Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru |
11 лучших аутентификаторов для Android, iOS, Windows и macOS | Блог Касперского
Чем можно заменить Google Authenticator: рассказываем про 11 лучших приложений-аутентификаторов для Android, iOS, Windows, macOS и Linux.
Если вы пользуетесь двухфакторной аутентификацией с помощью одноразовых кодов, генерируемых в приложении, вовсе не обязательно использовать Google Authenticator. За десятилетие существования этого метода аутентификации появилось немало альтернатив, которые превосходят оригинал от Google по удобству и функциональности.
И если еще три года назад приложения-аутентификаторы можно было сосчитать по пальцам, то сейчас их существует несколько десятков, так что в этом многообразии немудрено и заблудиться. В этом посте мы расскажем про 11 наиболее интересных приложений. А чтобы было проще выбрать аутентификатор для интересующих вас операционных систем, мы разбили приложения на соответствующие группы.
- Приложения-аутентификаторы для Android: andOTP, Twilio Authy, Google Authenticator, Microsoft Authenticator, Яндекс.Ключ, Cisco Duo Mobile, FreeOTP
- Приложения-аутентификаторы для iOS 15: OTP auth, Step Two, Twilio Authy, Google Authenticator, Microsoft Authenticator, Яндекс.Ключ, Cisco Duo Mobile, FreeOTP, встроенный аутентификатор iOS
- Приложения-аутентификаторы для Windows: WinAuth, Twilio Authy
- Приложения-аутентификаторы для macOS: Step Two, OTP auth (только платная версия), Twilio Authy, встроенный аутентификатор macOS
Теперь поговорим о каждом из перечисленных приложений-аутентификаторов отдельно и разберемся, какие у них плюсы, минусы и индивидуальные особенности.
1. Google Authenticator
Операционные системы: Android, iOS
Если вы оказались в этом посте, то, скорее всего, вы уже знаете о Google Authenticator и ищете ему альтернативу. Однако не упомянуть об этом приложении было бы как минимум странно — все-таки оно до сих пор остается невероятно популярным. Кроме того, аутентификатор Google удобно рассматривать как базовый вариант, по сравнению с которым другие программы имеют те или иные достоинства и недостатки.
В целом Google Authenticator — вполне удобный аутентификатор для тех, кто не хочет связываться с синхронизацией токенов через облако. Вместо этого приложение позволяет легко экспортировать все заведенные в нем токены в одном гигантском QR-коде и так же легко импортировать их на новом устройстве. Версия для iOS не так давно успела обзавестись поиском по тегам и защитой входа с помощью Touch ID / Face ID, а вот в Android-версии ни поиска, ни защиты нет. Скрывать сгенерированные коды от посторонних глаз Google Authenticator по-прежнему не умеет, что может быть не очень удобно, если вы пользуетесь им в людном месте. Кстати, все аутентификаторы для Android блокируют снятие скриншотов, поэтому здесь и далее использованы скриншоты iOS-версий приложений.
Достоинства:
- Не требует создания аккаунта
- В iOS-версии вход в приложение защищен Face ID / Touch ID
- Простой интерфейс и минимум настроек
- Позволяет экспортировать и импортировать весь набор токенов в виде одного большого QR-кода
- В iOS-версии есть поиск по токенам
Недостатки:
- В Android-версии нет защиты входа в приложение
- Не скрывает коды
- Нет бэкапа/синхронизации через облако
- Из-за легкости экспорта токенов больше рисков в случае, если разблокированное приложение попадет в чужие руки
Резюме: в Google Authenticator уже ощутимо не хватает полезных функций, но если не хотите связываться с хранением токенов в облаке — это все еще неплохой вариант.
2. Microsoft Authenticator
Операционные системы: Android, iOS
Microsoft Authenticator часто выбирают те, кто ищет альтернативу Google Authenticator — просто в силу известности компании-разработчика. Отчасти это может быть оправданно: приложение Microsoft добавляет к базовому набору функций пару полезных дополнений — например, оно умеет скрывать коды на экране, защищает вход в приложение и в iOS, и в Android-версии, а также позволяет сохранять токены в облаке. Особенно полезен Microsoft Authenticator для работы собственно с аккаунтами Microsoft — вводить код в этом случае вообще не потребуется, достаточно нажать кнопку подтверждения входа в приложении.
