Co to jest aplikacja uwierzytelniająca

Aplikacja uwierzytelniająca to narzędzie bezpieczeństwa, które generuje kody weryfikacyjne oparte na czasie, używając algorytmów kryptograficznych (takich jak TOTP lub HOTP), aby dodać dodatkową warstwę ochrony do Twoich kont.

Wyciek haseł zdarza się cały czas, a poleganie tylko na hasłach nie jest już bezpieczne. Dlatego główne strony internetowe i aplikacje oferują obecnie uwierzytelnianie dwuskładnikowe (2FA) lub uwierzytelnianie wieloskładnikowe (MFA). Aplikacje uwierzytelniające to popularne narzędzie 2FA, które generuje dynamiczne kody weryfikacyjne, aby chronić Twoje konta wraz z hasłami.

Jak działa aplikacja uwierzytelniająca?#

Aplikacja uwierzytelniająca działa poprzez udostępnienie unikalnego klucza tajnego serwerowi, na którym znajduje się Twoje konto. Gdy po raz pierwszy skonfigurujesz 2FA, usługa generuje ten tajny klucz i pokazuje go jako kod QR. Po zeskanowaniu tego kodu za pomocą aplikacji uwierzytelniającej, zarówno Twoja aplikacja, jak i usługa posiadają teraz ten sam sekret - i tylko one go znają.

Używając tego wspólnego sekretu wraz z aktualnym czasem, obie strony mogą niezależnie generować ten sam 6-cyfrowy kod weryfikacyjny za pomocą standardowych algorytmów (zazwyczaj TOTP - czasowy jednorazowy kod dostępu). Kiedy próbujesz się zalogować, usługa porównuje kod, który wpisujesz z aplikacji uwierzytelniającej, z kodem wygenerowanym przez nią - jeśli się zgadzają, uzyskujesz dostęp.

Proces konfiguracji jest prosty:

1. Usługa generuje unikalny klucz tajny
2. Skanujesz kod QR zawierający ten sekret za pomocą aplikacji uwierzytelniającej
3. Aplikacja przechowuje tajny klucz bezpiecznie na Twoim urządzeniu
4. Od tego momentu obie strony mogą generować pasujące kody weryfikacyjne, gdy jest to potrzebne

Dlaczego aplikacje uwierzytelniające są bezpieczne?#

Aplikacje uwierzytelniające oferują imponujące bezpieczeństwo. Według badań Google blokują 99,9% zautomatyzowanych ataków - to o 50% bardziej skuteczne niż weryfikacja SMS. Zobaczmy, dlaczego są tak bezpieczne:

Bezpieczeństwo matematyczne#

Wyobraź sobie wyzwanie włamaniowe:

• Kody SMS: jak zgadywanie 6-cyfrowej liczby (1 milion możliwości)
• Klucz uwierzytelniający: jak zgadywanie 80-bitowej liczby (więcej kombinacji niż atomów we wszechświecie)

Ochrona oparta na czasie#

Porównanie ważności kodów:

• Kody SMS zazwyczaj pozostają ważne przez 5-10 minut, co stwarza znaczące ryzyko bezpieczeństwa
• Kody aplikacji uwierzytelniającej odświeżają się co 30 sekund, co czyni je praktycznie niemożliwymi do wykorzystania

Korzyści z generowania offline w aplikacjach uwierzytelniających#

• Nie wymaga transmisji sieciowej
• Brak ryzyka przechwycenia SMS
• Odporne na ataki klonowania kart SIM

Dlaczego hakerzy nie mogą złamać aplikacji uwierzytelniających?#

Pomyśl o tym jak o skarbcu z ciągle zmieniającą się kombinacją:

• Zmienia się co 30 sekund
• Wymaga zarówno "klucza tajnego", jak i "dokładnego czasu"
• Nawet jeśli jeden kod zostanie skradziony, następny pozostaje bezpieczny

Co wiesz (hasło) + Co masz (aplikacja uwierzytelniająca) + Oparty na czasie algorytm = Prawie niezłamna ochrona

Jak używać aplikacji uwierzytelniającej: przewodnik krok po kroku#

Nauczmy się korzystać z aplikacji uwierzytelniającej, używając praktycznego przykładu.

Przedstawimy proces przy użyciu usługi uwierzytelniania Logto.

Krok 1: Pobierz i skonfiguruj aplikację uwierzytelniającą z zaufanych źródeł#

1. Pobierz zaufaną aplikację uwierzytelniającą:
   • Google Authenticator
   • Microsoft Authenticator
2. Zainstaluj aplikację na swoim telefonie
3. Ukończ wstępną konfigurację (utwórz konto, jeśli wymagane) zgodnie z instrukcjami aplikacji.

Krok 2: Włącz obsługę aplikacji uwierzytelniającej dla aplikacji demo Logto#

1. Zaloguj się lub zarejestruj na Logto Cloud i utwórz swojego pierwszego dzierżawcę zgodnie z przewodnikiem wprowadzającym.

