Polski

aplikacja uwierzytelniająca
2FA
MFA
TOTP
Google Authenticator
Microsoft Authenticator

Co to jest aplikacja uwierzytelniająca

Dowiedz się, czym jest aplikacja uwierzytelniająca i jak chroni Twoje konta. Zawiera szczegółowe wyjaśnienie, jak działa, oraz przewodnik krok po kroku, jak korzystać z aplikacji uwierzytelniającej.

Yijun

Developer

12/9/2024

Przestań tracić tygodnie na uwierzytelnianie użytkowników

Uruchamiaj bezpieczne aplikacje szybciej z Logto. Zintegruj uwierzytelnianie użytkowników w kilka minut i skup się na swoim głównym produkcie.

Rozpocznij

Aplikacja uwierzytelniająca to narzędzie bezpieczeństwa, które generuje kody weryfikacyjne oparte na czasie, używając algorytmów kryptograficznych (takich jak TOTP lub HOTP), aby dodać dodatkową warstwę ochrony do Twoich kont.

Wyciek haseł zdarza się cały czas, a poleganie tylko na hasłach nie jest już bezpieczne. Dlatego główne strony internetowe i aplikacje oferują obecnie uwierzytelnianie dwuskładnikowe (2FA) lub uwierzytelnianie wieloskładnikowe (MFA). Aplikacje uwierzytelniające to popularne narzędzie 2FA, które generuje dynamiczne kody weryfikacyjne, aby chronić Twoje konta wraz z hasłami.

Jak działa aplikacja uwierzytelniająca?

Aplikacja uwierzytelniająca działa poprzez udostępnienie unikalnego klucza tajnego serwerowi, na którym znajduje się Twoje konto. Gdy po raz pierwszy skonfigurujesz 2FA, usługa generuje ten tajny klucz i pokazuje go jako kod QR. Po zeskanowaniu tego kodu za pomocą aplikacji uwierzytelniającej, zarówno Twoja aplikacja, jak i usługa posiadają teraz ten sam sekret - i tylko one go znają.

Używając tego wspólnego sekretu wraz z aktualnym czasem, obie strony mogą niezależnie generować ten sam 6-cyfrowy kod weryfikacyjny za pomocą standardowych algorytmów (zazwyczaj TOTP - czasowy jednorazowy kod dostępu). Kiedy próbujesz się zalogować, usługa porównuje kod, który wpisujesz z aplikacji uwierzytelniającej, z kodem wygenerowanym przez nią - jeśli się zgadzają, uzyskujesz dostęp.

Proces konfiguracji jest prosty:

Usługa generuje unikalny klucz tajny
Skanujesz kod QR zawierający ten sekret za pomocą aplikacji uwierzytelniającej
Aplikacja przechowuje tajny klucz bezpiecznie na Twoim urządzeniu
Od tego momentu obie strony mogą generować pasujące kody weryfikacyjne, gdy jest to potrzebne

Dlaczego aplikacje uwierzytelniające są bezpieczne?

Aplikacje uwierzytelniające oferują imponujące bezpieczeństwo. Według badań Google blokują 99,9% zautomatyzowanych ataków - to o 50% bardziej skuteczne niż weryfikacja SMS. Zobaczmy, dlaczego są tak bezpieczne:

Bezpieczeństwo matematyczne

Wyobraź sobie wyzwanie włamaniowe:

Kody SMS: jak zgadywanie 6-cyfrowej liczby (1 milion możliwości)
Klucz uwierzytelniający: jak zgadywanie 80-bitowej liczby (więcej kombinacji niż atomów we wszechświecie)

Ochrona oparta na czasie

Porównanie ważności kodów:

Kody SMS zazwyczaj pozostają ważne przez 5-10 minut, co stwarza znaczące ryzyko bezpieczeństwa
Kody aplikacji uwierzytelniającej odświeżają się co 30 sekund, co czyni je praktycznie niemożliwymi do wykorzystania

Korzyści z generowania offline w aplikacjach uwierzytelniających

Nie wymaga transmisji sieciowej
Brak ryzyka przechwycenia SMS
Odporne na ataki klonowania kart SIM

Dlaczego hakerzy nie mogą złamać aplikacji uwierzytelniających?

