Dawniej, gdy internet się rozwijał, głównym zabezpieczeniem były login i hasło, później wprowadzono również weryfikację rejestracji kont za pomocą adresu e-mail, aby potwierdzić jego prawdziwość.
Z czasem przestało to wystarczać. Hasła stały się zbyt skomplikowane do pamiętania, a te zbyt proste łatwe do złamania i tym samym utraty konta.
Zdecydowanie wzrosła też ilość miejsc, w których użytkownicy mogą się logować. Początkowo było to tylko kilka lub kilkanaście haseł, dziś minimalnie kilkadziesiąt np. e-mail, konta społecznościowe, banki, konta w portalach zakupowych takich jak sklepy lub portale aukcyjne itd.
Aby rozwiązać problem dużej ilości haseł i wysokiego stopnia ich trudności, powstały menedżery haseł. Początkowo, gdy używano głównie komputera, lokalny menedżer haseł wystarczał. Po wprowadzeniu rozwiązań w chmurze i przy znaczącym przeniesieniu aktywności na urządzenia mobilne pojawiła się potrzeba synchronizacji różnych informacji, w tym haseł między komputerami a urządzeniami mobilnymi. Powstały zatem mobilne odpowiedniki menedżerów haseł np. 1password czy lastpass.
Wraz z rozwojem środowiska cyfrowego i idącym za tym wzrostem aktywności użytkowników powstały kolejne trudności. Jedni korzystali z ekosystemu Apple i pęku kluczy iCloud, inni z menedżera haseł Google na koncie Google oraz w przeglądarce Chrome. Wymiana informacji o hasłach, synchronizacja danych do logowania między systemami/platformami była dość utrudniona, przez co użytkownicy trzymali się raczej tego, z czego było im najwygodniej korzystać i od czego zaczynali.
W międzyczasie same hasła przestały wystarczać do ochrony kont i tożsamości. w odpowiedzi na to zagrożenie pojawiło się uwierzytelnianie wieloetapowe (wieloskładnikowe). W takiej weryfikacji chodzi o to, że logowanie przebiega w sposób następujący. Użytkownik podaje login i hasło, a gdy są poprawne, system prosi o podanie kodu weryfikacyjnego z aplikacji uwierzytelniającej, smsa lub wiadomości e-mail, która została przesłana na adres wykorzystywany do rejestracji konta i zarządzania nim. W miejscach o podwyższonym bezpieczeństwie proces uwierzytelniania może być wieloetapowy, jednak przeciętny użytkownik spotka się zazwyczaj z weryfikacją dwuetapową.
Właśnie w tym miejscu pojawiają się aplikacje Microsoft Authenticator i Google Authenticator.
Do czego służą wspomniane aplikacje?
Microsoft Authenticator to aplikacja mobilna, która umożliwia bezpieczne logowanie się do kont online za pomocą wieloskładnikowego uwierzytelniania (MFA). Jest ona dostępna na urządzeniach z systemami iOS i Android i oferuje różne metody uwierzytelniania, takie jak kody jednorazowe, powiadomienia push oraz biometryczne metody uwierzytelniania, takie jak odcisk palca czy rozpoznawanie twarzy.
W sklepie Google Play dla systemu android pobierzecie go pod tym linkiem, natomiast dla iPhone’a lub iPada znajdziecie go w App store w Tym miejscu.
Czym jest Microsoft Authenticator?
Microsoft Authenticator to narzędzie, które pomaga zwiększyć bezpieczeństwo kont online poprzez dodanie dodatkowej warstwy ochrony. Tradycyjne logowanie za pomocą hasła jest podatne na różne zagrożenia, takie jak phishing (fałszywe strony lub e-maile) czy ataki brute force (łamanie haseł przy pomocy dużej mocy obliczeniowej). Dzięki MFA (uwierzytelnianiu wieloskładnikowemu), nawet jeśli hasło zostanie złamane i ujawnione, to dodatkowy składnik uwierzytelniania sprawia, że dostęp do konta jest znacznie trudniejszy dla nieautoryzowanych osób.