Но есть и минусы. Во-первых, приложения для Android и iOS используют совершенно несовместимые системы бэкапа в облако, при этом переносить токены каким-то альтернативным способом вообще невозможно, так что если вы пользуетесь устройствами с разными ОС, будет очень неудобно. А во-вторых, Microsoft Authenticator занимает примерно в 10 раз больше места в памяти, чем Google Authenticator (150-200 Мбайт против 15-20 Мбайт).
Достоинства:
- Вход в приложение защищен ПИН-кодом, отпечатком пальца или Face ID
- Бэкап/синхронизация через облако
- Скрывает коды
- Может работать без аккаунта (если не включать бэкап в облако)
- Существенно упрощает вход в учетную запись Microsoft
- В iOS-версии есть поддержка Apple Watch
Недостатки:
- В Android-версии для бэкапа/синхронизации нужно войти в аккаунт Microsoft
- Системы бэкапа/синхронизации для iOS и Android несовместимы друг с другом
- Нет экспорта/импорта токенов
- Занимает неприлично много места в памяти — 150-200 Мбайт
Резюме: Microsoft Authenticator сильно упрощает вход в учетные записи Microsoft, но ему сложно простить несовместимость бэкапов для iOS и Android, а также чудовищный размер приложения.
3. Twilio Authy
Операционные системы: Android, iOS, Windows, macOS, Linux
Главное преимущество Twilio Authy — тотальная мультиплатформенность. И дело не только в том, что у Authy есть версии под все актуальные операционные системы, а еще и в том, что в приложении прекрасно организована синхронизация между ними. Правда, из этого вытекает одно не самое приятное следствие: для использования приложения необходимо завести аккаунт, привязанный к номеру телефона, — без него оно просто не будет работать.
Интерфейс у приложения заметно отличается от привычного по другим аутентификаторам. Вместо списка здесь использовано что-то вроде вкладок — в любой момент времени отображается только один выбранный токен, а все остальные представлены мелкими иконками в нижней части экрана, и между ними можно переключаться. При большом количестве токенов это не очень удобно. Причем в десктопной версии есть возможность выбрать отображение токенов списком, а вот в мобильной этого почему-то нет.
Достоинства:
- Вход в приложение защищен ПИН-кодом, отпечатком пальца или Face ID
- Бэкап/синхронизация через облако
- Есть приложения для всех популярных ОС
- В iOS-версии есть поддержка Apple Watch
- Поиск по токенам
Недостатки:
- Вообще не работает без аккаунта, привязанного к номеру телефона
- На экране всегда показывается только один токен
- Если токенов много, то искать нужный не очень удобно
- Код активного в данный момент токена невозможно скрыть
- Нет экспорта/импорта токенов
Резюме: Twilio Authy — ни шагу без регистрации и не самый удобный интерфейс на смартфонах, но зато есть приложения для любых операционных систем, и синхронизация между ними работает просто идеально.
4. Cisco Duo Mobile
Операционные системы: Android, iOS
Duo Mobile — одно из старейших приложений-аутентификаторов, которое в 2018 году было куплено компанией Cisco. Главное его достоинство — очень простой и удобный интерфейс. Также Duo Mobile умеет скрывать коды от посторонних взглядов и не требует регистрации. Однако дополнительных функций Duo Mobile ощутимо не хватает, и в первую очередь — защиты входа в приложение: ее нет ни в версии для iOS, ни в версии для Android.
Для облачного бэкапа Duo Mobile использует две разные системы: на платформе Android это Google Cloud, а на iOS — iCloud. Для этого используются аккаунты Google и Apple соответственно, которые в любом случае уже есть у пользователя смартфона. Так что новую учетную запись для работы с приложением заводить не придется. Но у этого решения есть и минус: синхронизировать данные между версиями для Android и iOS не получится, а экспорта в файл в Duo Mobile не предусмотрено, равно как нет и возможности посмотреть секретный ключ или QR-код для уже сохраненных токенов (что могло бы помочь в случае ручной синхронизации).
