2因素身份验证-使用2FA保护帐户安全的怪兽指南

在本系列的最后一篇文章中，我们向您介绍了为每个在线服务设置唯一的强密码有多么重要。

现在，我们再往前走一步。对于您真正重要的帐户，我们将为您设置名为“2-factor Authentication”(2FA)的功能。

下载我们的2FA安全检查表，该列表简单易懂，适用于从“初学者”到“中级”和“高级”的各种技能级别的2FA建议。

双因素身份验证是一种身份验证方法，它需要两条证据来证明您是应该被授予帐户访问权限的人。通常，这两个因素被认为是“您知道的东西”(您的密码、PIN)和“您拥有的东西”(智能手机、硬件令牌、安全密钥)。

有趣的事实：你已经在每次去银行自动取款机取款时使用2FA了。你手中的借记卡被算作“你拥有的东西”，而你的私人PIN是“你知道的东西”。自动取款机会连续提示您输入其中的每一项，然后，如果您通过测试，就会授予您使用资金的权限。

这项服务将要求你通过共享临时号码、插入安全密钥或键入备份代码来使用第二个因素进行身份验证。

2FA为您的帐户提供了额外的一层安全保护。这对于您最重要的帐户，如电子邮件、社交媒体、在线银行、数字货币平台、云文件存储和密码管理器尤其重要。

例如，如果有人接管了您的主要电子邮件帐户，他们可以重置您的其他帐户密码。他们可能会阅读并删除你的电子邮件；以你的名义在线购物；窃取你的数字货币；勒索或勒索你；冒充你；删除你的文件和备份；如果你无法重新获得访问权限，就会永远将你锁在重要账户之外。

虽然选择一个好的密码是安全的一个重要部分，但不良行为者仍然可以通过多种方式获取您的凭据：

密码已经不够用了。你需要第二个因素来保护你的账户，特别是考虑到确实存在某人在某个地方试图接管它们的风险。

如果你以任何方式涉及到数字货币，你就是想要窃取你的数字货币的黑客的首要目标。如果你将密码放在平台上(我们建议将数字货币存储在你控制的钱包中)，你需要特别小心。

您应该了解几种不同类型的双因素身份验证。有些非常不安全，有些则更安全，有一个远远超过了其他的。下面我们将逐一介绍它们。

短信和电话验证系统的工作方式是给你发短信或给你打电话，然后读出一系列数字，然后你把这些数字键入网站。通常，这些代码只持续一到两分钟，然后就会过期。

这种方法的优点是很容易设置-您只需要提供您的电话号码。缺点是，如果黑客直接针对您，短信验证是非常不安全的。

如果有人试图进入你的账户，已经知道你的密码，而唯一阻碍他们的是短信或电话验证，你无法阻止他们进行SIM卡交换攻击并接管你的账户。

在许多情况下，对您的电话号码执行SIM卡交换的攻击者可以接管您的一个帐户，即使他们没有该帐户的密码。这是因为许多流行的服务默认使用短信进行账户恢复。这意味着，在许多情况下，您的帐户安全完全依赖于您的电话号码的安全性(即根本不太安全)。

你可以在我们的博客文章：防止SIM交换攻击的终极指南中阅读更多关于SIM交换以及如何使您的账户免受这些攻击的信息。

我们推荐使用的第一种安全形式的双因素身份验证是基于时间的一次性密码(TOTP)。TOTP 2FA与Google Authenticator(以及类似的应用程序)配合使用，以生成基于时间的代码，以便在登录时使用。与短信验证一样，在您输入用户名和密码后，服务会要求您提供TOTP验证码。

