Najlepsze aplikacje uwierzytelniające

Szczegółowy przewodnik po świecie aplikacji uwierzytelniających dla systemów Android, iOS, Windows i macOS.

Jeśli korzystasz z uwierzytelniania dwuskładnikowego, w którym kody jednorazowe są generowane w aplikacji, masz do wyboru nie tylko Google Authenticator. To rozwiązanie od firmy Google zostało stworzone dziesięć lat temu, ale od tego czasu na rynku pojawiło się wiele alternatyw, które przewyższają go pod względem wygody i funkcjonalności.

Jeszcze trzy lata temu dostępne aplikacje uwierzytelniające można było policzyć na palcach jednej ręki; teraz jest ich kilkadziesiąt, przez co łatwo się w nich pogubić. Aby pomóc Ci wybrać aplikację do autoryzacji, która będzie działać z Twoi systemem operacyjnym, dla wygody pogrupowaliśmy poniżej 10 najbardziej godnych uwagi programów:

  • Aplikacje uwierzytelniające dla systemu Android: andOTP, Twilio Authy, Google Authenticator, Microsoft Authenticator, Cisco Duo Mobile, FreeOTP
  • Aplikacje uwierzytelniające dla systemu iOS 15: OTP auth, Step Two, Twilio Authy, Google Authenticator, Microsoft Authenticator, Cisco Duo Mobile, FreeOTP, aplikacja wbudowana w system iOS
  • Aplikacje uwierzytelniające dla systemu Windows: WinAuth, Twilio Authy
  • Aplikacje uwierzytelniające dla systemu macOS: Step Two, OTP auth (tylko wersja płatna),  Twilio Authy
  1. Google Authenticator

Systemy operacyjne: Android, iOS

Prawdopodobnie znasz już ten niezwykle popularny program o nazwie Google Authenticator. Nie możemy jednak go pominąć w naszym zestawieniu — użyjemy go jako punktu odniesienia do oceny innych programów.

Wersja Google Authenticator dla systemu iOS

Ogólnie rzecz biorąc, Google Authenticator to wygodne rozwiązanie dla osób, które nie chcą synchronizować tokenów za pośrednictwem chmury. Zamiast tego aplikacja może wyeksportować wszystkie utworzone w niej tokeny w postaci jednego kodu QR, dzięki czemu można zaimportować je masowo na nowe urządzenie. Od niedawna w wersji dla systemu iOS można wyszukiwać tokeny oraz zabezpieczyć dostęp do aplikacji za pomocą funkcji Touch ID lub Face ID (opcji tej nie ma w wersji dla Androida). Google Authenticator nadal nie umożliwia ukrywania wygenerowanych kodów, co może być problematyczne, gdy ktoś używa go publicznie. Nawiasem mówiąc, wszystkie programy służące do autoryzacji przeznaczone dla Androida uniemożliwiają wykonywanie zrzutów ekranu, dlatego zaprezentowane w tym poście grafiki pochodzą z wersji aplikacji dla systemu iOS.

Plusy:

  • Brak konieczności zakładania konta.
  • Ochrona dostępu do aplikacji za pomocą funkcji Face ID / Touch ID (tylko wersja dla systemu iOS).
  • Prosty interfejs z minimalnymi ustawieniami.
  • Możliwość eksportowania i importowania wszystkich tokenów jednocześnie.
  • Możliwość wyszukiwania według nazwy tokena (tylko wersja dla systemu iOS).

Minusy:

  • Brak ochrony logowania (wersja dla systemu Android).
  • Brak możliwości ukrycia kodów.
  • Brak możliwości tworzenia kopii zapasowych i synchronizacji w chmurze.
  • Większe potencjalne ryzyko ze względu na łatwość eksportowania tokenów, jeśli odblokowana aplikacja wpadnie w niepowołane ręce.

Podsumowanie
Aplikacji Google Authenticator brakuje kilku przydatnych funkcji, ale jeśli nie chcesz przechowywać tokenów w chmurze, stanowi ona przyzwoitą opcję.