Достоинства:
- Простой и удобный интерфейс
- Скрывает коды
- Бэкап/синхронизация через облако
- Не нужно заводить аккаунт
- В iOS-версии есть поддержка Apple Watch
Недостатки:
- Нет защиты входа в приложение
- Нет экспорта/импорта токенов
- Системы бэкапа/синхронизации для iOS и Android несовместимы друг с другом
Резюме: Cisco Duo Mobile может подойти, если вы пользуетесь только одной мобильной операционкой и совершенно точно не планируете переезжать.
5. FreeOTP
Операционные системы: Android, iOS
Опенсорсное приложение-аутентификатор, которое было создано после того, как исходный код Google Authenticator стал закрытым. Интерфейс FreeOTP крайне минималистичен, в нем вообще нет ничего лишнего. Особенно в iOS-версии — из нее убрали даже опцию создания токена на основе секретного ключа, оставив только сканирование QR-кода. А вот в Android-версии по-прежнему доступны оба варианта, причем при создании токена вручную его можно максимально гибко настроить: выбрать тип генерации (TOTP или HOTP), количество знаков в коде, алгоритм и временной интервал обновления кодов.
Из недостатков следует отметить, что приложение ни в каком виде не поддерживает ни экспорт/импорт токенов в виде файла, ни синхронизацию через облако. Также в FreeOTP нельзя установить ПИН-код или еще как-либо защитить вход в приложение (в iOS-версии можно защитить отдельные токены с помощью Touch ID или Face ID). Зато приложение по умолчанию скрывает коды от взглядов из-за плеча, причем даже если вы отключите сокрытие, оно автоматически включится через 30 секунд бездействия. Наконец, есть и еще один плюс: FreeOTP занимает минимум памяти смартфона — около 2-3 Мбайт (для сравнения, Google Authenticator занимает 15-20 Мбайт, а Microsoft Authenticator — 150-200 Мбайт).
Достоинства:
- Не требует создания аккаунта
- Максимально простой интерфейс
- Скрывает коды по умолчанию
- Скрывает коды автоматически через 30 секунд бездействия
- Приложение занимает минимум места в памяти, 2-3 Мбайт
- В iOS-версии есть защита токенов с помощью Touch ID или Face ID
- В iOS-версии есть поиск по токенам
Недостатки:
- В iOS-версии нельзя завести токен по секретному ключу (только сканировать QR-код)
- Нет экспорта/импорта токенов
- Нет бэкапа/синхронизации
- Нет защиты входа в приложение
Резюме: как и все опенсорсное, FreeOTP — слегка своеобразное приложение, которому можно многое простить за минимализм в интерфейсе и объеме занимаемого дискового пространства.
6. andOTP
Операционные системы: Android
В аутентификаторе andOTP есть все, что только можно придумать для удобного и безопасного хранения токенов, и даже немного больше. Например, среди функций andOTP есть поддержка тегов и поиск токенов по названию. А также возможность подключения «тревожной кнопки», позволяющей в случае опасности стереть из приложения все токены и сбросить настройки.
Приложение позволяет посмотреть секретный ключ или QR-код для каждого токена по отдельности. Также можно сохранить сразу все токены в зашифрованный файл на Google Диск — то есть одновременно реализован и облачный бэкап, и нормальный экспорт в файл. Можно защитить вход в приложение паролем или отпечатком пальца, с помощью которых вы входите в Android. Но если хочется большей безопасности, можно установить отдельный ПИН-код или даже длинный пароль на вход именно в andOTP, плюс автоблокировку после определенного периода бездействия, точную длительность которого вы выберете сами. И еще примерно три-четыре экрана разнообразных настроек — одним словом, мечта настоящего гика.
