什么是双因素认证 (2FA)?
双因素认证 (2FA) 通过在密码之外要求第二种验证形式来加强账户安全。
认证"因素"分为三大类:
- 知识因素:你知道的东西 (密码、PIN)
- 持有因素:你拥有的东西 (智能手机、安全密钥)
- 固有因素:你本身的特征 (指纹、面部识别)
2FA 组合使用这些类别中的两个不同因素。最常见的组合是密码 (知识) 加上智能手机上的验证码 (持有)。
为什么仅靠密码不够
仅使用密码认证存在以下风险:
- 钓鱼攻击:虚假登录页面窃取你的密码
- 数据泄露:被入侵的服务泄漏你的密码
- 暴力破解攻击:自动化工具通过穷举尝试猜测你的密码
- 键盘记录器:恶意软件记录你的按键
- 社会工程学:心理操纵诱骗你透露密码
启用 2FA 后,即使密码被泄露,攻击者没有第二因素也无法登录。请注意,钓鱼攻击也在演变以针对 2FA 验证码,因此保持警惕仍然很重要。
2FA 的类型
短信认证
登录时向注册的电话号码发送 6 位验证码。虽然是最广泛采用的方法,但由于 SIM 卡交换攻击 (电话号码劫持) 和短信截获等风险,它是最弱的 2FA 形式。
TOTP (基于时间的一次性密码)
Google Authenticator、Authy 和 Microsoft Authenticator 等应用每 30 秒生成一个新的 6 位验证码。TOTP 比短信更安全,且可离线使用。
TOTP 的工作原理是服务器和应用使用相同的算法从共享密钥和当前时间生成验证码。不需要网络通信,消除了截获风险。
FIDO2/WebAuthn (安全密钥)
此方法使用 YubiKey 等物理安全密钥或智能手机的生物认证。它对钓鱼攻击提供最强的抵抗力。如需深入了解,FIDO2 认证参考书是有价值的资源。
FIDO2 的一个关键优势是认证绑定到域名。它不会在假冒网站上工作,从根本上防止了钓鱼攻击。
推送通知
登录时向智能手机发送推送通知,你只需点击"批准"即可认证。虽然方便,但容易受到"MFA 疲劳攻击",攻击者不断发送批准请求,期望你意外点击。
如何设置 2FA
以下是在主要服务上设置 2FA 的一般概述:
- 打开服务的安全设置页面
- 查找"双因素认证"或"两步验证"
- 选择认证方法 (推荐 TOTP 应用)
- 用 TOTP 应用扫描二维码
- 输入显示的验证码完成设置
- 将恢复码保存在安全的地方
恢复码的重要性
2FA 设置时签发的恢复码 (备份码) 是你在丢失智能手机时访问账户的最后手段。将它们写下来安全保存,或保存在密码管理器中。
推荐的 2FA 方法
按安全性从强到弱排列:
- FIDO2 安全密钥 (最强):抗钓鱼
- TOTP 应用 (推荐):离线工作,无截获风险
- 推送通知 (良好):易于使用,但注意 MFA 疲劳攻击
- 短信认证 (最低):远好于没有,但存在 SIM 卡交换风险
无论使用哪种方法,启用 2FA 都能显著提高你的账户安全性。如果你还没有在任何服务上设置,现在就是时候了。阅读 多因素认证书籍可以帮助你了解可用选项的全部范围。
总结
将 2FA 与强大的密码安全相结合,加强你的账户保护。了解如何应对钓鱼攻击和数据泄露响应在你的凭据成为目标时也很有帮助。
使用 IP 确认检查你的浏览器安全评分,验证连接环境的安全性。