Pomyśl o tym jak o skarbcu z ciągle zmieniającą się kombinacją:

Zmienia się co 30 sekund
Wymaga zarówno "klucza tajnego", jak i "dokładnego czasu"
Nawet jeśli jeden kod zostanie skradziony, następny pozostaje bezpieczny

Co wiesz (hasło) + Co masz (aplikacja uwierzytelniająca) + Oparty na czasie algorytm = Prawie niezłamna ochrona

Jak używać aplikacji uwierzytelniającej: przewodnik krok po kroku

Nauczmy się korzystać z aplikacji uwierzytelniającej, używając praktycznego przykładu.

Przedstawimy proces przy użyciu usługi uwierzytelniania Logto.

Krok 1: Pobierz i skonfiguruj aplikację uwierzytelniającą z zaufanych źródeł

Pobierz zaufaną aplikację uwierzytelniającą:
- Google Authenticator
- Microsoft Authenticator
Zainstaluj aplikację na swoim telefonie
Ukończ wstępną konfigurację (utwórz konto, jeśli wymagane) zgodnie z instrukcjami aplikacji.

Krok 2: Włącz obsługę aplikacji uwierzytelniającej dla aplikacji demo Logto

Zaloguj się lub zarejestruj na Logto Cloud i utwórz swojego pierwszego dzierżawcę zgodnie z przewodnikiem wprowadzającym.
Przejdź do Konsola > Uwierzytelnianie wieloskładnikowe i włącz czynniki uwierzytelniania Aplikacja uwierzytelniająca OTP i Kod zapasowy, a następnie wybierz "Użytkownik musi zawsze używać MFA przy logowaniu" jako politykę weryfikacji dwuetapowej, a następnie kliknij Zapisz zmiany.

Ustawienia MFA

Przejdź do Konsola > Doświadczenie logowania > Rejestracja i logowanie, wybierz Nazwa użytkownika jako identyfikator podczas rejestracji i usuń Adres e-mail z identyfikatora logowania, następnie kliknij Zapisz zmiany,

Ustawienia doświadczenia logowania

Krok 3: Zeskanuj kod QR, aby połączyć aplikację uwierzytelniającą z Twoim kontem w aplikacji demo

Będąc dalej na stronie Doświadczenia logowania w Konsoli Logto, kliknij przycisk „Podgląd na żywo” w prawym górnym rogu sekcji Podgląd logowania. Następnie zostaniesz przekierowany na stronę logowania aplikacji demo.
Kliknij przycisk utwórz konto na stronie logowania i wpisz swoją nazwę użytkownika oraz hasło, aby utworzyć konto. Następnie zobaczysz ekran z wyświetlanym kodem QR.

Otwórz swoją aplikację uwierzytelniającą i zeskanuj kod QR. Następnie zobaczysz ekran z wyświetlanym 6-cyfrowym kodem.
Wprowadź 6-cyfrowy kod, aby potwierdzić połączenie, a następnie zostaniesz przekierowany na stronę zapasowego kodu. Pamiętaj, aby zapisać kod zapasowy w bezpiecznym miejscu.
Kliknij przycisk Kontynuuj, a zostaniesz pomyślnie zalogowany do aplikacji demo.

Krok 4: Spróbuj zalogować się do aplikacji demo za pomocą aplikacji uwierzytelniającej

Kiedy pomyślnie zalogowałeś się do aplikacji demo, kliknij przycisk Wyloguj się z podglądu na żywo, aby się wylogować z aplikacji demo i wrócić na stronę logowania aplikacji demo.
Spróbuj zalogować się do aplikacji demo, używając swojej nazwy użytkownika i hasła, a okaże się, że musisz podać 6-cyfrowy kod, aby się zalogować.
Otwórz aplikację uwierzytelniającą, wprowadź wyświetlony 6-cyfrowy kod związany z logto.app, a zostaniesz pomyślnie zalogowany do aplikacji demo!