Достоинства:
- Защита входа в приложение ПИН-кодом или паролем, заданным в приложении, либо ПИН-кодом или отпечатком пальца, заданным для входа в ОС
- Для любого токена можно посмотреть секретный ключ или QR-код
- Есть экспорт сразу всех токенов в зашифрованный файл на Google Диск
- Скрывает коды
- Автоматически скрывает коды при бездействии пользователя (после 5–60 секунд, настраивается)
- Автоматически блокирует приложение при бездействии пользователя (после 10–360 секунд, настраивается)
- Гибкая система поиска токенов — через строку или с помощью заданных пользователем тегов
- Возможность стереть все аккаунты по сигналу «тревожной кнопки»
- Невероятно гибкие и богатые настройки
Недостатки:
- Существует только для Android
- Без подготовки в настройках можно потеряться
- Из-за легкости извлечения секретных ключей больше рисков в случае, если разблокированное приложение попадет в чужие руки
Резюме: andOTP — самый многофункциональный аутентификатор для Android, который явно понравится гикам: если вам когда-нибудь чего-нибудь не хватало в приложении-аутентификаторе, можете быть уверены, что в andOTP это есть.
7. OTP auth
Операционные системы: iOS, macOS (590 ₽)
Для тех пользователей айфонов, которые прочитали выше про andOTP и начали завидовать владельцам Android, у нас хорошая новость: для iOS тоже есть продвинутое приложение-аутентификатор. Создатели OTP auth явно понимают проблемы тех, кто использует 2FA в большом количестве сервисов, поэтому в приложении есть система папок, которые позволяют упорядочить хранение токенов.
Также OTP auth позволяет в любой момент посмотреть секретный ключ или QR-код для любого токена — или экспортировать их все сразу в файл на смартфоне. Дополнительно поддерживается синхронизация через iCloud. Вход в приложение можно защитить как с помощью Touch ID или Face ID, так и помощью отдельного пароля именно для OTP auth — что будет более разумно с учетом легкости экспорта токенов из этого приложения. Из полезных функций не хватает разве что скрытия кодов от чужого взгляда — этого в OTP auth почему-то не предусмотрели.
Достоинства:
- Можно посмотреть секретный ключ или QR-код любого токена
- Экспорт сразу всех токенов в файл
- Бэкап/синхронизация через iCloud
- Система папок для упорядоченного хранения токенов
- Поддержка Apple Watch
- Настройки формата отображения кода
- Защита входа в приложение паролем или Touch ID / Face ID
Недостатки:
- Существует только для iOS и macOS (причем для macOS — только платная версия)
- Не скрывает коды
- Кастомизация иконок только в платной версии
- Из-за легкости извлечения секретных ключей больше рисков в случае, если разблокированное приложение попадет в чужие руки
Резюме: OTP auth — самый многофункциональный аутентификатор для iOS с очень простым и удобным экспортом токенов.
8. Step Two
Операционные системы: iOS, macOS
Если andOTP вам кажется явным перебором, Twilio Authy отпугивает необходимостью регистрации, но при этом у вас есть потребность в аутентификаторе одновременно для iOS и macOS, то логичным шагом будет присмотреться к Step Two. Интерфейс минималистичен: что в iOS, что в macOS приложение больше всего напоминает калькулятор Apple — и этим по-своему прекрасно.
Настроек и функций тут тоже самый-самый минимум, но есть опция синхронизации через iCloud. Кроме того, десктопное приложение поддерживает сканирование QR-кодов — делает оно это через захват экрана, на что нужно разрешение пользователя (функция довольно опасная, поскольку в теории позволяет программе подсматривать за всем, что делает человек).
Достоинства:
- Ничего лишнего
- Не требует создания аккаунта
- Бэкап/синхронизация через iCloud
- Версия для macOS умеет сканировать QR-коды
- Поддержка Apple Watch
- Поиск по токенам
Недостатки:
- Нет защиты входа в приложение
- Не скрывает коды
- Нет экспорта/импорта токенов
- Максимум 10 токенов в бесплатной версии
- Для сканирования QR-кода в macOS необходимо разрешить приложению Step Two захват экрана
Резюме: Step Two — минималистичный аутентификатор для тех, у кого Mac и iPhone, а больше ничего не надо.
9. WinAuth
Операционные системы: Windows
WinAuth в первую очередь заточен под геймеров. Дело в том, что у него есть уникальная суперспособность: это приложение поддерживает нестандартные токены для аутентификации в Steam, Battle.net и играх производства Trion/Gamigo. Так что если вы ищете альтернативу Steam Guard, Battle.net Authenticator или Glyph Authenticator / RIFT Mobile Authenticator, то вот вы ее и нашли.
