Современная жизнь диктует свои условия для безопасной аутентификации (проверки подлинности предъявленного пользователем идентификатора) в интернет-сервисах, ведь стандартный пароль, который обычно применяется везде, несложно взломать и получить доступ к игровому ресурсу или социальной сети. Наверняка среди читателей найдутся те, у кого угоняли аккаунт, возможно, не один раз. А значит, стоит задуматься о более эффективной защите.
В этом как раз и помогают мобильные приложения, которые призваны легко и просто организовать двухэтапную аутентификацию. Но так ли они эффективны? Для того чтобы это проверить рассмотрим три похожих и в то же время разных программы – Google Authenticator, Azure Authenticator и Authy 2-Factor Authentication. Первые два решения выпущены именитыми разработчиками, тогда как последнее призвано утереть нос им обоим. Впрочем, это только предварительное мнение, которое окончательно сформируется в конце статьи.
В качестве тестового оборудования использовались планшет DEXP Ursus 8EV2 3G (Android 4.4.2, процессор MT8382, 4 x Cortex-A7 1.3 ГГц, видеоядро Mali-400 MP2, 1 Гбайт ОЗУ, аккумулятор 4 000 мАч, 3G-модуль, Wi-Fi 802.11b/g/n) и смартфон Homtom HT3 Pro (Android 5.1 Lollipop, процессор MT6735P, 4 x Cortex-A53 1.0 ГГц, 64-бит, видеоядро Mali-T720, 2 Гбайт ОЗУ, аккумулятор 3 000 мАч, 4G-модуль, Wi-Fi 802.11b/g/n).
Google Authenticator хвалят и ругают одновременно, но прежде всего ругают за переработанный интерфейс, который не блещет крупным шрифтом. Но со своей основной функцией приложение справляется, тем более что, говоря об аутентификации на Android, нельзя пройти мимо решения Google. Приступим к изучению этого простого, но эффективного решения для защиты от несанкционированного доступа.
| Оценка в Google Play | 4.4 |
| Разработчик | Google Inc. |
| Количество загрузок в Google Play | 10 000 000-50 000 000 |
| Совместимость приложения с другими версиями ОС Android | 2.3.3 или более поздняя |
| Размер дистрибутива | 4.9 Мбайт |
| Версия приложения | 4.74 |
| Покупки в приложении | - |
Основные функции:
Разрешения:
Идентификационные данные:
Контакты:
Камера:
Другое:
Сначала Google Authenticator предлагается войти в одноименный аккаунт с помощью двухфакторной авторизации. Для этого понадобится существующий пароль и сгенерированный приложением PIN-код.
Сам интерфейс аутентификатора достаточно прост и не может похвастать крупным шрифтом, что может стать препятствием для слабовидящих людей, хотя и все остальным не совсем будет удобно присматриваться к «мелким буквам».
Настройки прячутся в правом верхнем углу. Кстати, здесь же можно прочитать «как это работает» или обратиться к более подробной справке. Чего-чего, а информативной справки у Google не отнять.
Что до настроек, то они предполагают коррекцию времени для кодов и не более. Так, можно ручную автосинхронизацию (глупо звучит, но это так), а также опять-таки прочитать «об этой функции».
Теперь попробуем что-нибудь запаролить от всех и вся.
Для того, чтобы добавить аккаунт можно воспользоваться двумя способами – отсканировать штрих-код или ввести ключ.
Сканирование штрих-кода проходит традиционно. В случае с ключом предлагается ввести название аккаунта, вбить сам ключ (минимум 16 символов) и выбрать вход по времени или счетчику.
После этого осталось запомнить шестизначный код. Далее этот код вводится в приложении для того, чтобы предоставить им доступ к аккаунту Google. Это может быть, например, Gmail. Если вы потеряете смартфон или прекратите пользоваться Google Authenticator, то пароль можно в любое время аннулировать. Для этого необходимо посетить веб-интерфейс программы и закрыть доступ для соответствующих приложений.
Не стоит забывать, что двухфакторную аутентификацию также необходимо активировать в своей учетке, а ваш смартфон послужит только средством для авторизации. То есть, вам придет либо шестизначный код, либо штрих-код (в зависимости от настройки). При этом последний я бы не рекомендовал использовать, так как по какой-то неведомой причине он срабатывает через раз и здорово портит нервы. Старые-добрые цифры лучше всего.
