Kétlépcsős hitelesítés TOTP-vel Ez lett a fiókjaid védelmének alapvető pajzsa: egy második kód, amely rendszeresen változik, és amelyet a jelszavad mellett meg kell adnod. Ebben a cikkben egy átfogó útmutatót hozok neked, alkalmazás-összehasonlításokkal, konfigurációs tippekkel és valós használati esetekkel, mindezt részletesen és felhasználóbarát módon elmagyarázva, hogy ne tévedj el útközben.
Egy egyszerű listán túl itt megtalálod gyakorlati információk A legjobb TOTP alkalmazás kiválasztásához tanuld meg, hogyan állíthatod be népszerű szolgáltatásokon (GitHub, Bitwarden, Nextcloud stb.), hogyan implementálhatod a backend rendszeredbe Node.js segítségével, és hogyan kerülheted el a gyakori hibákat, amelyek miatt kizárhatsz magad a fiókjaidból. Lássuk is.
Mi az a TOTP, és miért érdemes még ma aktiválni?
TOTP (idő alapú egyszeri jelszó) Ez egy algoritmus, amely időalapú egyszer használatos jelszavakat generál. Az alkalmazásod és a szerver megoszt egy titkos kódot; a rendszeróra segítségével mindketten ugyanazt a kódot számítják ki, amely általában 30 másodpercenként megújul. Mivel offline működik, Gyors, megbízható és nagyon kényelmes, és egy második réteget ad hozzá, amely akkor is megállítja a támadásokat, ha a jelszava kiszivárog.
A 2FA-n belül számos módszer létezik (SMS, e-mail, biometrikus azonosítás, fizikai kulcsok, push értesítések...), de A TOTP alkalmazások általában a legkiegyensúlyozottabb megoldást jelentik. Adatvédelem, elérhetőség és felügyelet érdekében. Megjegyzés: Az SMS hasznos mentésként, de nem olyan robusztus vagy megbízható, különösen az Egyesült Államokon kívül.
Főbb tippek a kezdés előtt
Primero, Ne törölj 2FA fiókot az alkalmazásodból. anélkül, hogy előbb deaktiválnád a szolgáltatás weboldalán. Könnyen blokkolhatják örökre. Másodszor, generáld és mentsd el a helyreállítási kódok amikor csak elérhetők. Harmadszor, tervezze meg a biztonsági mentéseket: válasszon titkosított felhőalapú biztonsági mentéssel rendelkező alkalmazásokat, exportálja titkosított fájlba, vagy használja a fiókszinkronizálást, hogy elkerülje a tokenek elvesztését telefonváltáskor.
Egy kis valóságjelentés: 39 másodpercenként történik egy kibertámadás A világ bármely pontján. A 2FA aktiválása a TOTP-vel kevesebb mint két percet vesz igénybe, és növeli a biztonságot. Ha alternatív módszerként fizikai biztonsági kulcsot is hozzáad, már régen megvan az ideje.
Hogyan válasszunk TOTP alkalmazást: mire figyeljünk és mit kerüljünk el
A legjobb alkalmazások egyesülnek biztonság, egyszerűség, exportálás/mentés és platformfüggetlen kompatibilitást. Kulcsfontosságú, hogy biometrikus azonosítással vagy PIN-kóddal védhetők legyenek, elrejthessék a képernyőn megjelenő kódokat, és titkosított biztonsági mentéseket vagy biztonságos exportálást kínáljanak. Ha több operációs rendszert használ, keresse a következőt: szinkronizáció Android, iOS és asztali számítógép között.
Mi elől meneküljek? Biztonsági mentés vagy exportálás nélküli alkalmazások, platformok között inkompatibilis másolatok (ha váltogatod az iOS és az Android között), vagy amelyek telefonszámot igényelnek, ha nincs rá szükséged. A finom részletek mindent eldöntenek válság idején.