Разумеется, стандартные токены приложение тоже поддерживает, в том числе токены для Guild Wars 2 и прочих игр NCSoft (которые разработчики WinAuth почему-то выделили в отдельный пункт), а также все прочие — Google, Facebook, Instagram, Twitter и так далее. В WinAuth есть пароль на вход в приложение и на отдельные токены. Приложение по умолчанию скрывает коды, в том числе автоматически, и позволяет использовать шифрование как хранимых им данных, так и экспортируемых.
Достоинства:
- Поддерживает нестандартные токены игровых сервисов — то есть может заменить Steam Guard, Battle.net Authenticator, а также Glyph Authenticator и RIFT Mobile Authenticator
- Поддерживает экспорт токенов — в открытом виде в текстовом файле или в зашифрованном архиве, на выбор пользователя
- Скрывает коды
- Автоматически скрывает коды при бездействии пользователя более 10 секунд
- Защищает вход в приложение паролем или YubiKey (то есть U2F)
- Защищает паролем отдельные токены
- Портативное приложение — можно хранить его на флешке или в облаке
- Опционально шифрует хранимые данные
- Умеет сканировать QR-код из файла по ссылке
Недостатки:
- Для создания токена Steam необходимо отдать WinAuth логин и пароль от Steam
- Использовать в качестве второго фактора приложение на ПК — в целом не лучшая идея
- Нет версии под другие операционные системы
- Из-за легкости извлечения секретных ключей больше рисков в случае, если разблокированное приложение попадет в чужие руки
Резюме: WinAuth явно понравится геймерам, поскольку позволяет создавать нестандартные токены, которые почему-то очень любят использовать издатели игр.
10. Встроенный аутентификатор iOS и macOS
Операционные системы: iOS (встроен в систему), macOS (встроен в браузер Safari)
Начиная с версии iOS 15, в операционной системе айфонов появился встроенный генератор одноразовых кодов двухфакторной аутентификации. Вот как его найти: войдите в Настройки → Пароли, выберите одну из уже запомненных учетных записей (или создайте новую) и под надписью Параметры учетной записи нажмите на кнопку Настроить код проверки. После этого все как обычно — можно отсканировать QR-код или вручную ввести секретный ключ. Есть и альтернатива: можно отсканировать QR-код аутентификатора прямо из приложения камеры и сразу добавить токен в одну из имеющихся записей в Паролях. А вот создать новую запись в этом варианте не предложат, что не очень-то удобно.
Также встроенный аутентификатор теперь доступен и в macOS — а вернее, в браузере Safari 15 версии и новее. Чтобы его найти, откройте Safari, в меню вверху экрана перейдите в Safari → Настройки → Пароли. Далее выберите один из аккаунтов (или нажмите на + для создания нового), нажмите кнопку Изменить и в открывшемся окне нажмите Ввести ключ настройки (опции с QR-кодом здесь не будет). Токены автоматически синхронизируются через iCloud, так что заводить их заново на Маc не придется, если вы уже создали их на айфоне.
В теории встроенный аутентификатор iOS/macOS поддерживает автозаполнение, что весьма удобно. На практике работает оно пока не очень гладко. Мы провели небольшой эксперимент с учетной записью Twitter и двухфакторной аутентификацией при помощи кода, полученного таким образом. Результат неоднозначный: при входе в приложение Twitter система успешно подставила код аутентификациии, а вот при попытке входа на сайт Twitter в Safari код так и не появился — ни в iOS, ни в macOS.
Достоинства:
- Есть в любом айфоне (начиная с iOS 15) и любом Маc (версия ОС не важна, Safari 15 и новее)
- Не требует создания отдельного аккаунта
- Можно добавить токен прямо из приложения камеры (но только в уже имеющуюся запись, при создании новой это не работает)
- Автозаполнение кодов
- Вход защищен Touch ID или Face ID
- Бэкап/синхронизация через iCloud
Недостатки:
- Аутентификатор спрятан в глубинах настроек iOS или Safari
- На экране показывается только один токен
- Не скрывает коды
- Рядом с кодом показывается пароль от аккаунта в открытом виде (на скриншотах они скрываются)
- Хранение 2FA-токенов и паролей в одном месте противоречит идее двухфакторной аутентификации
- Нет экспорта/импорта токенов
Резюме: на первый взгляд, встроить аутентификатор прямо в ОС — неплохая идея; однако автозаполнение работает не очень стабильно, а для использования в качестве замены отдельного приложения-аутентификатора эту функцию слишком глубоко спрятали.