  1. Microsoft Authenticator

Systemy operacyjne: Android, iOS

Wiele osób poszukujących alternatywy dla aplikacji Google Authenticator decyduje się na program Microsoft Authenticator wyłącznie ze względu na reputację firmy. Po części jest to uzasadnione: oprócz podstawowego zestawu funkcji aplikacja należąca do Microsoftu zawiera kilka przydatnych dodatków. Na przykład może ona ukrywać kody na ekranie i przechowywać tokeny w chmurze, a zarówno wersja dla systemu iOS, jak i Android chronią loginy aplikacji. Aplikacja ta przydaje się również, jeśli regularnie korzystasz z kont Microsoftu — w takim przypadku nie musisz wprowadzać kodu, lecz wystarczy dotknąć przycisku w aplikacji, aby potwierdzić logowanie.

Microsoft Authenticator: nieźle, ale dlaczego taki duży?

Jednak aplikacja ta ma również wady. Po pierwsze, wersje dla systemów Android i iOS używają całkowicie niekompatybilnych systemów tworzenia kopii zapasowych w chmurze, zatem nie można przenosić tokenów w żaden sposób. Dla użytkowników urządzeń z różnymi systemami operacyjnymi byłoby to bardzo przydatne. Po drugie, Microsoft Authenticator potrzebuje około 10 razy więcej miejsca (ok. 150-200 MB) niż Google Authenticator (15-20 MB).

Plusy:

  • Dostęp chroniony kodem PIN, odciskiem palca lub funkcją Face ID.
  • Możliwość tworzenia kopii zapasowych / synchronizacji w chmurze.
  • Możliwość ukrywania kodów.
  • Nie trzeba zakładać konta (o ile kopia zapasowa w chmurze jest wyłączona).
  • Znacznie uproszczone logowanie do konta Microsoft.
  • Współpraca z zegarkiem Apple Watch (wersja dla systemu iOS).

Minusy:

  • Konieczność logowania się do konta Microsoft w celu tworzenia kopii zapasowych / synchronizacji (tylko wersja dla systemu Android).
  • Brak kompatybilności między systemami tworzenia kopii zapasowych / synchronizacji w iOS-ie i Androidzie.
  • Brak możliwości eksportowania lub importowania tokenów.
  • Zajmuje sporo miejsca (wymaga 150–200 MB).

Podsumowanie
Microsoft Authenticator znacznie upraszcza logowanie do kont Microsoft, ale trudno jest usprawiedliwić jego ogromny rozmiar — podobnie jak to, że kopie zapasowe w chmurze iOS-a i Androida są niezgodne.

  1. Twilio Authy

Systemy operacyjne: Android, iOS, Windows, macOS, Linux

Główną zaletą aplikacji Twilio Authy jest obsługa wielu platform. Authy nie tylko oferuje wersje dla wszystkich dostępnych systemów operacyjnych, ale także zapewnia między nimi synchronizację. Ten łatwy dostęp ma jednak jedną wadę: do działania aplikacji wymagane jest połączenie swojego konta z własnym numerem telefonu.

Twilio Authy występuje w wersji dla każdego systemu operacyjnego

Interfejs aplikacji wygląda zupełnie inaczej niż w przypadku innych tokenów uwierzytelniających. Zamiast listy ma ona coś w rodzaju zestawu kart, więc w danym momencie wyświetla tylko jeden token, a reszta występuje w postaci małych ikon u dołu ekranu, między którymi można się przełączać. Jeśli masz dużo tokenów, może to być niewygodne. Chociaż użytkownicy komputerów stacjonarnych mogą wyświetlać tokeny jako listę, opcja ta nie jest dostępna w wersji mobilnej.

Plusy:

  • Dostęp chroniony kodem PIN, odciskiem palca lub funkcją Face ID.
  • Tworzenie kopii zapasowych / synchronizacja w chmurze.
  • Dostępność dla wszystkich popularnych systemów operacyjnych.
  • Współpraca z zegarkiem Apple Watch (wersja dla systemu iOS).
  • Możliwość wyszukiwania według tokena.

Minusy:

  • Wymaga powiązania konta z numerem telefonu.
  • Wyświetla tylko jeden token naraz.
  • Trudniej wyszukiwać tokeny.
  • Brak możliwości ukrycia kodu aktywnego tokena.
  • Brak możliwości eksportowania i importowania tokenów.