Jak działa Microsoft Authenticator?
Aplikacja generuje kody jednorazowe (TOTP), które są ważne przez krótki czas i zmieniają się co 30 sekund. Użytkownik wprowadza ten kod podczas logowania, co zapewnia, że tylko osoba mająca dostęp do aplikacji może się zalogować.
Alternatywnie, aplikacja może wysyłać powiadomienia push, które użytkownik zatwierdza jednym kliknięciem. W przypadku urządzeń z funkcjami biometrycznymi, takich jak odcisk palca czy rozpoznawanie twarzy, Microsoft Authenticator może również wykorzystać te metody do uwierzytelniania.
Do czego służy Microsoft Authenticator?
- Zwiększenie bezpieczeństwa kont: Dzięki MFA, konta są lepiej chronione przed nieautoryzowanym dostępem.
- Logowanie bez hasła: Microsoft Authenticator umożliwia logowanie się do kont Microsoft bez konieczności wprowadzania hasła, co jest wygodne i bezpieczne.
- Uwierzytelnianie w aplikacjach firm trzecich: Aplikacja może być używana do uwierzytelniania w różnych usługach i aplikacjach, które obsługują standard TOTP.
- Zarządzanie kontami: Użytkownicy mogą dodawać i zarządzać wieloma kontami w jednej aplikacji, co ułatwia korzystanie z MFA w różnych usługach.
Czy Microsoft Authenticator jest aplikacją dostępną? Czy można używać go w przypadku logowania do każdego serwisu i czy posiada on inne funkcje?
Zarówno w systemie Android jak i w iOS/iPadOs Authenticator Microsoftu jest aplikacją dostępną. Nawet, jeżeli natrafimy na pewne niedociągnięcia, w przypadku takich twórców oprogramowania jak Microsoft możemy liczyć na pewien przyzwoity poziom dostępności.
Niestety nie jest tak, że aplikacja Authenticator pozwoli nam uwierzytelnić się w każdym serwisie. Są takie portale np. mój orange od operatora Orange Polska, które pozwalają jedynie na uwierzytelnienie w ramach kodów sms i własnej aplikacji.
Authenticatora od Microsoftu możemy jednak użyć do uwierzytelnienia się w wielu serwisach. Sam mogę podać następujące przykłady: konta Google, Dropbox, Facebook.
Nie jest też niczym dziwnym, że w obsłudze kont macierzystych, czyli kont Microsoftu program od tej samej firmy oferuje zdecydowanie ciekawszy poziom obsługi. Dobrym przykładem jest wspomniana już możliwość logowania się bez hasła do konta Microsoftu, a w urządzeniu mobilnym wystarczy zamiast tego uaktywnić przycisk z odpowiednią dwucyfrową liczbą, która jest wyświetlana w oknie logowania w miejscu, w którym chcemy się zalogować np. przeglądarka. Gdy aktywujemy przycisk z właściwą liczbą, nastąpi zalogowanie użytkownika konta Microsoft. Wygląda to tak, że gdy w oknie logowania wciśniemy przycisk wyślij powiadomienie, w naszym urządzeniu mobilnym wyświetli się powiadomienie. Należy je otworzyć i wcisnąć przycisk z tą samą dwucyfrową liczbą, która wyświetlana jest w oknie logowania. W ten sposób wystarczy znać tylko login do tego konta i nie jest konieczne pamiętanie hasła a następuje również weryfikacja przy użyciu drugiego składnika uwierzytelniającego.
Nie jest to jedyna funkcja tej aplikacji. Umożliwia ona również zapamiętywanie takich informacji jak hasła, adresy czy dane kart płatniczych oraz ich uzupełnianie w formularzach w innych aplikacjach albo w przeglądarce na stronach internetowych.
W iPadOs lub iOS oraz w androidzie znajdziecie podobnie wyglądający interfejs, a dodatkowe funkcje będą znajdować się na kolejnych kartach np. płatności. Program posiada też przycisk menu, z którego można wywołać ustawienia, gdzie można wykonać kopię zapasową danych aplikacji, w tym dodanych kont.