Теперь о нагрузке на систему, хотя она в этом случае играет малую роль, но все-таки. Google Authenticator кушает не более 40 Мбайт ОЗУ, напрягая процессор до 0,5%, что странно. При этом аккумулятор в среднем проседает на 7%, скорость энергопотребления – 8,7 мВт, что также странно, так как при таком энергопотреблении потери емкости должны быть минимальны.
Аутентификатор работает чуть ли не со всеми Android, что и неудивительно, иначе грош ему цена. Не имеет встроенных покупок и какой-либо рекламы. Разрешение здесь соответствующие и поспорить с ними сложно. Весит это чудо в системе 14 Мбайт.
Google Authenticator – это просто средство для входа в свой аккаунт Google, а также для использования последнего для входа в иные приложения. Все достаточно просто, однако печалит неадекватный штрих-код и заметная нагрузка на систему. При этом интерфейс решения явно недоработан, неужели разработчики творили «абы как», лишь бы было?
В принципе, у меня уже начинало складываться впечатление, что Google серьезно относится к своему программному обеспечению, однако Google Authenticator это впечатление развеивает.
Оценка: 4.0 по пятибалльной шкале.
| Интерфейс | Средне (мелкий шрифт) |
| Возможность самостоятельной настройки | Нет |
| Общая эффективность | Средне |
| Удобство управления | Хорошо |
| Максимальная нагрузка на систему (CPU/RAM) | 0.0-0.5% / 20-40 Мбайт |
| Размер после установки | 14 Мбайт |
| Расход трафика самой программой | - |
| Максимальный расход аккумулятора | 7% |
| Максимальная скорость энергопотребления | 9 мВт |
| Необходимость в root | Нет |
| Реклама | Нет |
Еще одно пока условно эффективное средство для защиты аккаунтов, выпущенное именитым производителем. Здесь, как и у конкурента, можно управлять своими учетными записями, защищая их двухэтапной аутентификацией. Реализована поддержка других программ-токенов, например, Microsoft или Google. Может быть, это решение будет наиболее эффективным среди себе подобных?
| Оценка в Google Play | 4.0 |
| Разработчик | Microsoft Corporation |
| Количество загрузок в Google Play | 500 000-1 000 000 |
| Совместимость приложения с другими версиями ОС Android | Зависит от устройства |
| Размер дистрибутива | Зависит от устройства |
| Версия приложения | Зависит от устройства |
| Покупки в приложении | - |
Основные функции:
Разрешения:
Идентификационные данные:
Контакты:
SMS:
Телефон:
Фото/мультимедиа/файлы:
Память:
Камера:
Идентификатор устройства и данные о вызовах:
Другое:
Azure Authenticator сразу предлагает добавить учетную запись. Это может быть личная учетка Microsoft, рабочий или учебный аккаунт либо, внимание, учетная запись Google, Facebook и т.д. Таким образом, приложение выгодно отличается от Google Authenticator своей универсальностью
После того, как вы выбрали аккаунт Microsoft необходимо ввести пароль и выбрать как получить «второе подтверждение» - письмо на электронку либо код, автоматически отправленный, например, на десктоп. В противном случае вы в приложение не войдете.
После этого генерируется восьмизначный код, который действует 30 секунд, после чего автоматически создается новый. В правом верхнем углу есть возможность добавить или изменить учетную запись. Не обошлось и без сайдбара слева, где можно просмотреть все аккаунты и произвести настройки.
Последние предполагают включение/отключение уведомлений о входе в аккаунт – звук или вибросигнал, а также возможность зарегистрировать устройство в организации, используя корпоративную учетную запись. Не обошлось и без отключения разрешения на сбор конфиденциальных данных силами Microsoft.
Сама аутентификация в сторонних сервисах происходит через сканирование QR-кода. Также никто не запрещает ввести код вручную, указав название своего аккаунта. Естественно, ваше устройство будет выступать средством для входа в учетку. Кстати, в этом случае QR-код распознается без проблем. Несмотря на то, что он каждый раз генерируется новый, по понятным причинам продемонстрировать все это действие не могу. Не стоит забывать и о том, чтобы аутентификация в выбранном сервисе заработала, необходимо включить двухэтапную авторизацию в настройках через веб-сервис.