Podsumowanie
Aby korzystać z aplikacji Twilio Authy, konieczne jest założenie konta. Interfejs na smartfonie nie jest zbyt przyjazny dla użytkownika. Z uwagi na wzajemną synchronizację aplikacji dla wszystkich systemów operacyjnych aplikacja jest warta uwagi.

  1. Cisco Duo Mobile

Systemy operacyjne: Android, iOS

Aplikacja Duo Mobile została przejęta przez firmę Cisco w 2018 roku i jest jedną z najstarszych aplikacji uwierzytelniających. Jej główną zaletą jest przejrzysty, przyjazny dla użytkownika interfejs. Duo Mobile ukrywa również kody i nie wymaga zakładania konta. Jednak w oprogramowaniu brakuje innych ważnych funkcji: przede wszystkim ochrony dostępu, której nie ma ani wersja dla systemu iOS, ani dla systemu Android.

Wersja Cisco Duo Mobile dla systemu Android pozwala użytkownikom na tymczasowe odblokowanie wykonywania zrzutów ekranu. Zatem dla urozmaicenia publikujemy zrzuty ekranu obu wersji.

Duo Mobile wykorzystuje dwa systemy do tworzenia kopii zapasowych w chmurze: Google Cloud na platformie Android oraz iCloud na platformie iOS. W tym celu wykorzystywane są istniejące konta Google i Apple użytkownika smartfona, co oznacza, że nie trzeba tworzyć nowego konta. Jednak użytkownicy nie mogą synchronizować danych między wersjami dla systemów Android i iOS — aplikacja nie umożliwia eksportowania plików, a także nie oferuje opcji wyświetlenia tajnego klucza lub kodu QR dla tokenów, które są już zapisane (co może być pomocne, gdy trzeba wykonać synchronizację ręczną).

Plusy:

  • Czytelny, przyjazny dla użytkownika interfejs.
  • Możliwość ukrywania kodów.
  • Brak konieczności zakładania konta.
  • Tworzenie kopii zapasowych / synchronizacja w chmurze.
  • Współpraca z zegarkiem Apple Watch (wersja dla systemu iOS).

Minusy:

  • Brak ochrony dostępu.
  • Brak możliwości eksportowania i importowania tokenów.
  • Brak kompatybilności między systemami tworzenia kopii zapasowych / synchronizacji w iOS-ie i Androidzie.

Podsumowanie
Cisco Duo Mobile może zaspokoić Twoje potrzeby, jeśli używasz i planujesz zawsze używać tylko jednego mobilnego systemu operacyjnego.

  1. FreeOTP

Systemy operacyjne: Android, iOS

Ta aplikacja uwierzytelniająca wykorzystująca otwarty kod źródłowy powstała, gdy firma Google zamknęła swój kod źródłowy programu Authenticator. Interfejs FreeOTP jest ultraminimalny; nie ma w nim nic zbędnego. To minimalistyczne podejście jest szczególnie widoczne w wersji dla systemu iOS, w której brakuje nawet opcji tworzenia tokena opartego na tajnym kluczu. Dostępna jest tylko opcja skanowania kodów QR. Wersja dla systemu Android oferuje obie opcje, a także dużą elastyczność w ręcznym tworzeniu tokenów — użytkownicy mogą wybrać typ generacji (TOTP lub HOTP), liczbę znaków w kodzie, algorytm i czas między odświeżaniem kodów.

FreeOTP to najbardziej minimalistyczna aplikacja do uwierzytelniania z otwartym kodem źródłowym

Jedną z wad tej aplikacji jest to, że żadna z wersji nie obsługuje synchronizacji w chmurze ani eksportowania i importowania tokenów w postaci pliku, więc jeśli zaczniesz z niej korzystać, musisz przy niej zostać. Ponadto nie można ustawić kodu PIN do aplikacji ani zabezpieczyć dostępu do niej w jakikolwiek inny sposób (w wersji dla systemu iOS można chronić poszczególne tokeny za pomocą opcji Touch ID lub Face ID). Aplikacja domyślnie ukrywa kody, a automatycznie dzieje się to po 30 sekundach bezczynności. Ostatnią zaletą FreeOTP jest to, że zajmuje minimalną przestrzeń dyskową, około 2-3 MB (dla porównania, Google Authenticator wymaga 15-20 MB, a Microsoft Authenticator  150-200 MB).