Niestety dość dużą wadą jest niełatwy transfer informacji poufnych między Androidem, a systemami Apple. Aby korzystać z Microsoft Authenticatora w obu tych systemach, przy dodawaniu konta należy ręcznie wprowadzać klucz tajny w obu systemach, zamiast skorzystać z kodu QR, który często jest udostępniany w ramach procesu konfiguracji uwierzytelniania wieloskładnikowego w różnych kontach np. konto Mozilla.
Klucz tajny należy wprowadzić w Microsoft Authenticator zarówno w androidzie jak i w iOS. Od tej pory na jego podstawie właściwe kody jednorazowe ważne przez 30 sekund będą generowane zarówno w przypadku Androida jak i mobilnych systemów Apple. Możliwe jest tworzenie kopii zapasowej danych programu Authenticator zarówno w chmurze Google jak i w iCloud. Zasadniczym problemem jest jednak migracja takich danych z jednego do drugiego ekosystemu. Nie istnieje możliwość eksportu, więc jedyny sposób, to zachowywanie kluczy tajnych, które generują usługi, w których chcemy włączyć dodatkowy składnik zabezpieczający w postaci aplikacji Microsoft Authenticator.
Zwróćmy w tym miejscu uwagę, że logowanie się przy użyciu kodów jednorazowych ważnych tylko 30 sekund może stanowić trudność dla osób, które z różnych powodów potrzebują więcej czasu. W takiej sytuacji warto wybrać taką metodę uwierzytelniania wieloskładnikowego, która nie wymusza na użytkowniku działania pod presją czasu, co pozwoli nam logować się tak bezpiecznie jak wygodnie i bez stresu, że kod straci ważność.
A może Google Authenticator?
Gdy z jakichś względów użytkownikowi nie będzie odpowiadał Microsoft Authenticator np. korzysta z Androida i iPada, może wybrać Authenticator od Google, który synchronizuje klucze tajne na koncie Google, dzięki czemu nie ma konieczności ręcznego przenoszenia tych danych między różnymi platformami. Wystarczy zalogować się na koncie Google przy użyciu aplikacji Google Authenticator na urządzeniu z androidem, iPadzie lub iPhonie, a konta dodane do niego wcześniej, nawet wtedy, gdy zrobiliśmy to na innym urządzeniu, będą już tam czekać.
Czym jest Google Authenticator?
Podobnie, jak Authenticator od Microsoftu, Google Authenticator to bezpłatna aplikacja, która dodaje dodatkową warstwę zabezpieczeń do kont online. Działa na zasadzie uwierzytelniania dwuskładnikowego (2FA), co oznacza, że oprócz podania hasła, trzeba również wprowadzić jednorazowy kod, generowany przez aplikację na Twoim urządzeniu mobilnym. Ten kod zmienia się co 30 sekund, co znacznie utrudnia niepowołanym osobom dostęp do danego konta, nawet jeśli znają Twoje hasło.
Jak działa Google Authenticator?
Kiedy użytkownik konfiguruje uwierzytelnianie 2FA dla swojego konta, otrzymuje specjalny kod QR lub ciąg znaków (klucz tajny). Skanując kod QR lub ręcznie wprowadzając ciąg znaków w aplikacji Google Authenticator, dodaje swoje konto do aplikacji. Od tego momentu, za każdym razem, gdy użytkownik będzie chciał się zalogować, aplikacja wygeneruje unikalny, sześciocyfrowy kod, który będzie trzeba koniecznie wprowadzić wraz z hasłem.
Główne funkcje Google Authenticator to:
- Generowanie kodów: podstawowa funkcja aplikacji – generowanie jednorazowych kodów, które są niezbędne do zalogowania się na chronionych kontach.
- Obsługa wielu kont: możesz dodać do aplikacji wiele kont, co pozwala na zarządzanie wszystkimi kodami w jednym miejscu.