Традиционно уже посмотрим, сколько Azure Authenticator потребляет. Здесь нагрузка явно больше, чем у конкурента – до 80 Мбайт ОЗУ при проценте на процессоре. Аккумулятор в среднем расходуется на 23%, скорость энергопотребления равна аж 73 мВт. Таким образом, если вы будете постоянно авторизироваться в два этапа на сторонних сервисах, то не стоит забывать про зарядное устройство.
Вообще, интересно, откуда берется такая нагрузка? Скорее всего она обусловлена сканером QR-кода, который нещадно напрягает оптический датчик устройства. К тому же он у меня не самый лучший и приходится определенным образом целиться, а значит, при наличие адекватной оптики время сканирования сократится, как сократится и расход емкости батареи.
Что до совместимости, то Azure Authenticator выборочен к версии Android, весит в системе 27 Мбайт, не содержит рекламы и распространяется (еще бы) абсолютно бесплатно. Из разрешений – ничего криминального.
Azure Authenticator смотрится выгоднее Google Authenticator хотя бы потому, что позволяет авторизироваться в аккаунте Google и не только. А вот нагрузка на систему и мелкий интерфейс откровенно печалят, поскольку при таком раскладе двухфакторная авторизация приведет к тому, что авторизироваться будет довольно сложно, поскольку аккумулятора может попросту не хватит.
Оценка: 4.5 по пятибалльной шкале.
| Интерфейс | Хорошо (однооконный интерфейс с сайдбаром слева) |
| Возможность самостоятельной настройки | Да (необходимый минимум) |
| Общая эффективность | Хорошо |
| Удобство управления | Отлично |
| Максимальная нагрузка на систему (CPU/RAM) | 0.0-1.0% / 60-80 Мбайт |
| Размер после установки | 27 Мбайт |
| Расход трафика самой программой | - |
| Максимальный расход аккумулятора | 23% |
| Максимальная скорость энергопотребления | 73 мВт |
| Необходимость в root | Нет |
| Реклама | Нет |
Для того чтобы прояснить ситуацию, рассмотрим альтернативу сразу двум решениям – Google Authenticator и Azure Authenticator. Данный аутентификатор выгодно отличается облачным резервным копированием учетных записей, работой с множеством сервисов и полноценным офлайн-режимом. Осталось только проверить, как это работает.
| Оценка в Google Play | 4.4 |
| Разработчик | Authy |
| Количество загрузок в Google Play | 500 000-1 000 000 |
| Совместимость приложения с другими версиями ОС Android | 3.0 или более поздняя |
| Размер дистрибутива | 12 Мбайт |
| Версия приложения | 22.3.1 |
| Покупки в приложении | - |
Основные функции:
Разрешения:
История использования устройства и приложений:
Идентификационные данные:
Контакты:
Камера:
Данные о Wi-Fi-подключении:
Другое:
Для того, чтобы войти в аккаунт Authy необходимо указать свой номер телефона и получить на него SMS-код. Помимо этого, вбивается и электронка, что уже настораживает. После всего этого у вас спросят, как верифицироваться – с помощью SMS или телефонного звонка. На Tele2 эсэмэска пришла мгновенно, думаю, что с другими операторами проблем возникнуть не должно. Авторегистрации не предусмотрено.
Интерфейс программы англоязычный. Что интересно, изначально предусмотрена защита от скриншотов, то есть безопасность приложения куда выше, чем у именитых собратьев. К сожалению, оную нельзя отключить даже через настройки. Если говорить о последних, то в них доступно изменить номер и e-mail, активировать бэкап аккаунтов, для чего необходимо придумать пароль и просмотреть все зарегистрированные девайсы. Также доступна информация о времени последнего входа на каждом из них. Кстати, программа доступна и для PC, для чего необходимо скачать соответствующий клиент. Кроссплатформенность без проблем отключается.
К сожалению, по вышеописанным причинам я не могу продемонстрировать скриншоты работы программы, поэтому придется поверить на слово или убедиться самим, скачав программу.
Authy 2-Factor Authentication работает на ура с большинством популярных социальных сетей и не только. Например, я без проблем в два шага авторизовался в Evernote, Google и даже Coinbase. Для этого используется соответствующий код или QR. Причем все сканируется хорошо, сбоев работы не было. Надо отметить, что приложение без проблем отрабатывает даже для моей слабой оптики.
Еще раз напомню, а лучше посоветую, скачать PC-версию программы и включить аутентификация в настройках сервиса. Дело в том, что десктопная версия Authy настраивается куда удобней, а настроив все единожды можно входить на сервисы с мобильного устройства, что ну очень (в данном случае) удобно, а главное безопасно.
Теперь о нагрузке на систему. Максимальный расход оперативной памяти находится на уровне 60 Мбайт при 0,1% на процессоре. При этом аккумулятор проседает всего на 2,7% - абсолютный рекорд для этого обзора. Это и неудивительно, ведь скорость энергопотребления равна 9,1 мВт. Вот именно таким и должен быть аутентификатор.
Authy 2-Factor Authentication совместим с Android 3.0 или выше, распространяется абсолютно бесплатно, не содержит рекламы и скрытых разрешений. Весит в системе это чудо 30 Мбайт.
Authy 2-Factor Authentication – если не идеальное, то близкое к этому решение для двухэтапной авторизации в сервисах. Приложение выгодно отличает от именитых конкурентов малая нагрузка на систему, безупречная работа и поддержка большинства сервисов, резервное копирование аккаунтов и кроссплатформенность. Англоязычный интерфейс? Да тут и с минимальными знаниями языка все понятно. К тому же предусмотрена защита от скриншотов.
Оценка: 5.0 по пятибалльной шкале.
| Интерфейс | Отлично (однооконный интерфейс) |
| Возможность самостоятельной настройки | Да (все необходимое) |
| Общая эффективность | Отлично |
| Удобство управления | Отлично |
| Максимальная нагрузка на систему (CPU/RAM) | 0.0%/ 40-60 Мбайт |
| Размер после установки | 30 Мбайт |
| Расход трафика самой программой | - |
| Максимальный расход аккумулятора | 3% |
| Максимальная скорость энергопотребления | 9 мВт |
| Необходимость в root | Нет |
| Реклама | Нет |
Печалит тот факт, что Google Authenticator и Azure Authenticator – сугубо фирменные сервисы, хотя последний работает и со сторонними (правда, их список ограничен, а расход ресурсов впечатляет).
Лично мне непонятно, почему столь именитые компании относятся к подобным защитным программам спустя рукава. Не могут же они держать в штате одних криворуких разработчиков, иначе Google не был бы Google, а Microsoft – Microsoft.
Сводное сравнение Google Authenticator, Azure Authenticator и Authy 2-Factor Authentication
| Функциональность | Google Authenticator | Azure Authenticator | Authy 2-Factor Authentication |
| Оценка автора | 4.0 | 4.5 | 5.0 |
| Интерфейс | Средне (мелкий шрифт) | Хорошо (однооконный интерфейс с сайдбаром слева) | Отлично (однооконный интерфейс) |
| Возможность самостоятельной настройки | Нет | Да (необходимый минимум) | Да (все необходимое) |
| Общая эффективность | Средне | Хорошо | Отлично |
| Удобство управления | Хорошо | Отлично | Отлично |
| Максимальная нагрузка на систему (CPU/RAM) | 0.0-0.5% / 20-40 Мбайт | 0.0-1.0% / 60-80 Мбайт | 0.0% / 40-60 Мбайт |
| Размер после установки | 14 Мбайт | 27 Мбайт | 30 Мбайт |
| Расход трафика самой программой | - | - | - |
| Максимальный расход аккумулятора | 7% | 23% | 3% |
| Максимальная скорость энергопотребления | 9 мВт | 73 мВт | 9 мВт |
| Необходимость в root | Нет | Нет | Нет |
| Реклама | Нет | Нет | Нет |
Authy 2-Factor Authentication доказывает, что специальный сервис для двухэтапной авторизации способен утереть нос разноплановым IT-гигантам, предлагая универсальное и эффективное решение для защиты от «нечаянного» взлома. В его случае предусмотрена продуманная защита самой программы, хотя светить свой номер и электронную почту теперь по понятным причинам не хочется.
В следующей статье мы поговорим еще о двух интересных аутентификаторах, а заодно подведем итоги рассмотрения данного сегмента приложений.