Plusy:

  • Brak konieczności posiadania konta.
  • Prosty interfejs.
  • Opcja domyślnego ukrywania kodów.
  • Opcja automatycznego ukrywania kodów po 30 sekundach bezczynności.
  • Minimalne wymagania dotyczące zajmowanego miejsca.
  • Ochrona tokenów przy użyciu funkcji Touch ID lub Face ID (tylko wersja dla systemu iOS).
  • Możliwość wyszukiwania według nazwy tokena (wersja dla systemu iOS).

Minusy:

  • Brak możliwości wygenerowania tokena z tajnym kluczem (w wersji dla systemu iOS, wymagane jest zeskanowanie kodu QR).
  • Brak możliwości eksportowania i importowania tokenów.
  • Brak możliwości tworzenia kopii zapasowych / synchronizacji.
  • Brak ochrony dostępu.

Podsumowanie
Podobnie jak wszystkie aplikacje oparte na otwartym kodzie źródłowym, FreeOTP jest trochę dziwaczna, ale ma przyjemny interfejs i ma niewielkie wymagania dotyczące zajmowanej przestrzeni.

  1. andOTP

Systemy operacyjne: Android

Aplikacja do autoryzacji andOTP ma wszystko, co jest potrzebne, aby wygodnie i bezpiecznie zapisywać tokeny. Umożliwia ona na przykład obsługę tagów i wyszukiwanie tokenów według nazwy. Istnieje również opcja, aby w nagłych wypadkach można było usunąć i zresetować wszystkie tokeny w aplikacji.

Podobnie jak inne aplikacje uwierzytelniające dla systemu Androida, andOTP blokuje wykonywanie zrzutów ekranu z kodami — zatem prezentujemy menu „Ustawienia”

Aplikacja umożliwia wyświetlanie tajnego klucza lub kodu QR dla każdego tokena indywidualnie. Można także zapisać wszystkie tokeny naraz w zaszyfrowanym pliku na Dysku Google – w efekcie za pomocą jednego dotknięcia można utworzyć kopię zapasową w chmurze lub wyeksportować ją do pliku. Dostęp do aplikacji można zabezpieczyć hasłem lub odciskiem palca używanym do logowania się na urządzeniu z systemem Android. Dla większego bezpieczeństwa możesz jednak skonfigurować oddzielny kod PIN lub nawet długie hasło, a także samodzielnie zdefiniować czas bezczynności, po którym aplikacja ma się automatycznie blokować. Dostępne są trzy lub cztery dodatkowe ekrany ustawień.

Plusy:

  • Ochrona dostępu za pomocą ustawionego w aplikacji kodu PIN lub hasła albo za pomocą kodu PIN lub odcisku palca służących do logowania się do systemu operacyjnego.
  • Możliwość wyświetlania tajnego klucza lub kodu QR dla dowolnego tokena.
  • Możliwość wyeksportowania wszystkich tokenów naraz do zaszyfrowanego pliku na Dysku Google.
  • Możliwość ukrycia kodu.
  • Automatyczne ukrywanie kodów, gdy użytkownik jest nieaktywny (po 5–60 sekundach; możliwość własnego dostosowania czasu).
  • Automatyczne blokowanie aplikacji, gdy użytkownik jest nieaktywny (po 10–360 sekundach, możliwość własnego dostosowania czasu),
  • Elastyczne wyszukiwanie tokenów według nazwy lub za pomocą możliwych do zdefiniowania tagów.
  • Możliwość użycia specjalnej funkcji wymazującej wszystkie tokeny.
  • Wiele elastycznych i rozmaitych ustawień.

Minusy:

  • Dostępna tylko dla systemu Android.
  • Łatwość odzyskiwania kluczy, co z drugiej strony oznacza większe ryzyko, gdy odblokowana aplikacja wpadnie w niepowołane ręce.

Podsumowanie
andOTP jest najbogatszą w funkcje aplikacją do uwierzytelniania dla systemu Android, która z pewnością zadowoli wszystkie osoby lubiące gadżety.