- Synchronizacja między urządzeniami: jeśli masz kilka urządzeń, możesz zsynchronizować swoje kody, aby mieć do nich dostęp z dowolnego miejsca.
- Bezpieczeństwo: aplikacja wykorzystuje silne algorytmy szyfrowania, aby chronić Twoje dane.
- Prostota obsługi: Google Authenticator jest bardzo prosty w użyciu, nawet dla osób, które nie mają dużej wiedzy technicznej.
Na jakich systemach działa Google Authenticator?
Aplikacja Google Authenticator jest dostępna zarówno dla urządzeń z systemem Android, jak i iOS/iPadOs. Dzięki temu można korzystać z niej na swoim smartfonie, tablecie, a nawet smartwatchu.
A oto linki do pobrania do sklepów z aplikacjami. Tutaj link do Google Play oraz Apple App Store.
Jak wypada Google Authenticator w porównaniu do aplikacji od Microsoftu?
To, co skupia uwagę użytkownika, to prostota aplikacji. Po przejściu pierwszego okienka konfiguracyjnego w Google Authenticator mamy tylko listę dostępnych kont i wygenerowane dla nich kody oraz przycisk dodaj konto i opcje menu programu. W Authenticatorze od Google próżno szukać opcji uzupełniania haseł i innych danych. Od tego w Google są inne funkcje i aplikacje w androidzie jak i w iOS.
Nie ma też najmniejszych problemów z synchronizacją kont i kodów z chmurą Google na wybranym koncie Google. Po dodaniu jednego z moich kont na iPhonie, zainstalowałem aplikację na Androidzie i dodane konto tam widnieje, generowane są kody czasowe i wszystko działa poprawnie. W tym sensie Google rzeczywiście spełnia wymóg możliwości obsłużenia aplikacji dla osób, które nie chcą bawić się w przenoszenie i synchronizację ręczną kont i nie mają dużej wiedzy technicznej, a chcą jedynie zwiększyć bezpieczeństwo swoich kont.
Używam Microsoft Authenticator, jak przenieść się na Google Authenticator?
-W czasie moich testów obu aplikacji odkryłem, jako użytkownik Microsoft Authenticatora, że aplikacja od Google lepiej spełni moje oczekiwania. Powody już wspomniałem wcześniej, korzystam z mobilnych rozwiązań Apple oraz androida, a chciałbym mieć możliwość generowania kodów do logowania się na kontach w każdym z moich urządzeń mobilnych.
Jak zatem przenieść wszystkie lub przynajmniej większość usług z aplikacji Microsoft do aplikacji Google? Rozwiązanie też już wyżej wspomniałem, wystarczy po prostu dodać wszystkie konta, do których posiadamy klucze tajne, w tym do kont Google w aplikacji Google Authenticator.
Jeżeli kluczy tajnych nie zapisano, niestety będzie konieczna ponowna konfiguracja logowania przy uwierzytelniającej aplikacji dla każdego z kont, tym razem przy zastosowaniu Google Authenticatora. Tam, gdzie to możliwe warto zapisywać swoje klucze tajne, a nie stosować kodów QR. Kody QR są co prawda rozwiązaniem bezpieczniejszym, ale przy przyszłych zmianach nie będzie konieczna ponowna konfiguracja, chyba, że inaczej zdecyduje usługodawca konta, które chronione jest przy użyciu dodatkowego składnika uwierzytelniającego w postaci aplikacji.
A Co z kontami Microsoft?