A TOTP hitelesítési alkalmazások teljes körű összehasonlítása
Az alábbiakban áttekintést talál a legjobb útmutatókban, dokumentációkban és speciális elemzésekben leggyakrabban megjelenő eszközök legfontosabb funkcióival és árnyalataival.
Google Hitelesítő (Android, iOS)
Ez a klasszikus utalás: ingyenes, egyszerű és nem igényel fiókotAz összes token egyszerre exportálható egyetlen QR-kóddal, így átvihetők egy másik telefonra, iOS rendszeren pedig Face ID/Touch ID segítségével biztosítható a hozzáférés, és tokenek kereshetők. Hiányoznak belőle a natív felhőalapú biztonsági mentések, és nem mindig rejti el a kódokat, ami nyilvános helyen kínos lehet. Ideális, ha nem szeretnél felhőalapú szolgáltatásokat és az egyszerűséget helyezed előtérbe.
Microsoft Hitelesítő (Android, iOS)
Jelszókezelőt és TOTP-t kombinál Biometrikus/PIN védelem, kód elrejtése és felhőalapú biztonsági mentések. Gyenge pont: az iOS és Android biztonsági mentések egymással nem kompatibilis, nem exportál tokeneket és sok helyet foglal (150-200 MB). Ha a Microsoft ökoszisztémájában vagy, sokkal könnyebbé teszi a bejelentkezést.
Twilio Authy (Android, iOS, Windows, macOS, Linux)
A többplatformos sztár: kifogástalanul szinkronizál mobil és asztali számítógép között, felhőalapú biztonsági mentéssel és PIN/biometrikus védelemmel. Fiók létrehozása telefonszámmal szükséges, és a mobil felületen megjelenik egy token egyszerre, ami sok fiókkal kevésbé agilis. Nem exportál/importál tokeneket, de a Google/Microsoft alternatívájaként az egyik legjobb.
Duo mobilalkalmazás (Android, iOS)
Nagyon népszerű a cégeknél, tiszta és egyszerű felület, elrejti a kódokat, és lehetővé teszi a biztonsági mentést a Google Cloudba (Android) vagy az iCloudba (iOS) új fiók létrehozása nélkül. Az alkalmazásban nincs hozzáférés-védelem, és iOS/Android másolatok nem támogatottak egymást. Ha nem fogsz platformot váltani, akkor tökéletesen szolgálhatja a szolgálatodat.
FreeOTP (Android, iOS)
Nyílt forráskódú projekt, minimalista és nagyon könnyű (2-3 MB). Nincs felhőtárhely vagy token exportálás; iOS rendszeren nem engedélyezi tokenek létrehozását manuális kulccsal (csak QR-kódok). iOS rendszeren Face ID/Touch ID segítségével védheti a tokeneket, és a kódok alapértelmezés szerint, valamint 30 másodperc inaktivitás után rejtve maradnak. Azoknak, akik a minimalizmust és a magánéletet helyezik előtérbe.
és OTP (Android)
Teljesen komplett és nyílt forráskódú: PIN/jelszó/ujjlenyomat-zár, címkék, keresés, automatikus elrejtés és zárolás inaktivitás esetén, „pánikgomb” minden törléséhez, és exportálás titkosított fájlba (pl. Google Drive). Megszűnt, de még mindig nagyon stabil. Kockázat: : a kulcsok egyszerű visszaszerzéséhez a hozzáférés nagyon jó védelme szükséges.
Aegis Hitelesítő (Android)
Modern nyílt forráskódú alternatíva, ingyenes, titkosítással, biometrikus azonosítással és jó biztonsági mentési lehetőségek. Támogatja az Authy/andOTP és szinte az összes 2FA formátum importálását. Néhány hatékony funkcióhoz root hozzáférés szükséges, ami nem mindenkinek való. Jó egyensúly a biztonság és a használhatóság között.
OTP hitelesítés (iOS, macOS)
Erőteljes az Apple számára: mappák rendszerezése, exportálás fájlba, kulcs-/QR-token beolvasás, iCloud szinkronizálás, valamint Face ID/Touch ID vagy jelszóvédelem. Nem rejti el a kódokat, és egyes funkciókért fizetős a macOS rendszer. iPhone/Mac esetén Ez a legteljesebb.