2. Przejdź do Konsola > Uwierzytelnianie wieloskładnikowe i włącz czynniki uwierzytelniania Aplikacja uwierzytelniająca OTP i Kod zapasowy, a następnie wybierz "Użytkownik musi zawsze używać MFA przy logowaniu" jako politykę weryfikacji dwuetapowej, a następnie kliknij Zapisz zmiany.

3. Przejdź do Konsola > Doświadczenie logowania > Rejestracja i logowanie, wybierz Nazwa użytkownika jako identyfikator podczas rejestracji i usuń Adres e-mail z identyfikatora logowania, następnie kliknij Zapisz zmiany,

Krok 3: Zeskanuj kod QR, aby połączyć aplikację uwierzytelniającą z Twoim kontem w aplikacji demo#

1. Będąc dalej na stronie Doświadczenia logowania w Konsoli Logto, kliknij przycisk „Podgląd na żywo” w prawym górnym rogu sekcji Podgląd logowania. Następnie zostaniesz przekierowany na stronę logowania aplikacji demo.

2. Kliknij przycisk utwórz konto na stronie logowania i wpisz swoją nazwę użytkownika oraz hasło, aby utworzyć konto. Następnie zobaczysz ekran z wyświetlanym kodem QR.

3. Otwórz swoją aplikację uwierzytelniającą i zeskanuj kod QR. Następnie zobaczysz ekran z wyświetlanym 6-cyfrowym kodem.

4. Wprowadź 6-cyfrowy kod, aby potwierdzić połączenie, a następnie zostaniesz przekierowany na stronę zapasowego kodu. Pamiętaj, aby zapisać kod zapasowy w bezpiecznym miejscu.

5. Kliknij przycisk Kontynuuj, a zostaniesz pomyślnie zalogowany do aplikacji demo.

Krok 4: Spróbuj zalogować się do aplikacji demo za pomocą aplikacji uwierzytelniającej#

1. Kiedy pomyślnie zalogowałeś się do aplikacji demo, kliknij przycisk Wyloguj się z podglądu na żywo, aby się wylogować z aplikacji demo i wrócić na stronę logowania aplikacji demo.

2. Spróbuj zalogować się do aplikacji demo, używając swojej nazwy użytkownika i hasła, a okaże się, że musisz podać 6-cyfrowy kod, aby się zalogować.

3. Otwórz aplikację uwierzytelniającą, wprowadź wyświetlony 6-cyfrowy kod związany z logto.app, a zostaniesz pomyślnie zalogowany do aplikacji demo!

Jak bezpiecznie korzystać z aplikacji uwierzytelniających?#

Aplikacje uwierzytelniające są bezpieczne, ale musisz je poprawnie używać, aby uzyskać najlepszą ochronę:

Pobieraj z zaufanych źródeł#

• Pobierz aplikację uwierzytelniającą tylko z oficjalnych sklepów z aplikacjami (Google Play Store, Apple App Store)
• Używaj popularnych aplikacji od zaufanych firm takich jak Google, Microsoft.
• Uważaj na fałszywe aplikacje - mogą one kraść Twoje konta

Przechowuj swoje kody zapasowe w bezpiecznym miejscu#

• Zapisz swoje kody zapasowe gdzieś bezpiecznie offline lub w menedżerze haseł
• Nie przechowuj kodów zapasowych na tym samym urządzeniu co aplikacja uwierzytelniająca
• Warto zapisać kody zapasowe w więcej niż jednym bezpiecznym miejscu
• Okresowo sprawdzaj, czy nadal możesz uzyskać dostęp do swoich kodów zapasowych

Bądź ostrożny podczas konfiguracji#

Dodając konta do swojej aplikacji uwierzytelniającej:

• Skanuj kody QR, gdy nikogo innego nie ma w pobliżu
• Nigdy nie rób zrzutów ekranu kodów QR ani kluczy tajnych
• Nie udostępniaj kluczy tajnych przez wiadomości lub e-mail
• Jeśli skopiowałeś klucz tajny, wyczyść schowek po tym

Inne porady dotyczące bezpieczeństwa#

• Używaj odblokowania linie papilarne lub twarzą w aplikacji uwierzytelniającej, jeśli możesz
• Regularnie tworzyć kopie zapasowe aplikacji uwierzytelniającej
• Uaktualniaj telefon i aplikację uwierzytelniającą
• W przypadku ważnych kont, możesz chcieć użyć osobnej aplikacji uwierzytelniającej

Co jeśli zgubię swoją aplikację uwierzytelniającą?#

Nie martw się, jeśli zgubisz swoją aplikację uwierzytelniającą. Podczas konfigurowania 2FA, usługi dostarczają kody zapasowe - to są jednorazowe kody awaryjne, które powinienes przechowywać bezpiecznie offline lub w menedżerze haseł.

Popularne aplikacje uwierzytelniające oferują funkcje kopii zapasowych:

• Google Authenticator: Kopia zapasowa w chmurze na koncie Google
• Microsoft Authenticator: Kopia zapasowa w chmurze i odzyskiwanie

Jeśli wszystko inne zawiedzie, możesz skontaktować się z pomocą klienta po pomoc.