Jeżeli posiadacie jedno lub więcej kont Microsoft, a już w szczególności konto służbowe, będzie to jedyny wyjątek, w przypadku którego radzę pozostać przy aplikacji Microsoft Authenticator. Logowanie się do kont Microsoft nie wymaga przechowywania w bezpiecznym miejscu kluczy tajnych i wprowadzania ich w aplikacji uwierzytelniającej w dowolnym systemie. Oczywiście można tak skonfigurować konto Microsoft, aby był wymagany sześciocyfrowy kod w aplikacji Google Authenticator, ale poziom bezpieczeństwa jest właściwie ten sam w obu aplikacjach, a dodatkowo w przypadku aplikacji Microsoft Authenticator odpada konieczność pamiętania hasła, można logować się na koncie zarówno w iOS jak w androidzie i łatwiej zatwierdzić powiadomienie wskazując właściwą dwucyfrową liczbę z powiadomienia push niż wprowadzać ręcznie krótko ważny sześciocyfrowy kod.
Podsumowując do kont Microsoftu lepiej stosować Microsoft Authenticator, a do całej reszty obsługiwanych kont Google Authenticator, jeżeli preferujemy aplikację od Google.
Podsumowanie
Jak można się przekonać, coraz głośniej w mediach wybrzmiewają historie o utracie danych i jej bolesnych skutkach tak dla biznesu jak i osób prywatnych. Utrata majątku całego życia wcale nie musi oznaczać najpoważniejszego problemu. Celowo wybrzmiewa u mnie tak mocne zdanie w podsumowaniu tego tekstu, ponieważ bardzo zachęcam wszystkich do skorzystania z uwierzytelniania co najmniej dwuskładnikowego 2fa wszędzie tam, gdzie to możliwe. Aplikacje, które tu opisałem czynią podniesiony poziom zabezpieczeń bardziej przystępnym dla użytkownika, a przy tym wydatnie i rzeczywiście go podnoszą. Nie ma człowieka, którego nie da się wymanewrować nie jest istotne, czy ma wykształcenie podstawowe, czy jest orłem informatyki. Jeżeli mój przykład posłużyć może za wskazówkę, to sam prawie straciłem konto na Facebooku w 2017 roku. Od tej pory wszędzie stosuję przynajmniej 2fa, gdzie tylko jest to możliwe.
Google Authenticator i Microsoft Authenticator to aplikacje, których podstawowym zastosowaniem jest generowanie kodów weryfikacyjnych, które stanowią drugi etap logowania do kont w co raz większej liczbie usług. Microsoft Authenticator Posiada więcej funkcji, może pełnić też rolę programu autouzupełniania danych takich jak hasła czy dane płatności, natomiast jego wadą jest niewątpliwie brak możliwości eksportu danych w postaci tajnych kluczy do kont, które chronimy. Google Authenticator jest programem prostszym, natomiast nie ma najmniejszego problemu z korzystaniem z niego zarówno w systemach mobilnych Apple jak i urządzeniach z androidem.
Obydwie aplikacje mobilne są dostępne dla czytników ekranu i nie sprawiają problemów w korzystaniu, więc wszystkie funkcje można wykorzystać, nawet w przypadku osób początkujących w iOS, androidzie, ociemniałych itd.
Po tym podsumowaniu mam nadzieję chociaż część z was, drodzy czytelnicy zachęcić do korzystania z aplikacji uwierzytelniającej, a tym samym być może uchronić się przed przejęciem konta w jakimś serwisie.
Zapraszam jeszcze do zapoznania się z dodatkowymi informacjami, ponieważ tekst ten nie jest zbyt łatwy w odbiorze. Pojawiły się w nim pojęcia, które być może zaciekawią tych, którzy chcą dowiedzieć się czegoś więcej lub po prostu lepiej zrozumieć to, co opisałem.
Zasoby dodatkowe
W tym artykule pojawiło się trochę pojęć wykraczających poza standardową wiedzę użytkowników nieobeznanych z technikaliami, dlatego proponuję poniżej kilka ciekawych artykułów, które szerzej wyjaśniają sygnalizowane tu pojęcia.
Na początek przystępny opis takich pojęć jak MFA (multi factor authentication) i 2fa (two factor authentication), a znajdziecie go w tym miejscu na portalu sebitu.pl.
Jeżeli jesteście ciekawi, jak generowane są kody jednorazowe w aplikacjach uwierzytelniających, polecam ten artykuł z portalu cyberwiedza.pl.