Jak bezpiecznie korzystać z aplikacji uwierzytelniających?

Aplikacje uwierzytelniające są bezpieczne, ale musisz je poprawnie używać, aby uzyskać najlepszą ochronę:

Pobieraj z zaufanych źródeł

Pobierz aplikację uwierzytelniającą tylko z oficjalnych sklepów z aplikacjami (Google Play Store, Apple App Store)
Używaj popularnych aplikacji od zaufanych firm takich jak Google, Microsoft.
Uważaj na fałszywe aplikacje - mogą one kraść Twoje konta

Przechowuj swoje kody zapasowe w bezpiecznym miejscu

Zapisz swoje kody zapasowe gdzieś bezpiecznie offline lub w menedżerze haseł
Nie przechowuj kodów zapasowych na tym samym urządzeniu co aplikacja uwierzytelniająca
Warto zapisać kody zapasowe w więcej niż jednym bezpiecznym miejscu
Okresowo sprawdzaj, czy nadal możesz uzyskać dostęp do swoich kodów zapasowych

Bądź ostrożny podczas konfiguracji

Dodając konta do swojej aplikacji uwierzytelniającej:

Skanuj kody QR, gdy nikogo innego nie ma w pobliżu
Nigdy nie rób zrzutów ekranu kodów QR ani kluczy tajnych
Nie udostępniaj kluczy tajnych przez wiadomości lub e-mail
Jeśli skopiowałeś klucz tajny, wyczyść schowek po tym

Inne porady dotyczące bezpieczeństwa

Używaj odblokowania linie papilarne lub twarzą w aplikacji uwierzytelniającej, jeśli możesz
Regularnie tworzyć kopie zapasowe aplikacji uwierzytelniającej
Uaktualniaj telefon i aplikację uwierzytelniającą
W przypadku ważnych kont, możesz chcieć użyć osobnej aplikacji uwierzytelniającej

Co jeśli zgubię swoją aplikację uwierzytelniającą?

Nie martw się, jeśli zgubisz swoją aplikację uwierzytelniającą. Podczas konfigurowania 2FA, usługi dostarczają kody zapasowe - to są jednorazowe kody awaryjne, które powinienes przechowywać bezpiecznie offline lub w menedżerze haseł.

Popularne aplikacje uwierzytelniające oferują funkcje kopii zapasowych:

Google Authenticator: Kopia zapasowa w chmurze na koncie Google
Microsoft Authenticator: Kopia zapasowa w chmurze i odzyskiwanie

Jeśli wszystko inne zawiedzie, możesz skontaktować się z pomocą klienta po pomoc.

Jak działa aplikacja uwierzytelniająca?#

Dlaczego aplikacje uwierzytelniające są bezpieczne?#

Bezpieczeństwo matematyczne#

Ochrona oparta na czasie#

Korzyści z generowania offline w aplikacjach uwierzytelniających#

Dlaczego hakerzy nie mogą złamać aplikacji uwierzytelniających?#

Jak używać aplikacji uwierzytelniającej: przewodnik krok po kroku#

Krok 1: Pobierz i skonfiguruj aplikację uwierzytelniającą z zaufanych źródeł#

Krok 2: Włącz obsługę aplikacji uwierzytelniającej dla aplikacji demo Logto#

Krok 3: Zeskanuj kod QR, aby połączyć aplikację uwierzytelniającą z Twoim kontem w aplikacji demo#

Krok 4: Spróbuj zalogować się do aplikacji demo za pomocą aplikacji uwierzytelniającej#

Jak bezpiecznie korzystać z aplikacji uwierzytelniających?#

Pobieraj z zaufanych źródeł#

Przechowuj swoje kody zapasowe w bezpiecznym miejscu#

Bądź ostrożny podczas konfiguracji#

Inne porady dotyczące bezpieczeństwa#

Co jeśli zgubię swoją aplikację uwierzytelniającą?#