Második lépés (iOS, macOS)
Minimalista, iCloud szinkronizálás és Apple Watch támogatás. Nincs hozzáférés-védelem, nincs kódrejtés, nincs token export/import, és az ingyenes verzióban legfeljebb tíz token használható. macOS rendszeren képernyőkép-engedély szükséges a QR-kódok olvasásához. Tökéletes, ha valami nagyon egyszerűre vágysz az Apple ökoszisztémában.
WinAuth (Windows)
Játékos-orientált: támogatja a tokeneket nem szabványos Steam, Battle.net vagy Trion/Gamigo, a standard TOTP mellett. Lehetővé teszi az adatok titkosítását, exportálását egyszerű szövegként vagy titkosított fájlként, jelszóval vagy YubiKey-vel védve és automatikusan elrejti a kódokat. Csak Windows rendszeren létezik, és általában A 2FA nem ajánlott PC-n, de játékokhoz egy gyöngyszem.
Hitelesítő alkalmazás (Apple ökoszisztéma)
iPhone, iPad, Mac és Apple Watch alkalmazásokkal ellátott ellenőrző bővítmények szinte minden böngészőhöz (Safari, Chrome, Brave, Tor, Vivaldi…). Van egy nagyon korlátozott ingyenes verziója; a fizetős verzió biztonsági mentést és szinkronizálást is tartalmaz. Tartalmaz titkosítást, ossza meg a családdal és zárolj Face ID-val. Ha Apple-ben élsz, érdemes megfontolni ezt a lehetőséget.
2FA (2FA hitelesítő)
Egyszerű, ingyenes és E2E titkosítással, offline is működik, és lehetővé teszi a tokenek kulcs vagy QR-kód alapján történő összekapcsolását és szinkronizálását a Google Drive-val. Biztonsági mentések a tokenek elvesztésének megőrzése érdekében, böngészőbővítmény, PIN-kód/biometrikus adatok és hirdetések nélkül. Kevés speciális lehetőség. de nagyon megbízható Napról napra.
1Password (beépített TOTP-vel)
Fizetős jelszókezelő, ami tartalmazza a 2FA TOTP-t Integrált. A nagy előny a kód automatikus kitöltés a támogatott oldalakon és az egységes hitelesítőadat-kezelés. Ez nem egy tisztán 2FA alkalmazás, de ha már használod az 1Password-öt, leegyszerűsíti az életedet mobilon, asztali gépen és böngészőben.
Bitwarden (beépített TOTP-vel)
Nyílt forráskódú és ingyenes egyetlen felhasználó számára; a fizetős verzió TOTP-t is tartalmaz, amely automatikus kiegészítés webhelyeken és alkalmazásokbanAlapértelmezés szerint hatjegyű kódokat (SHA-1, 30-asok) generál, és lehetővé teszi a paraméterek testreszabását a TOTP URI szerkesztésével. A böngészőbővítmények az automatikus kiegészítés után a vágólapra másolják a TOTP-t, ha engedélyezi a beállítást. Nagyon kerek a jelszavak és a 2FA központosítása.
TOTP hitelesítő (BinaryBoot)
Letisztult felület és kiterjedt támogatás a 2FA szolgáltatásokhoz. Kínálatában megtalálható Prémium felhőalapú szinkronizálás Google Drive-val (Ön kezeli az adatokat), böngészőbővítménnyel (prémium), sötét témával, címkék és keresés, többplatformos támogatás (Android/iOS), több eszközön való használat (titkosított biztonsági mentések), több widget, ikon testreszabás és biometrikus biztonság a képernyőképek blokkolásának lehetőségével. Az ingyenes verzió némileg korlátozott.
