Authy
Authy — это сервис двухфакторной аутентификации (2FA), разработанный компанией Twilio. Он предназначен для генерации одноразовых кодов, используемых в качестве второго фактора защиты учётных записей пользователей в интернет-сервисах. Authy функционирует на основе временных одноразовых паролей (TOTP) и предоставляет возможность синхронизации данных между несколькими устройствами.
История
Сервис был запущен в 2012 году компанией Twilio, специализирующейся на облачных коммуникационных платформах. Изначально Authy позиционировался как альтернатива стандартным приложениям-аутентификаторам, таким как Google Authenticator, с упором на удобство резервного копирования и кроссплатформенность. В 2015 году Twilio приобрела компанию Authy, что позволило интегрировать сервис в экосистему облачных решений для разработчиков. С тех пор Authy остаётся одним из популярных решений для двухфакторной аутентификации, особенно среди пользователей, ценящих возможность восстановления доступа при потере устройства.
Принцип работы
Authy использует алгоритм TOTP (Time-based One-Time Password), который генерирует шестизначные коды, действительные в течение короткого промежутка времени (обычно 30 секунд). Для генерации кода сервис использует секретный ключ, предоставляемый сервисом, к которому пользователь хочет подключить двухфакторную аутентификацию. Этот ключ может быть передан пользователю в виде QR-кода, текстовой строки или через встроенную функцию сканирования.
Особенностью Authy является хранение секретных ключей в зашифрованном виде на серверах Twilio. Это позволяет синхронизировать данные между устройствами (смартфонами, планшетами, компьютерами) и восстанавливать доступ к аккаунтам при смене или потере устройства. Для обеспечения безопасности шифрования используется пароль, который пользователь задаёт при настройке приложения. Ключи не хранятся в открытом виде ни на устройстве, ни на сервере.
Функциональные возможности
Основные функции
- Генерация TOTP-кодов: Основная функция — создание одноразовых паролей для входа в сервисы, поддерживающие двухфакторную аутентификацию.
- Синхронизация между устройствами: Пользователь может установить Authy на несколько устройств (iPhone, Android, Windows, macOS, Linux), и все коды будут автоматически синхронизироваться.
- Резервное копирование и восстановление: При утере или замене устройства можно восстановить все настроенные аккаунты, используя пароль шифрования и номер телефона, привязанный к учётной записи Authy.
- Поддержка нескольких учётных записей: В приложении можно хранить неограниченное количество аккаунтов.
- Автоматическое заполнение кодов: На мобильных устройствах Authy может автоматически вставлять сгенерированный код в поле ввода приложения или браузера (на поддерживаемых платформах).
- Push-уведомления: Для некоторых сервисов Authy поддерживает аутентификацию через push-уведомления, когда пользователю достаточно подтвердить вход нажатием кнопки, а не вводить код.
Дополнительные возможности
- Поддержка нескольких устройств: Одна учётная запись Authy может быть привязана к нескольким устройствам, что удобно для пользователей, работающих с разных компьютеров или телефонов.
- Тёмная тема: Приложение имеет встроенную тёмную тему оформления.
- Офлайн-режим: Коды генерируются на устройстве, поэтому для их получения не требуется постоянное подключение к интернету. Однако для синхронизации и восстановления данных интернет необходим.
Установка и настройка
Приложение Authy доступно для скачивания в официальных магазинах приложений (App Store, Google Play) и в виде настольных клиентов для Windows, macOS и Linux. Установка стандартна: после загрузки приложения пользователю предлагается зарегистрировать учётную запись, указав номер мобильного телефона. На указанный номер приходит SMS-код для верификации. Затем пользователь задаёт пароль шифрования, который будет использоваться для защиты данных при синхронизации.
После регистрации пользователь может начать добавлять аккаунты. Для этого необходимо отсканировать QR-код, предоставленный сервисом (например, Google, Facebook, Dropbox, GitHub), или вручную ввести секретный ключ. Приложение автоматически добавляет иконку сервиса и начинает генерировать коды.
