسیار ضعیف تر است ، توصیه می کنم به برنامه 2FA مبتنی بر برنامه تغییر دهید.
برای من ، زمان آن رسیده بود که Authy را ترک کنیم ، و من به کسی توصیه نمی کنم که اکنون استفاده از آن را شروع کند زیرا پرش کشتی دشوار است. این که آیا شما از مدیر رمز عبور خود استفاده می کنید یا یک برنامه اختصاصی مانند Proton Authenticator ، ارزش آن را دارد که از وضعیت 2FA خود استفاده کنید تا مطمئن شوید که این برای شما مناسب است.