Protectimus Smart OTP
Elérhető Androidon és iOS-en, kompatibilis az Android okosórákkal, több protokollt támogat és lehetővé teszi az alkalmazás PIN-kóddal történő védelmét. Kevésbé ismert, de nagyon komplett, ha különféle szabványokat és viselhető eszközökben való használat.
Útmutatók: Hogyan aktiválható a TOTP népszerű szolgáltatásokon
Nézzük a konkrét utasításokat, hivatalos dokumentációból leszűrve így eltévedés nélkül beállíthatod a TOTP-t.
TOTP konfigurálása GitHubon (TOTP alkalmazás vagy SMS, további metódusokkal)
A GitHub a következő használatát javasolja: Felhőalapú TOTP alkalmazások és biztonsági kulcsok tartalékként SMS helyett. A 2FA aktiválása után a fiókod egy 28 napos ellenőrzési időszakba lép: ha nem sikerül a hitelesítési folyamat, a 28. napon a rendszer kérni fogja a 2FA-t, és ha valami probléma adódik, újra konfigurálhatod.
- Lépésről lépésre TOTPFelhasználói beállítások → Jelszó és hitelesítés → 2FA engedélyezése → Olvasd be a QR-kódot a TOTP alkalmazásoddal, vagy használd a manuális beállítási kulcsot (Írd be: TOTP, GitHub címke: , GitHub kibocsátó, SHA1, 6 számjegy, 30 másodperc). Ellenőrizze aktuális kóddal, és töltse le a helyreállítási kódok.
- SMS, mint alternatíva: A CAPTCHA kitöltése után add meg a telefonszámodat, írd be az SMS-ben kapott kódot, és mentsd el a helyreállító kódokat. Csak akkor használd ezt, ha nem tudod használni a TOTP-t.
- JelszavakHa már van 2FA-d a TOTP alkalmazáson vagy SMS-en keresztül, adj hozzá egy jelszót, hogy jelszó nélkül bejelentkezhess, miközben továbbra is megfelelsz a 2FA követelményének.
- Biztonsági kulcsok (WebAuthn)A 2FA aktiválása után regisztrálj egy kompatibilis kulcsot. Ez második tényezőnek számít, és jelszót igényel; ha elveszíted, használhatsz SMS-t vagy a TOTP alkalmazásodat.
- GitHub Mobile: Miután megkapta a TOTP-t vagy az SMS-t, használhatja a mobilalkalmazást a következővel: push értesítések; nem támaszkodik a TOTP-re, és nyilvános kulcsú titkosítást használ.
Ha egy TOTP alkalmazás nem felel meg az igényeidnek, regisztráld az SMS-t B csomagként majd adjon hozzá egy biztonsági kulcsot, hogy magasabbra tegye a lécet a biztonság terén anélkül, hogy bonyolítaná a dolgokat.
Bitwarden Authenticator: Generálás, automatikus kitöltés és trükkök
A Bitwarden 6 számjegyű TOTP-ket generál SHA-1-gyel és 30 másodperces rotációvalA QR-kódot beolvashatod a böngészőbővítményből (kamera ikon), vagy manuálisan is beírhatod iOS/Android rendszeren. A konfigurálás után a forgó TOTP ikon megjelenik az elemen belül, és úgy másolhatod, mint egy jelszót.
Automatikus kiegészítésA böngészőbővítmények automatikusan kitöltik a TOTP-t, vagy a vágólapra másolják az automatikus kitöltés után, ha engedélyezve van az „Automatikus kitöltés oldal betöltésekor” funkció. Mobilon a kód a bejelentkezés automatikus kitöltése után a vágólapra másolja.
Ha a kódjaid nem működnek, szinkronizálja az eszköz óráját (Az automatikus idő be- és kikapcsolása Android/iOS rendszeren; macOS rendszeren ugyanez vonatkozik a dátumra/időre és az időzónára.) Ha egy szolgáltatás eltérő beállításokat igényel, szerkessze a URI otpauth manuálisan a tételben a számjegyek, az időszak vagy az algoritmus beállításához.
iOS 16+ rendszeren beállíthatod a Bitwarden-t úgy, hogy alapértelmezett alkalmazás-ellenőrzés Kódok kameráról történő beolvasásakor: Beállítások → Jelszavak → Jelszóbeállítások → Ellenőrző kódok beállítása → Bitwarden. Beolvasáskor koppintson a „Megnyitás Bitwardenben” lehetőségre a mentéshez.