  1. OTP auth

Systemy operacyjne: iOS, macOS (5,99 dolarów)

Jeśli jesteś użytkownikiem iPhone’a, a po przeczytaniu powyższego opisu aplikacji andOTP zazdrościsz właścicielom Androida, mamy dla Ciebie dobrą wiadomość: dostępna jest również najnowocześniejsza aplikacja uwierzytelniająca dla systemu iOS. Twórcy aplikacji OTP auth najwyraźniej rozumieją problemy osób, które używają autoryzacji dwuetapowej w wielu usługach — ich aplikacja zawiera system folderów umożliwiających przechowywanie tokenów w sposób zorganizowany.

Aplikacja OTP auth umożliwia dostosowanie rozmiaru czcionki dla kodów jednorazowych

Ponadto program OTP auth umożliwia wyświetlenie tajnego klucza lub kodu QR w dowolnym momencie dla dowolnego tokena oraz eksportowanie ich naraz do pliku na smartfonie. Ponadto obsługuje synchronizację z serwisem iCloud. Użytkownicy mogą zabezpieczyć logowanie się do aplikacji za pomocą funkcji Touch ID lub Face ID lub użyć osobnego hasła. Jeśli o nas chodzi, wolimy tę drugą opcję, zwłaszcza biorąc pod uwagę, że eksportowanie tokenów z tej aplikacji jest dość łatwe. Jedyną przydatną funkcją, której nam brakuje, jest możliwość ukrywania kodów.

Plusy:

  • Możliwość przeglądania tajnego klucza lub kodu QR dowolnego tokena.
  • Możliwość jednoczesnego eksportowania wszystkich tokenów do pliku.
  • Kopia zapasowa / synchronizacja z iCloud.
  • System folderów umożliwiający zorganizowane przechowywanie tokenów.
  • Współpraca z zegarkami Apple Watch.
  • Możliwość konfiguracji formatu wyświetlania kodu.
  • Ochrona dostępu hasłem lub za pomocą funkcji Touch ID / Face ID.

Minusy:

  • Dostępna tylko dla systemów iOS i macOS (dla macOS tylko jako wersja płatna).
  • Brak możliwości ukrywania kodów.
  • Personalizacja ikon dostępna tylko w wersji płatnej.
  • Większe potencjalne ryzyko ze względu na łatwość odzyskania klucza, jeśli odblokowana aplikacja wpadnie w niepowołane ręce.

Podsumowanie
OTP auth jest najbogatszą w funkcje aplikacją do uwierzytelniania dla systemu iOS, która oferuje łatwe i wygodne eksportowanie tokenów.

  1. Step Two

Systemy operacyjne: iOS, macOS

Jeśli aplikacja andOTP ma według Ciebie zbyt wiele funkcji, a wymóg Twilio Authy dotyczący rejestracji zniechęca Cię, ale nadal potrzebujesz aplikacji do autoryzacji działającej zarówno z systemem iOS, jak i macOS — rozważ Step Two. Jej interfejs jest minimalistyczny: zarówno wersje dla systemu iOS, jak i macOS przypominają aplikację Kalkulator firmy Apple, co ma swoje plusy.

Step Two: uosobienie minimalizmu

Aby dopasować się do minimalistycznego interfejsu, Step Two oferuje niewiele ustawień i funkcji, chociaż zapewnia synchronizację z serwisem iCloud. Ponadto aplikacja przeznaczona na komputery obsługuje skanowanie kodów QR, które wykonuje poprzez przechwytywanie ekranu. Jednak w tym celu wymaga ona od użytkowników udzielenia jej uprawnień, przez co jest nieco ryzykowna — teoretycznie program może zobaczyć wszystko, co robi użytkownik.

Plusy:

  • Brak zbędnych funkcji.
  • Brak konieczności zakładania konta.
  • Kopia zapasowa / synchronizacja z serwisem iCloud.
  • Możliwość skanowania kodów QR (wersja dla systemu macOS).
  • Współpraca z zegarkami Apple Watch.
  • Możliwość wyszukiwania według nazwy tokena.