11. Яндекс.Ключ
Операционные системы: Android, iOS
Яндекс.Ключ немного похож на Microsoft Authenticator. Это приложение также не требует обязательной регистрации — в «оффлайновом режиме» им можно пользоваться без всякого аккаунта. И в теории оно также упрощает вход в учетную запись компании-разработчика: для входа в аккаунт «Яндекса» больше не будет использоваться пароль, а надо будет либо сканировать в Яндекс.Ключе QR-код подтверждения входа, либо вводить генерируемый аутентификатором одноразовый код. Этот код, кстати, отличается от кодов других сервисов — он состоит из восьми букв вместо обычных шести цифр (то есть возможных комбинаций в 200 000 раз больше — видимо, в «Яндексе» решили слегка перестраховаться).
Правда, перед тем как включить в «Яндексе» двухфакторную аутентификацию с помощью Яндекс.Ключа, морально приготовьтесь к тому, что после этого автоматически включатся так называемые «пароли приложений». И в частности, придется заново логиниться в «Яндекс» на всех устройствах (а также изменять аутентификацию в почтовых клиентах и так далее).
Помимо этого, Яндекс.Ключ позволяет сохранять токены в облаке (и в iOS, и в Android для этого используется облако «Яндекса», так что системы полностью совместимы), но для этого уже потребуется войти в аккаунт. Что касается интерфейса, то нерациональным использованием пространства экрана Яндекс.Ключ больше всего похож на Twilio Authy. И даже немного хуже — вместо плитки иконок здесь использована карусель. И это не самое удачное решение, потому что при большом количестве токенов их приходится долго перебирать в поисках нужного.
Достоинства:
- Может работать без аккаунта (если не включать бэкап в облако)
- Вход защищен собственным ПИН-кодом приложения
- Бэкап/синхронизация через облако
- Дополнительная защита токена «Яндекса» ПИН-кодом
- Код заменяет пароль для входа в аккаунт «Яндекс», а не дополняет его (также можно подтвердить вход сканированием QR-кода)
Недостатки:
- На экране всегда показывается только один токен
- Если токенов много, то искать нужный не очень удобно
- Код активного в данный момент токена невозможно скрыть (кроме токена аккаунта «Яндекс», который защищен ПИН-кодом)
- Для бэкапа/синхронизации нужно завести аккаунт
- Нет экспорта/импорта токенов
Резюме: Яндекс.Ключ существенно упрощает вход в аккаунты «Яндекса», но интерфейс не самый удобный для тех, у кого много токенов.
Не забудьте сделать резервную копию
Напоследок несколько советов. Во-первых, вовсе не обязательно использовать только одно приложение-аутентификатор. Для каких-то целей может больше подходить один вариант, а для каких-то других целей — другой. Их можно и нужно комбинировать в зависимости от ваших потребностей.
Во-вторых, советуем позаботиться о безопасности: установите надежную блокировку устройства и обязательно включите защиту входа в приложение. Особенно если вы собираетесь пользоваться одним из аутентификаторов, которые позволяют легко экспортировать токены: Google Authenticator, andOTP, OTP auth и WinAuth. C ними риски значительно выше, так как потенциальный злоумышленник может не просто подсмотреть одноразовый код, который действует 30 секунд, но полностью клонировать все токены.
В-третьих, не забудьте сделать резервную копию токенов — особенно если ваш выбор пал на одно из приложений, в которых нельзя ни посмотреть секретный ключ или QR-код, ни экспортировать токены в файл (а таких большинство). Резервная копия пригодится на случай, если вы потеряете смартфон или, например, приложение перестанет корректно работать после очередного обновления. В большинстве случаев восстановить аутентификатор без резервной копии будет значительно сложнее.
Источник: Лаборатория Касперского
06.01.2022