Microsoft Azure/Office 365 fiókok esetén: A 2FA beállításakor válassza a „egy másik hitelesítő alkalmazás” a Microsoft Authenticator helyett, és olvassa be a QR-kódot a Bitwardennel. Steam esetén használjon előtaggal ellátott URI-t. steam:// majd a titkos kulcsod; a kódok a következők lesznek 5 karakteres alfanumerikus.
Nextcloud: TOTP és biztonsági mentési kódok
Ha a példányod engedélyezi a 2FA-t, akkor a személyes beállításaidban a következőt fogod látni: a titkos kód és a QR-kód szkennelni a TOTP alkalmazással. Hozza létre és mentse el a biztonsági kódok biztonságos helyen (ne magán a telefonon), mert ők fognak kihúzni a bajból, ha elveszíted a második tényezőt.
Bejelentkezéskor írja be a TOTP jelszót a böngészőjébe, vagy válasszon egy másik második lépést, ha beállított ilyet. Ha WebAuthn-t használ, ne használd újra ugyanazt a tokent a 2FA és a jelszó nélküli bejelentkezés esetében, mivel ez már nem lenne „dupla” tényező.
Vállalati esettanulmány: Speciális Gyógyszerportál (AEMPS)
Tipikus folyamatpélda: telepítsen egy TOTP alkalmazást (Microsoft/Google Authenticator, FreeOTP, Authy…) és a böngészőből „Ellenőrzőkód visszaállítása” kérések a hitelesítő adatok oldalán. Kapni fog egy e-mailt egy QR-kódot tartalmazó linkkel.
Olvasd be a QR-kódot az alkalmazásoddal, látni fogod az első kódodat és térjen vissza a böngészőjébe, hogy beírja a kódot a visszaállítási oldalon. Innen jelentkezzen be az „Ellenőrzőkód” módszer kiválasztásával: felhasználónév, jelszó és a telefonján megjelenő aktuális TOTP kód.
Hardverkulcsok: YubiKey, mint luxuskiegészítő
A maximális biztonság érdekében, YubiKey a Yubico-tól Ez az aranystandard: IP68-as fizikai kulcsok, elemmentesek, robusztusak és kompatibilisek a FIDO2, U2F, OTP, Smart Card stb. szabványokkal. Tökéletesen működnek a Google-lel, a Facebookkal és sok más szolgáltatással. Ha egy szolgáltatás nem támogatja a hardvert, használhatod a hitelesítő alkalmazásukat biztonsági mentés. Léteznek FIPS-tanúsítvánnyal rendelkező modellek is olyan környezetekhez, ahol szükséges.
Az ideális: TOTP alkalmazás + YubiKeyMindig lesz egy második tényeződ a rendelkezésedre, egy másik, rendkívül biztonságos védelem, amikor maximalizálni szeretnéd a védelmet.
TOTP implementálása a backend rendszerben (Node.js otplib-bel)
Ha saját alkalmazást fejlesztesz, a TOTP könnyen integrálható. otplib és egy csipetnyi Express.js. A munkafolyamat két fázisból áll: a TOTP titkos kód társítása a felhasználóhoz, valamint a kódok érvényesítése bejelentkezéskor.
- társaság: Generálj egy titkos kódot a szerveren, hozd létre az OTPauth URI-t, és jelenítsd meg QR-kódként (például QRcode-hoz hasonló könyvtárak használatával). A felhasználó beolvassa az alkalmazásával, és elküld neked egy TOTP-t. érvényesítse és mentse el a társítást.