Minusy:

  • Brak możliwości zabezpieczenia dostępu.
  • Brak możliwości ukrywania kodów.
  • Brak możliwości eksportowania i importowania tokenów.
  • Maksymalnie dziesięć tokenów w wersji darmowej.
  • Uprawnienie do przechwytywania ekranu wymagane do zeskanowania kodu QR (wersja dla systemu macOS).

Podsumowanie
Step Two to minimalistyczna aplikacja dla każdego, kto ma komputer Mac i iPhone’a i nie potrzebuje zbędnych fajerwerków.

  1. WinAuth

Systemy operacyjne: Windows

Aplikacja WinAuth jest skierowana przede wszystkim do graczy. Jej unikatową funkcją jest obsługa niestandardowych tokenów do uwierzytelniania w grach Steam, Battle.net i Trion/Gamigo. Jeśli szukasz alternatywy dla programów Steam Guard, Battle.net Authenticator lub Glyph Authenticator / RIFT Mobile Authenticator, może to być aplikacja dla Ciebie.

WinAuth to jedna z niewielu aplikacji uwierzytelniających dla systemu Windows

Oczywiście aplikacja obsługuje również standardowe tokeny, w tym te dla „Guild Wars 2” i innych gier NCSoft (które z jakiegoś powodu programiści wymieniają osobno) oraz wiele innych: Google, Facebook, Instagram, Twitter. WinAuth używa hasła do logowania i do poszczególnych tokenów. Aplikacja domyślnie ukrywa kody (także automatycznie) i umożliwia szyfrowanie danych, które przechowuje i eksportuje.

Plusy:

  • Obsługa niestandardowych tokenów dla usług gier, co oznacza, że może zastąpić Steam Guard i Battle.net Authenticator, a także Glyph Authenticator i RIFT Mobile Authenticator.
  • Umożliwia eksportowanie tokenów w niezaszyfrowanym pliku tekstowym lub w zaszyfrowanym archiwum.
  • Opcja ukrywania kodów.
  • Automatyczne ukrywanie kodu po 10 sekundach braku aktywności użytkownika.
  • Ochrona dostępu za pomocą hasła lub klucza sprzętowego YubiKey (czyli U2F).
  • Dodatkowa ochrona hasłem dostępna dla każdego tokena.
  • Przenośna: dostępna opcja przechowywania w chmurze na dysku flash.
  • Możliwość szyfrowania przechowywanych danych.
  • Możliwość skanowania kodu QR z pliku (lokalnego lub dostępnego w internecie).

Minusy:

  • Tworzenie tokenów dla serwisu Steam wymaga podania w aplikacji WinAuth swojej nazwy użytkownika i hasła do serwisu.
  • Korzystanie z aplikacji uwierzytelniania dwuskładnikowego na komputerze nie jest zbyt dobrym pomysłem.
  • Brak wersji dla innych systemów operacyjnych.
  • Większe potencjalne ryzyko ze względu na łatwość odzyskania klucza, jeśli odblokowana aplikacja wpadnie w niepowołane ręce.

Podsumowanie

Gracze pokochają aplikację WinAuth, ponieważ pozwala ona na tworzenie niestandardowych tokenów preferowanych przez wydawców gier.

  1. Wbudowana aplikacja uwierzytelniająca w systemach iOS i macOS

Systemy operacyjne: iOS (wbudowana w system), macOS (wbudowana w przeglądarkę Safari)

Począwszy od systemu iOS 15 kolejne jego wersje dla iPhone’a mają wbudowany generator jednorazowych kodów weryfikacji dwuetapowej. Aby go znaleźć, przejdź do opcji Ustawienia → Hasła, wybierz zapisane konto (lub utwórz nowe), a pod sekcją Opcje konta dotknij Skonfiguruj kod weryfikacyjny… Teraz możesz zeskanować kod QR lub ręcznie wprowadzić tajny klucz — lub zeskanować kod QR uwierzytelniający bezpośrednio z aplikacji aparatu, a następnie dodać token do istniejącego konta w sekcji Hasła. W tej ostatniej metodzie nie trzeba tworzyć nowego konta.

