Divfaktoru autentifikācija (2FA), izmantojot autentifikatora lietotnes, balstās uz vienreizējo paroļu algoritmu (parasti TOTP – Time-based One-Time Password jeb laika atkarīga vienreizējā parole). Lietotne ģenerē unikālus sešciparu kodus aptuveni ik pēc 30 sekundēm, izmantojot slepeno atslēgu un aktuālo laiku. Pievienojot 2FA, serviss izsniedz slepeno atslēgu (parasti kā QR kodu), ko lietotājs noskenē ar lietotni. Pēc tam gan serveris, gan lietotne sinhroni ģenerē vienādus vienreizējos kodus – piesakoties pietiek ievadīt lietotnē redzamo kodu. Šī metode ir ievērojami drošāka par SMS kodiem, jo TOTP kodi netiek pārraidīti tīklā un regulāri mainās, izslēdzot iespēju tiem tikt pārtvertiem.
Zemāk ir apkopots piecu labāko bezmaksas autentifikatoru lietotņu reitings Android ierīcēm. Visas ir saderīgas ar populāriem servisiem – no Google un Microsoft kontiem līdz Facebook, Amazon, banku lietotnēm u.c., atbalstot standarta OTP kodus ar TOTP protokolu. Katrā aprakstā iekļautas galvenās iespējas, mākoņrezerves funkcijas, saderība, lietošanas ērtums un galvenie plusi/mīnusi.
1. Google Authenticator
Google Authenticator ir viena no pirmajām un populārākajām 2FA lietotnēm. Tā piedāvā pamata funkcionalitāti bez liekiem papildinājumiem – iespējams pievienot vairākus kontus, saņemt vienreizējos kodus arī bez interneta (darbojas “lidmašīnas režīmā”) un izmantot to viedpulksteņos ar Wear OS. Jauna konta pievienošana notiek, noskenējot QR kodu vai ievadot slepeno atslēgu – pēc tam koda ģenerators ir gatavs darbam. Lietotne ir gandrīz pilnībā saderīga ar jebkuru servisu, kas atbalsta TOTP, jo sākotnēji izstrādāta kā etalonrisinājums šim standartam.
Līdz 2023. gadam būtisks trūkums bija mākoņrezerves neesamība – kodi tika glabāti tikai vienā ierīcē. Kopš 2023. gada iespējama sinhronizācija ar Google kontu, ļaujot pēc vēlēšanās iespējot rezerves kopēšanu. Tomēr šī opcija nav aktīva pēc noklusējuma un neizmanto pilnīgu galapunktu šifrēšanu (end-to-end encryption), tāpēc daudzi joprojām dod priekšroku lokālai uzglabāšanai. Lietotne atbalsta visu kontu eksportu vienā QR kodā, kas ievērojami atvieglo pārnešanu uz citu ierīci.
Priekšrocības:
- Vienkāršs un ātrs: minimālistisks interfeiss, kods uzreiz redzams.
- Darbojas bez interneta: piemērots arī bezsaistes situācijām.
- Plaša saderība: atbalsta lielāko daļu populāro servisu.
- Ērts eksports: visi konti eksportējami vienā QR kodā.
Trūkumi:
- Ierobežotas funkcijas: nav iespējas iestatīt PIN/paroli lietotnei vai paslēpt kodu no ekrāna.
- Bez mākoņrezerves (ja nav iespējota sinhronizācija).
- Nav meklēšanas vai grupēšanas funkciju, ikonas netiek rādītas.
2. Microsoft Authenticator
Microsoft Authenticator ir spēcīgs risinājums ar ciešu integrāciju Microsoft ekosistēmā. Papildus TOTP ģenerēšanai (tiek atbalstīti Google, Facebook, GitHub u.c. konti), lietotne ļauj autorizēties Microsoft kontos ar vienu pieskārienu, izmantojot push paziņojumus. Tokenus iespējams dublēt mākonī, ja piesakāties lietotnē ar Microsoft kontu. Šifrētie dati tiek atjaunoti jaunā ierīcē, taču iOS un Android versijās tiek izmantoti atšķirīgi rezerves mehānismi, kas nav savstarpēji savietojami.
Lietotne nodrošina aizsardzību ar PIN, paroli, Face ID vai pirkstu nospiedumu. Pieejama arī iespēja paslēpt kodus no svešiem skatieniem. Papildu iespēja – paroļu un maksājumu datu glabāšana (ievietots paroļu pārvaldnieks).
Priekšrocības:
- Ērta autorizācija Microsoft kontiem.
- Lietotnes aizsardzība (PIN, biometriskie dati).
- Mākoņrezerves iespēja.
- Papildu funkcijas – paroļu glabāšana, Apple Watch atbalsts.
Trūkumi:
- Lietotne aizņem daudz vietas (~150–200 MB).
- Trūkst iespējas eksportēt tokenus uz failu.
- Atšķirīgas rezerves kopēšanas sistēmas iOS un Android vidē.
- Lai iespējotu rezerves kopēšanu, nepieciešams Microsoft konts.