- igazolásminden bejelentkezéskor a helyes jelszó megadása után, kérdezd meg a TOTP-t és ellenőrizze az érvényességét a mentett titkos kóddal szemben. Ha érvényes, akkor befejezheti a bejelentkezést.
Mint látható, ez egy nagyon egyértelmű minta: szinkronizálsz egy titkos üzenetetAz első kódot érvényesíted, majd minden bejelentkezéskor összehasonlítod a forgó TOTP kódot. Egyszerű, robusztus és a legtöbb hitelesítő alkalmazással kompatibilis.
Trükkök és bevált gyakorlatok, amelyek megkímélnek a bajtól
Gondold át a „B tervedet”: helyreállítási kódok és alternatív módszerek (biztonsági kulcs, SMS, push mobilalkalmazás), és ha felhőalapú szinkronizálásra támaszkodik, ellenőrizze, hogy van-e inkompatibilitások az iOS és az Android között (Microsoft és Duo eset) így nem érhetnek meglepetések a telefoncsere során.
Mikor érdemes beépített TOTP-vel rendelkező jelszókezelőt használni?
Ha már használod a Bitwarden-t vagy az 1Password-öt, Aktiválja a TOTP modult Egységesíti a jelszavakat és a másodfaktoros hitelesítést, automatikus kitöltéssel, ugyanazon eszközben. Előnyök: sebesség és kisebb súrlódás. Hátrány: több érzékeny elemet koncentrál egy helyre, így erős 2FA-val védve és ellenőrizze a biztonságos exportálási/mentési lehetőségeket.
Kiemelt alkalmazások és kompatibilitások összefoglalása
AndroidGoogle Authenticator, Microsoft Authenticator, Authy, Duo, FreeOTP, Aegis, andOTP, 2FAS, Protectimus, TOTP Authenticator, WinAuth (nem mobil). iOSGoogle Hitelesítő, Microsoft Hitelesítő, Authy, Duo, FreeOTP, OTP Hitelesítés, Második lépés, Hitelesítő alkalmazás, TOTP Hitelesítő. Asztal: Authy (Win/macOS/Linux), OTP Auth (macOS), Második lépés (macOS), WinAuth (Windows).
hogy különleges videojáték-zsetonok, a WinAuth remekül teljesít Steammel és Battle.nettel; a Bitwarden viszont a Steammel is tud mit kezdeni steam://Az Apple-nél a integrált hitelesítő iOS 15+ és Safari 15+ rendszereken hasznos, de az automatikus kiegészítése nem mindig találja el a kívánt eredményt, és nem olyan gyors, mint egy dedikált alkalmazás.
Gyors ellenőrzőlista a TOTP alkalmazás kiválasztásához
- Szüksége van? valódi platformfüggetlen (mobil + asztali)? Az Authy biztonságos választás.
- Minimalizmus és felhőtlenség? A Google Hitelesítő vagy a FreeOTP jó alapot jelentenek.
- Nyílt forráskódú, finomhangolással? Aegis (Android) vagy az OTP Auth (iOS) kiemelkedik.
- Mindent egyben menedzser + TOTP? Bitwarden vagy az 1Password sokkal egyszerűbbé teszi.
- Játékvilág? WinAuth támogatja a nem szabványos tokeneket.
Bármi legyen is a választásod, biztonsági másolatokat generál és menti a helyreállítási kódokat. Életmentő lehet, amikor a dolgok a legrosszabbak.
A TOTP aktiválása hatalmas biztonsági ugrást jelent minimális időráfordítással, és a már megtekintett alkalmazásokkal kiválaszthatod, ami a legjobban megfelel az igényeidnek: az egyszerű, felhőmentes megoldásoktól kezdve a szinkronizált ökoszisztémákig az összes eszközödön, beleértve a kódot automatikusan kitöltődő kezelőket vagy a fizikai kulcsokat a folyamat lezárásához. magas biztonsági forgatókönyvekNéhány jó döntéssel és egy tartalék tervvel, A fiókod a „kényszerben lévők kényére-kedvére” vált, és „félelembiztos” lesz..