Wbudowane aplikacje do uwierzytelniania są teraz dostępne również w systemie macOS, a dokładniej w wersjach 15 i nowszych przeglądarki Safari. Aby je znaleźć, otwórz Safari i wybierz w menu u góry ekranu Safari → Preferencje → Hasła. Wybierz konto (lub dotknij +, aby utworzyć nowe), stuknij opcję Edytuj, a następnie w oknie, które zostanie otwarte, stuknij pozycję Podaj klucz konfiguracji… (nie ma tu opcji kodu QR). Tokeny automatycznie synchronizują się za pomocą serwisu iCloud, więc nie trzeba ich ponownie aktywować na Маcu, gdy zostały utworzone na iPhonie.

Teoretycznie wbudowana aplikacja uwierzytelniająca w systemach iOS i macOS obsługuje autouzupełnianie, ale w praktyce nie działa to jeszcze zbyt płynnie. Przeprowadziliśmy mały eksperyment z kontem na Twitterze i uwierzytelnianiem dwuskładnikowym z użyciem kodu, który otrzymaliśmy. Kiedy zalogowaliśmy się do aplikacji Twitter, system pomyślnie wypełnił kod uwierzytelniający, ale kiedy próbowaliśmy zalogować się na stronie Twittera w Safari, kod nie pojawił się — niezależnie od tego, czy próbowaliśmy tego w systemie iOS, czy w macOS.

Plusy:

  • Dostępność na każdym iPhonie (iOS 15 i nowszych) i każdym Маcu (niezależnie od systemu operacyjnego, w przeglądarce Safari 15 i nowszych).
  • Brak konieczności zakładania osobnego konta.
  • Możliwość dodania tokena bezpośrednio z aplikacji aparatu (ale tylko do istniejącego konta; nie będzie działać przy tworzeniu nowego).
  • Autouzupełnianie kodów jednorazowych.
  • Ochrona dostępu za pomocą funkcji Touch ID lub Face ID.
  • Kopia zapasowa / synchronizacja z serwisem iCloud.

Minusy:

  • Opcja ta jest dość mocno ukryta w ustawieniach systemu iOS i Safari.
  • Wyświetlanie tylko jednego tokena naraz.
  • Brak możliwości ukrywania kodów.
  • Widoczne hasło do konta obok kodu (wersja dla systemu iOS).
  • Przechowywanie tokenów i haseł weryfikacji dwuetapowej razem, wbrew zasadom uwierzytelniania dwuskładnikowego.
  • Brak możliwości eksportowania i importowania tokenów.

Podsumowanie
Na pierwszy rzut oka wbudowanie aplikacji do uwierzytelniania w system operacyjny wygląda na dobry pomysł. Jednak w tym przypadku autouzupełnianie nie działa spójnie, a ponadto funkcję tę dość trudno znaleźć.

Pamiętaj, aby wykonywać kopię zapasową

Na zakończenie zebraliśmy kilka wskazówek.

Po pierwsze, nigdy nie ograniczaj się do korzystania tylko z jednej aplikacji uwierzytelniającej. Każda z nich może być lepsza w określonych okolicznościach. Możesz — i warto to stosować — łączyć aplikacje w zależności od potrzeb.

Po drugie, zwróć uwagę na kwestie bezpieczeństwa. Aktywuj niezawodną blokadę urządzenia i zawsze włączaj ochronę dostępu do aplikacji, zwłaszcza jeśli planujesz użyć jednego z tokenów uwierzytelniających, który pozwala łatwo eksportować tokeny (Google Authenticator, andOTP, OTP auth lub WinAuth). Ponieważ aplikacje te priorytetowo traktują łatwość dostępu, potencjalny atakujący może nie tylko ukraść jednorazowy kod, który działa przez 30 sekund, ale także szybko sklonować wszystkie tokeny.

Po trzecie, pamiętaj, aby wykonać kopię zapasową aplikacji uwierzytelniającej, zwłaszcza jeśli Twój wybór padł na jedną z aplikacji, w których nie można wyświetlić tajnego klucza lub kodu QR lub wyeksportować tokenów do pliku (czyli większość z nich). Kopia zapasowa przyda się, gdy zgubisz smartfon lub na przykład aplikacja przestanie działać poprawnie po rutynowej aktualizacji. W większości przypadków przywrócenie aplikacji do uwierzytelniania bez kopii zapasowej będzie znacznie trudniejsze.

Porady