Безопасность
Authy уделяет большое внимание безопасности данных. Основные меры включают:
- Шифрование данных: Все секретные ключи шифруются на устройстве с использованием AES-256. Ключ шифрования генерируется на основе пароля, заданного пользователем, и не передаётся на сервер в открытом виде.
- Двухфакторная аутентификация для самого Authy: Для входа в учётную запись Authy требуется ввод пароля и подтверждение через SMS или push-уведомление.
- Защита от фишинга: Приложение не отображает секретные ключи в открытом виде, что затрудняет их кражу при компрометации устройства.
- Отсутствие облачного хранения ключей в открытом виде: Twilio не хранит сами ключи, а лишь зашифрованные данные, которые невозможно расшифровать без пароля пользователя.
Несмотря на высокий уровень безопасности, использование облачной синхронизации вызывает критику со стороны некоторых экспертов. Основной аргумент — при компрометации пароля шифрования злоумышленник может получить доступ ко всем аккаунтам пользователя. Однако Twilio утверждает, что пароль не хранится на серверах, и его невозможно восстановить.
Критика и недостатки
- Зависимость от облачной инфраструктуры: Для восстановления доступа к аккаунтам требуется доступ к серверам Twilio. В случае сбоя или прекращения работы сервиса пользователь может потерять доступ к своим аккаунтам, если не сделал резервные копии иным способом.
- Привязка к номеру телефона: Для регистрации и восстановления доступа требуется номер мобильного телефона. Это может быть неудобно для пользователей, которые не хотят раскрывать свой номер, или для тех, кто часто меняет SIM-карты.
- Отсутствие поддержки аппаратных ключей: Authy не поддерживает аппаратные токены (например, YubiKey), что ограничивает его использование в сценариях, требующих физического носителя.
- Проблемы с конфиденциальностью: Компания Twilio имеет доступ к метаданным об использовании приложения (например, какие сервисы подключены), что может вызывать опасения у пользователей, ценящих конфиденциальность.
- Отсутствие экспорта ключей: В стандартной версии Authy нет возможности экспортировать секретные ключи в другие приложения-аутентификаторы, что создаёт «привязку» к сервису.
Применение
Authy широко используется как частными пользователями, так и в корпоративной среде. Он подходит для защиты учётных записей в социальных сетях, почтовых сервисах, облачных хранилищах, криптовалютных биржах, сервисах разработки (GitHub, GitLab) и многих других. Благодаря поддержке нескольких устройств, Authy удобен для пользователей, работающих с разных компьютеров и телефонов. В корпоративной среде Authy может использоваться для настройки двухфакторной аутентификации для сотрудников, особенно в компаниях, использующих облачные сервисы Twilio.
Аналоги
На рынке существует несколько альтернатив Authy, включая:
- Google Authenticator: Простой и бесплатный аутентификатор, но без синхронизации и резервного копирования.
- Microsoft Authenticator: Аналог от Microsoft с поддержкой синхронизации через облако Microsoft.
- Duo Security: Корпоративное решение с расширенными функциями безопасности.
- Bitwarden Authenticator: Встроенный аутентификатор в менеджере паролей Bitwarden.
- Aegis Authenticator: Открытое приложение для Android с поддержкой экспорта и импорта ключей.
Выбор конкретного решения зависит от требований к безопасности, удобству и необходимости синхронизации.
Интересные факты
- Authy поддерживает не только TOTP, но и HOTP (HMAC-based One-Time Password), хотя последний используется реже.
- В 2021 году Twilio объявила о прекращении поддержки настольных версий Authy для Windows и macOS, но позже отменила это решение после критики пользователей.
- Приложение Authy имеет встроенную функцию «Multi-device», позволяющую использовать одно и то же устройство для нескольких учётных записей Authy (например, для членов семьи).
Источники
- Официальный сайт Authy (authy.com).
- Документация Twilio по Authy.
- Статья «What is Authy?» на сайте How-To Geek.
- Обзоры приложений двухфакторной аутентификации на сайтах TechRadar, CNET.
- Материалы блога компании Twilio о безопасности.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →