Лучшие приложения-аутентификаторы для Android, iOS, Windows и macOS

Если вы пользуетесь двухфакторной аутентификацией с помощью одноразовых кодов, генерируемых в приложении, вовсе не обязательно использовать Google Authenticator. За десятилетие существования этого метода аутентификации появилось немало альтернатив, которые превосходят оригинал от Google по удобству и функциональности.

И если еще три года назад приложения-аутентификаторы можно было сосчитать по пальцам, то сейчас их существует несколько десятков, так что в этом многообразии немудрено и заблудиться. В этом посте мы расскажем про 11 наиболее интересных приложений. А чтобы было проще выбрать аутентификатор для интересующих вас операционных систем, мы разбили приложения на соответствующие группы.

• Приложения-аутентификаторы для Android: andOTP, Twilio Authy, Google Authenticator, Microsoft Authenticator, Яндекс.Ключ, Cisco Duo Mobile, FreeOTP
• Приложения-аутентификаторы для iOS 15: OTP auth, Step Two, Twilio Authy, Google Authenticator, Microsoft Authenticator, Яндекс.Ключ, Cisco Duo Mobile, FreeOTP, встроенный аутентификатор iOS
• Приложения-аутентификаторы для Windows: WinAuth, Twilio Authy
• Приложения-аутентификаторы для macOS: Step Two, OTP auth (только платная версия), Twilio Authy, встроенный аутентификатор macOS

Теперь поговорим о каждом из перечисленных приложений-аутентификаторов отдельно и разберемся, какие у них плюсы, минусы и индивидуальные особенности.


1. Google Authenticator

Операционные системы: Android, iOS

Если вы оказались в этом посте, то, скорее всего, вы уже знаете о Google Authenticator и ищете ему альтернативу. Однако не упомянуть об этом приложении было бы как минимум странно — все-таки оно до сих пор остается невероятно популярным. Кроме того, аутентификатор Google удобно рассматривать как базовый вариант, по сравнению с которым другие программы имеют те или иные достоинства и недостатки.

В целом Google Authenticator — вполне удобный аутентификатор для тех, кто не хочет связываться с синхронизацией токенов через облако. Вместо этого приложение позволяет легко экспортировать все заведенные в нем токены в одном гигантском QR-коде и так же легко импортировать их на новом устройстве. Версия для iOS не так давно успела обзавестись поиском по тегам и защитой входа с помощью Touch ID / Face ID, а вот в Android-версии ни поиска, ни защиты нет. Скрывать сгенерированные коды от посторонних глаз Google Authenticator по-прежнему не умеет, что может быть не очень удобно, если вы пользуетесь им в людном месте. Кстати, все аутентификаторы для Android блокируют снятие скриншотов, поэтому здесь и далее использованы скриншоты iOS-версий приложений.

Достоинства:

• Не требует создания аккаунта
• В iOS-версии вход в приложение защищен Face ID / Touch ID
• Простой интерфейс и минимум настроек
• Позволяет экспортировать и импортировать весь набор токенов в виде одного большого QR-кода
• В iOS-версии есть поиск по токенам

Недостатки:

• В Android-версии нет защиты входа в приложение
• Не скрывает коды
• Нет бэкапа/синхронизации через облако
• Из-за легкости экспорта токенов больше рисков в случае, если разблокированное приложение попадет в чужие руки

Резюме: в Google Authenticator уже ощутимо не хватает полезных функций, но если не хотите связываться с хранением токенов в облаке — это все еще неплохой вариант.

2. Microsoft Authenticator

Операционные системы: Android, iOS

Microsoft Authenticator часто выбирают те, кто ищет альтернативу Google Authenticator — просто в силу известности компании-разработчика. Отчасти это может быть оправданно: приложение Microsoft добавляет к базовому набору функций пару полезных дополнений — например, оно умеет скрывать коды на экране, защищает вход в приложение и в iOS, и в Android-версии, а также позволяет сохранять токены в облаке. Особенно полезен Microsoft Authenticator для работы собственно с аккаунтами Microsoft — вводить код в этом случае вообще не потребуется, достаточно нажать кнопку подтверждения входа в приложении.

Но есть и минусы. Во-первых, приложения для Android и iOS используют совершенно несовместимые системы бэкапа в облако, при этом переносить токены каким-то альтернативным способом вообще невозможно, так что если вы пользуетесь устройствами с разными ОС, будет очень неудобно. А во-вторых, Microsoft Authenticator занимает примерно в 10 раз больше места в памяти, чем Google Authenticator (150-200 Мбайт против 15-20 Мбайт).

Достоинства:

• Вход в приложение защищен ПИН-кодом, отпечатком пальца или Face ID
• Бэкап/синхронизация через облако
• Скрывает коды
• Может работать без аккаунта (если не включать бэкап в облако)
• Существенно упрощает вход в учетную запись Microsoft
• В iOS-версии есть поддержка Apple Watch

Недостатки:

• В Android-версии для бэкапа/синхронизации нужно войти в аккаунт Microsoft
• Системы бэкапа/синхронизации для iOS и Android несовместимы друг с другом
• Нет экспорта/импорта токенов
• Занимает неприлично много места в памяти — 150-200 Мбайт

Резюме: Microsoft Authenticator сильно упрощает вход в учетные записи Microsoft, но ему сложно простить несовместимость бэкапов для iOS и Android, а также чудовищный размер приложения.

3. Twilio Authy

Операционные системы: Android, iOS, Windows, macOS, Linux

Главное преимущество Twilio Authy — тотальная мультиплатформенность. И дело не только в том, что у Authy есть версии под все актуальные операционные системы, а еще и в том, что в приложении прекрасно организована синхронизация между ними. Правда, из этого вытекает одно не самое приятное следствие: для использования приложения необходимо завести аккаунт, привязанный к номеру телефона, — без него оно просто не будет работать.

Интерфейс у приложения заметно отличается от привычного по другим аутентификаторам. Вместо списка здесь использовано что-то вроде вкладок — в любой момент времени отображается только один выбранный токен, а все остальные представлены мелкими иконками в нижней части экрана, и между ними можно переключаться. При большом количестве токенов это не очень удобно. Причем в десктопной версии есть возможность выбрать отображение токенов списком, а вот в мобильной этого почему-то нет.

Достоинства:

• Вход в приложение защищен ПИН-кодом, отпечатком пальца или Face ID
• Бэкап/синхронизация через облако
• Есть приложения для всех популярных ОС
• В iOS-версии есть поддержка Apple Watch
• Поиск по токенам

Недостатки:

• Вообще не работает без аккаунта, привязанного к номеру телефона
• На экране всегда показывается только один токен
• Если токенов много, то искать нужный не очень удобно
• Код активного в данный момент токена невозможно скрыть
• Нет экспорта/импорта токенов

Резюме: Twilio Authy — ни шагу без регистрации и не самый удобный интерфейс на смартфонах, но зато есть приложения для любых операционных систем, и синхронизация между ними работает просто идеально.

4. Cisco Duo Mobile

Операционные системы: Android, iOS

Duo Mobile — одно из старейших приложений-аутентификаторов, которое в 2018 году было куплено компанией Cisco. Главное его достоинство — очень простой и удобный интерфейс. Также Duo Mobile умеет скрывать коды от посторонних взглядов и не требует регистрации. Однако дополнительных функций Duo Mobile ощутимо не хватает, и в первую очередь — защиты входа в приложение: ее нет ни в версии для iOS, ни в версии для Android.

Для облачного бэкапа Duo Mobile использует две разные системы: на платформе Android это Google Cloud, а на iOS — iCloud. Для этого используются аккаунты Google и Apple соответственно, которые в любом случае уже есть у пользователя смартфона. Так что новую учетную запись для работы с приложением заводить не придется. Но у этого решения есть и минус: синхронизировать данные между версиями для Android и iOS не получится, а экспорта в файл в Duo Mobile не предусмотрено, равно как нет и возможности посмотреть секретный ключ или QR-код для уже сохраненных токенов (что могло бы помочь в случае ручной синхронизации).

Достоинства:

• Простой и удобный интерфейс
• Скрывает коды
• Бэкап/синхронизация через облако
• Не нужно заводить аккаунт
• В iOS-версии есть поддержка Apple Watch

Недостатки:

• Нет защиты входа в приложение
• Нет экспорта/импорта токенов
• Системы бэкапа/синхронизации для iOS и Android несовместимы друг с другом

Резюме: Cisco Duo Mobile может подойти, если вы пользуетесь только одной мобильной операционкой и совершенно точно не планируете переезжать.

5. FreeOTP

Операционные системы: Android, iOS

Опенсорсное приложение-аутентификатор, которое было создано после того, как исходный код Google Authenticator стал закрытым. Интерфейс FreeOTP крайне минималистичен, в нем вообще нет ничего лишнего. Особенно в iOS-версии — из нее убрали даже опцию создания токена на основе секретного ключа, оставив только сканирование QR-кода. А вот в Android-версии по-прежнему доступны оба варианта, причем при создании токена вручную его можно максимально гибко настроить: выбрать тип генерации (TOTP или HOTP), количество знаков в коде, алгоритм и временной интервал обновления кодов.

Из недостатков следует отметить, что приложение ни в каком виде не поддерживает ни экспорт/импорт токенов в виде файла, ни синхронизацию через облако. Также в FreeOTP нельзя установить ПИН-код или еще как-либо защитить вход в приложение (в iOS-версии можно защитить отдельные токены с помощью Touch ID или Face ID). Зато приложение по умолчанию скрывает коды от взглядов из-за плеча, причем даже если вы отключите сокрытие, оно автоматически включится через 30 секунд бездействия. Наконец, есть и еще один плюс: FreeOTP занимает минимум памяти смартфона — около 2-3 Мбайт (для сравнения, Google Authenticator занимает 15-20 Мбайт, а Microsoft Authenticator — 150-200 Мбайт).

Достоинства:

• Не требует создания аккаунта
• Максимально простой интерфейс
• Скрывает коды по умолчанию
• Скрывает коды автоматически через 30 секунд бездействия
• Приложение занимает минимум места в памяти, 2-3 Мбайт
• В iOS-версии есть защита токенов с помощью Touch ID или Face ID
• В iOS-версии есть поиск по токенам

Недостатки:

• В iOS-версии нельзя завести токен по секретному ключу (только сканировать QR-код)
• Нет экспорта/импорта токенов
• Нет бэкапа/синхронизации
• Нет защиты входа в приложение

Резюме: как и все опенсорсное, FreeOTP — слегка своеобразное приложение, которому можно многое простить за минимализм в интерфейсе и объеме занимаемого дискового пространства.

6. andOTP

Операционные системы: Android

В аутентификаторе andOTP есть все, что только можно придумать для удобного и безопасного хранения токенов, и даже немного больше. Например, среди функций andOTP есть поддержка тегов и поиск токенов по названию. А также возможность подключения «тревожной кнопки», позволяющей в случае опасности стереть из приложения все токены и сбросить настройки.

Приложение позволяет посмотреть секретный ключ или QR-код для каждого токена по отдельности. Также можно сохранить сразу все токены в зашифрованный файл на Google Диск — то есть одновременно реализован и облачный бэкап, и нормальный экспорт в файл. Можно защитить вход в приложение паролем или отпечатком пальца, с помощью которых вы входите в Android. Но если хочется большей безопасности, можно установить отдельный ПИН-код или даже длинный пароль на вход именно в andOTP, плюс автоблокировку после определенного периода бездействия, точную длительность которого вы выберете сами. И еще примерно три-четыре экрана разнообразных настроек — одним словом, мечта настоящего гика.

Достоинства:

• Защита входа в приложение ПИН-кодом или паролем, заданным в приложении, либо ПИН-кодом или отпечатком пальца, заданным для входа в ОС
• Для любого токена можно посмотреть секретный ключ или QR-код
• Есть экспорт сразу всех токенов в зашифрованный файл на Google Диск
• Скрывает коды
• Автоматически скрывает коды при бездействии пользователя (после 5–60 секунд, настраивается)
• Автоматически блокирует приложение при бездействии пользователя (после 10–360 секунд, настраивается)
• Гибкая система поиска токенов — через строку или с помощью заданных пользователем тегов
• Возможность стереть все аккаунты по сигналу «тревожной кнопки»
• Невероятно гибкие и богатые настройки

Недостатки:

• Существует только для Android
• Без подготовки в настройках можно потеряться
• Из-за легкости извлечения секретных ключей больше рисков в случае, если разблокированное приложение попадет в чужие руки

Резюме: andOTP — самый многофункциональный аутентификатор для Android, который явно понравится гикам: если вам когда-нибудь чего-нибудь не хватало в приложении-аутентификаторе, можете быть уверены, что в andOTP это есть.

7. OTP auth

Операционные системы: iOS, macOS (590 ₽)

Для тех пользователей айфонов, которые прочитали выше про andOTP и начали завидовать владельцам Android, у нас хорошая новость: для iOS тоже есть продвинутое приложение-аутентификатор. Создатели OTP auth явно понимают проблемы тех, кто использует 2FA в большом количестве сервисов, поэтому в приложении есть система папок, которые позволяют упорядочить хранение токенов.

Также OTP auth позволяет в любой момент посмотреть секретный ключ или QR-код для любого токена — или экспортировать их все сразу в файл на смартфоне. Дополнительно поддерживается синхронизация через iCloud. Вход в приложение можно защитить как с помощью Touch ID или Face ID, так и помощью отдельного пароля именно для OTP auth — что будет более разумно с учетом легкости экспорта токенов из этого приложения. Из полезных функций не хватает разве что скрытия кодов от чужого взгляда — этого в OTP auth почему-то не предусмотрели.

Достоинства:

• Можно посмотреть секретный ключ или QR-код любого токена
• Экспорт сразу всех токенов в файл
• Бэкап/синхронизация через iCloud
• Система папок для упорядоченного хранения токенов
• Поддержка Apple Watch
• Настройки формата отображения кода
• Защита входа в приложение паролем или Touch ID / Face ID

Недостатки:

• Существует только для iOS и macOS (причем для macOS — только платная версия)
• Не скрывает коды
• Кастомизация иконок только в платной версии
• Из-за легкости извлечения секретных ключей больше рисков в случае, если разблокированное приложение попадет в чужие руки

Резюме: OTP auth — самый многофункциональный аутентификатор для iOS с очень простым и удобным экспортом токенов.

8. Step Two

Операционные системы: iOS, macOS

Если andOTP вам кажется явным перебором, Twilio Authy отпугивает необходимостью регистрации, но при этом у вас есть потребность в аутентификаторе одновременно для iOS и macOS, то логичным шагом будет присмотреться к Step Two. Интерфейс минималистичен: что в iOS, что в macOS приложение больше всего напоминает калькулятор Apple — и этим по-своему прекрасно.

Настроек и функций тут тоже самый-самый минимум, но есть опция синхронизации через iCloud. Кроме того, десктопное приложение поддерживает сканирование QR-кодов — делает оно это через захват экрана, на что нужно разрешение пользователя (функция довольно опасная, поскольку в теории позволяет программе подсматривать за всем, что делает человек).

Достоинства:

• Ничего лишнего
• Не требует создания аккаунта
• Бэкап/синхронизация через iCloud
• Версия для macOS умеет сканировать QR-коды
• Поддержка Apple Watch
• Поиск по токенам

Недостатки:

• Нет защиты входа в приложение
• Не скрывает коды
• Нет экспорта/импорта токенов
• Максимум 10 токенов в бесплатной версии
• Для сканирования QR-кода в macOS необходимо разрешить приложению Step Two захват экрана

Резюме: Step Two — минималистичный аутентификатор для тех, у кого Mac и iPhone, а больше ничего не надо.

9. WinAuth

Операционные системы: Windows

WinAuth в первую очередь заточен под геймеров. Дело в том, что у него есть уникальная суперспособность: это приложение поддерживает нестандартные токены для аутентификации в Steam, Battle.net и играх производства Trion/Gamigo. Так что если вы ищете альтернативу Steam Guard, Battle.net Authenticator или Glyph Authenticator / RIFT Mobile Authenticator, то вот вы ее и нашли.

Разумеется, стандартные токены приложение тоже поддерживает, в том числе токены для Guild Wars 2 и прочих игр NCSoft (которые разработчики WinAuth почему-то выделили в отдельный пункт), а также все прочие — Google, Facebook, Instagram, Twitter и так далее. В WinAuth есть пароль на вход в приложение и на отдельные токены. Приложение по умолчанию скрывает коды, в том числе автоматически, и позволяет использовать шифрование как хранимых им данных, так и экспортируемых.

Достоинства:

• Поддерживает нестандартные токены игровых сервисов — то есть может заменить Steam Guard, Battle.net Authenticator, а также Glyph Authenticator и RIFT Mobile Authenticator
• Поддерживает экспорт токенов — в открытом виде в текстовом файле или в зашифрованном архиве, на выбор пользователя
• Скрывает коды
• Автоматически скрывает коды при бездействии пользователя более 10 секунд
• Защищает вход в приложение паролем или YubiKey (то есть U2F)
• Защищает паролем отдельные токены
• Портативное приложение — можно хранить его на флешке или в облаке
• Опционально шифрует хранимые данные
• Умеет сканировать QR-код из файла по ссылке

Недостатки:

• Для создания токена Steam необходимо отдать WinAuth логин и пароль от Steam
• Использовать в качестве второго фактора приложение на ПК — в целом не лучшая идея
• Нет версии под другие операционные системы
• Из-за легкости извлечения секретных ключей больше рисков в случае, если разблокированное приложение попадет в чужие руки

Резюме: WinAuth явно понравится геймерам, поскольку позволяет создавать нестандартные токены, которые почему-то очень любят использовать издатели игр.

10. Встроенный аутентификатор iOS и macOS

Операционные системы: iOS (встроен в систему), macOS (встроен в браузер Safari)

Начиная с версии iOS 15, в операционной системе айфонов появился встроенный генератор одноразовых кодов двухфакторной аутентификации. Вот как его найти: войдите в Настройки → Пароли, выберите одну из уже запомненных учетных записей (или создайте новую) и под надписью Параметры учетной записи нажмите на кнопку Настроить код проверки. После этого все как обычно — можно отсканировать QR-код или вручную ввести секретный ключ. Есть и альтернатива: можно отсканировать QR-код аутентификатора прямо из приложения камеры и сразу добавить токен в одну из имеющихся записей в Паролях. А вот создать новую запись в этом варианте не предложат, что не очень-то удобно.

Также встроенный аутентификатор теперь доступен и в macOS — а вернее, в браузере Safari 15 версии и новее. Чтобы его найти, откройте Safari, в меню вверху экрана перейдите в Safari → Настройки → Пароли. Далее выберите один из аккаунтов (или нажмите на + для создания нового), нажмите кнопку Изменить и в открывшемся окне нажмите Ввести ключ настройки (опции с QR-кодом здесь не будет). Токены автоматически синхронизируются через iCloud, так что заводить их заново на Маc не придется, если вы уже создали их на айфоне.

В теории встроенный аутентификатор iOS/macOS поддерживает автозаполнение, что весьма удобно. На практике работает оно пока не очень гладко. Мы провели небольшой эксперимент с учетной записью Twitter и двухфакторной аутентификацией при помощи кода, полученного таким образом. Результат неоднозначный: при входе в приложение Twitter система успешно подставила код аутентификациии, а вот при попытке входа на сайт Twitter в Safari код так и не появился — ни в iOS, ни в macOS.

Достоинства:

• Есть в любом айфоне (начиная с iOS 15) и любом Маc (версия ОС не важна, Safari 15 и новее)
• Не требует создания отдельного аккаунта
• Можно добавить токен прямо из приложения камеры (но только в уже имеющуюся запись, при создании новой это не работает)
• Автозаполнение кодов
• Вход защищен Touch ID или Face ID
• Бэкап/синхронизация через iCloud

Недостатки:

• Аутентификатор спрятан в глубинах настроек iOS или Safari
• На экране показывается только один токен
• Не скрывает коды
• Рядом с кодом показывается пароль от аккаунта в открытом виде (на скриншотах они скрываются)
• Хранение 2FA-токенов и паролей в одном месте противоречит идее двухфакторной аутентификации
• Нет экспорта/импорта токенов

Резюме: на первый взгляд, встроить аутентификатор прямо в ОС — неплохая идея; однако автозаполнение работает не очень стабильно, а для использования в качестве замены отдельного приложения-аутентификатора эту функцию слишком глубоко спрятали.

11. Яндекс.Ключ

Операционные системы: Android, iOS

Яндекс.Ключ немного похож на Microsoft Authenticator. Это приложение также не требует обязательной регистрации — в «оффлайновом режиме» им можно пользоваться без всякого аккаунта. И в теории оно также упрощает вход в учетную запись компании-разработчика: для входа в аккаунт «Яндекса» больше не будет использоваться пароль, а надо будет либо сканировать в Яндекс.Ключе QR-код подтверждения входа, либо вводить генерируемый аутентификатором одноразовый код. Этот код, кстати, отличается от кодов других сервисов — он состоит из восьми букв вместо обычных шести цифр (то есть возможных комбинаций в 200 000 раз больше — видимо, в «Яндексе» решили слегка перестраховаться).

Правда, перед тем как включить в «Яндексе» двухфакторную аутентификацию с помощью Яндекс.Ключа, морально приготовьтесь к тому, что после этого автоматически включатся так называемые «пароли приложений». И в частности, придется заново логиниться в «Яндекс» на всех устройствах (а также изменять аутентификацию в почтовых клиентах и так далее).

Помимо этого, Яндекс.Ключ позволяет сохранять токены в облаке (и в iOS, и в Android для этого используется облако «Яндекса», так что системы полностью совместимы), но для этого уже потребуется войти в аккаунт. Что касается интерфейса, то нерациональным использованием пространства экрана Яндекс.Ключ больше всего похож на Twilio Authy. И даже немного хуже — вместо плитки иконок здесь использована карусель. И это не самое удачное решение, потому что при большом количестве токенов их приходится долго перебирать в поисках нужного.

Достоинства:

• Может работать без аккаунта (если не включать бэкап в облако)
• Вход защищен собственным ПИН-кодом приложения
• Бэкап/синхронизация через облако
• Дополнительная защита токена «Яндекса» ПИН-кодом
• Код заменяет пароль для входа в аккаунт «Яндекс», а не дополняет его (также можно подтвердить вход сканированием QR-кода)

Недостатки:

• На экране всегда показывается только один токен
• Если токенов много, то искать нужный не очень удобно
• Код активного в данный момент токена невозможно скрыть (кроме токена аккаунта «Яндекс», который защищен ПИН-кодом)
• Для бэкапа/синхронизации нужно завести аккаунт
• Нет экспорта/импорта токенов

Резюме: Яндекс.Ключ существенно упрощает вход в аккаунты «Яндекса», но интерфейс не самый удобный для тех, у кого много токенов.

Не забудьте сделать резервную копию

Напоследок несколько советов. Во-первых, вовсе не обязательно использовать только одно приложение-аутентификатор. Для каких-то целей может больше подходить один вариант, а для каких-то других целей — другой. Их можно и нужно комбинировать в зависимости от ваших потребностей.

Во-вторых, советуем позаботиться о безопасности: установите надежную блокировку устройства и обязательно включите защиту входа в приложение. Особенно если вы собираетесь пользоваться одним из аутентификаторов, которые позволяют легко экспортировать токены: Google Authenticator, andOTP, OTP auth и WinAuth. C ними риски значительно выше, так как потенциальный злоумышленник может не просто подсмотреть одноразовый код, который действует 30 секунд, но полностью клонировать все токены.

В-третьих, не забудьте сделать резервную копию токенов — особенно если ваш выбор пал на одно из приложений, в которых нельзя ни посмотреть секретный ключ или QR-код, ни экспортировать токены в файл (а таких большинство). Резервная копия пригодится на случай, если вы потеряете смартфон или, например, приложение перестанет корректно работать после очередного обновления. В большинстве случаев восстановить аутентификатор без резервной копии будет значительно сложнее.