3. Authy (Twilio Authenticator)
Authy, ko izstrādā Twilio, ir viena no funkcionāli visbagātākajām 2FA lietotnēm. Pieejama Android, iOS, Windows, macOS, Linux un pat pārlūkprogrammā (Chrome). Atbalsta tokenu sinhronizāciju starp vairākām ierīcēm. Lietotnes darbībai nepieciešama reģistrācija, piesaistot telefona numuru un saņemot SMS kodu. Tokeni tiek glabāti šifrētā veidā Twilio mākonī. Lietotājs nosaka paroles frāzi šifrēšanai – bez tās datus nevar atjaunot.
Authy piedāvā PIN/biometrijas aizsardzību, un kodus var paslēpt pēc neaktivitātes. Interfeiss ir vizuāli pievilcīgs, ar automātiski ielādētām servisu ikonām. Mobilajā versijā vienlaikus redzams viens konts, pārējie pieejami caur ikonām – nav grupēšanas vai meklēšanas.
Priekšrocības:
- Atbalsta vairākas platformas.
- Mākoņrezerves ar šifrēšanu.
- Lietotnes aizsardzība, vizuāli patīkams dizains.
- Meklēšana un Apple Watch atbalsts (darbvirsmas versijā).
Trūkumi:
- Nepieciešama reģistrācija (telefona numurs).
- Neparasts interfeiss mobilajā versijā.
- Nav eksporta uz failiem.
- Reģistrācijas laikā – teorētisks risks, kas saistīts ar SMS pārtveršanu (SIM-swap).
4. LastPass Authenticator
LastPass Authenticator – autentifikators no LastPass paroļu pārvaldnieka veidotājiem. Piedāvā vienkāršu 2FA kodu ģenerēšanu ar mākoņrezervi, piesaistot LastPass kontu. Tokeni tiek šifrēti un automātiski atjaunojami citā ierīcē. Atbalsta TOTP standartu, saderīgs ar populārākajiem servisiem. Interfeiss ir saprotams, ar iespēju meklēt un kārtot ierakstus.
Lietotne ir bezmaksas, pat ja LastPass menedžeris netiek lietots. Atbalsta push-autorizāciju atsevišķos servisos.
Priekšrocības:
- Mākoņrezerves ar šifrēšanu.
- Vienkāršs un saprotams interfeiss.
- Saderīgs ar visiem 2FA servisiem.
- Bezmaksas, nav kontu skaita ierobežojumu.
Trūkumi:
- Atkarība no LastPass konta (rezerves kopēšanai).
- Nav iespējas iestatīt paroles aizsardzību pašai lietotnei.
- Trūkst interfeisa pielāgošanas.
- Lietotne tiek reti atjaunināta.
5. FreeOTP
FreeOTP ir ar atvērtā pirmkoda kodu balstīta autentifikatora lietotne, ko sākotnēji izstrādāja Red Hat kā brīvu alternatīvu Google Authenticator. Ļoti viegla un vienkārša lietotne (tikai 2–3 MB). Atbalsta TOTP un HOTP protokolus. Interfeiss ir minimālistisks – tiek rādīts tikai saraksts ar kontiem un kodiem.
Tokeni tiek glabāti tikai lokāli. Nav mākoņrezerves, eksportēšanas vai iespēju apskatīt slepenos atslēgas. Android versijā ir plašas konfigurēšanas iespējas, tostarp algoritma tips, koda garums, intervāls u.c. iOS versijā iespējama tikai QR skenēšana.
Priekšrocības:
- Bezmaksas, ar atvērtu kodu.
- Ļoti viegla un ātra.
- Ļoti vienkāršs interfeiss.
- Liela konfigurējamība (Android versijā).
- Darbojas pilnīgi bezsaistē, kodi sākotnēji ir paslēpti.
Trūkumi:
- Nav rezerves kopiju veidošanas.
- Nav paroles aizsardzības.
- Trūkst papildu funkciju un sinhronizācijas.
- Reti tiek atjaunināta.
Praktiska piezīme: dublēšana vairākās ierīcēs
Pievienojot jaunu kontu autentifikatoram, iespējams vienlaicīgi noskenēt QR kodu ar vairākām ierīcēm. Viena un tā paša servisa 2FA slepenā atslēga nav unikāla konkrētai ierīcei – to var izmantot vairāki autentifikatori. Tas ir noderīgi dublēšanai – ja viena ierīce tiek pazaudēta, otra paliek kā rezerves risinājums. Šādā gadījumā visas ierīces ģenerēs vienādus kodus. Glabājiet otru ierīci drošā vietā un aizsargājiet to ar paroli/biometriju. Alternatīva – saglabāt slepeno atslēgu manuāli, piemēram, kā QR attēlu vai ievadīt paroļu pārvaldniekā.
Brīdinājums: riski bez dublēšanas
Bieži lietotāji izmanto 2FA tikai vienā ierīcē, neizveidojot rezerves kopijas. Tas ir riskanti – ierīces zuduma gadījumā var tikt zaudēta piekļuve visiem kontiem. Bez iepriekš saglabātiem rezerves kodiem vai tokenu kopijas atjaunošana var būt sarežģīta vai pat neiespējama. Vienmēr nodrošinieties ar rezerves kopiju: iespējojiet mākoņrezervi vai izmantojiet vairāku ierīču dublēšanu. Dažas lietotnes ļauj eksportēt tokenus QR koda vai faila veidā – glabājiet šo kopiju drošā vietā. Labākā prakse – izmantot gan mākoņrezervi, gan arī lokālus rezerves kodus.