这里的不同之处在于，TOTP 2FA不需要您信任您的手机运营商来保证您的帐户安全(也就是说，假设您已经从您的帐户中移除了短信验证和短信恢复)。

要设置TOTP 2FA，您必须使用Google Authenticator扫描二维码或输入已由服务安全传输给您的2FA种子(由字母和数字组成的字符串)。

您的验证器应用程序使用此代码生成每隔一两分钟就会过期的唯一数字。在任何特定时间拥有正确的数字都会告诉在线服务您有安装2FA种子的设备，使其计入“您拥有的东西”。

出现提示时，您可以查找在Google Authenticator中生成的号码，并将它们输入到网站的登录页面以完成登录。

TOTP 2FA的主要缺点是，您仍然可以在网络钓鱼攻击中上当泄露您的TOTP验证码。

网络钓鱼攻击会诱骗某人用一个看起来与他们使用的服务的登录页面几乎一模一样的虚假网站来提供他们的登录凭据。

黑客会向您提供一个指向您的服务的虚假登录页面的链接，通常以虚假电子邮件或虚假广告的形式出现。(通常，识别这些虚假网站的唯一方法是检查其URL)。

一旦您在此网络钓鱼页面上输入您的登录凭据，黑客的自动系统将获取您键入的登录凭据，包括您的用户名、密码和2FA代码。

然后，黑客的计算机将代表他们快速登录到您的帐户。

黑客现在可以完全访问您的帐户，就像您登录到他们的计算机一样。

然后黑客会更改你的密码和2FA代码，把你锁在你自己的账户之外。

由于您的设备上安装了TOTP应用程序，如果您的手机丢失、损坏或被盗会发生什么情况？

我们在网上拥有账户的大多数公司都有一个恢复用户账户的过程。如果您无法访问您的2FA验证器，您将不得不逐个联系每家公司，并让他们确认您的身份。如果你的手机丢了，这可能需要很多天的努力，所以在用你的账户设置TOTP 2FA时，备份你的TOTP代码是值得的。

最简单的备份方式是截屏并打印出设置TOTP 2FA时提供的二维码(或种子密钥)的副本，然后将其保存在安全位置。许多服务还提供八个或更多一次性使用的“备份代码”。这些都是有用的备份，也应该存储在安全的地方。

有了备份，即使您的手机被盗、丢失或损坏，登录您的在线帐户也不会有任何问题。

像1Password这样的密码管理器也让你可以选择将你的TOTP 2FA种子存储在你的密码数据库中，这样它就可以充当你的认证应用程序。

这样做的好处是，他们可以在您的浏览器中生成并自动填写数字代码。这些2FA代码也将在您的设备上备份。

缺点是现在您的每台设备上的密码和2FA都存在单点故障。如果有人能够访问您的密码管理器，他们也可以访问您所有使用TOTP 2FA的帐户。

对于大多数不重要的帐户，这种风险可能值得在安全性和便利性之间进行权衡。对于您最敏感的账户(电子邮件、数字货币平台等)，我们建议您使用单独的2FA身份验证应用程序(如果可以，也可以使用安全密钥来实现最高安全性)。

通用第二因子(U2F)安全密钥是一种小型设备，您可以携带在您的钥匙链上并用作第二因子。

与短信或使用TOTP 2FA种子生成的代码不同，它们只能通过单个设备(或您预先与帐户关联的任何一组安全密钥)进行验证。这意味着它们完全符合第二个因素原则，即除了“你知道的东西”之外的“你拥有的东西”。

每当服务要求你的第二个因素时，你就把你的Yubikey插入你的设备，然后点击它的导电金属按钮，以证明你在那里与设备在一起。一些Yubikey是NFC兼容的，这意味着当被要求提供第二个因素时，您可以通过在手机背面轻敲安全密钥来在手机上进行无线身份验证。

该设备检查您正在登录的网站URL，并执行一些密码魔法以生成验证码，然后将验证码发送回您试图登录的网站。

一大堆东西必须在这里排队才能获准进入。如果您拥有正确的登录凭据，并且在正确的网站上，并且拥有正确的安全密钥，并且亲自携带安全密钥，您将被授予访问权限。如果你在一个域名错误的钓鱼网站上，它根本不会起作用。

安全密钥绝对是您可以用来验证您的2FA帐户的最安全的设备。如果可以选择，您应该将它们专用于您最敏感的帐户。

谷歌针对“任何面临目标攻击风险的人--如记者、活动家、商界领袖和政治竞选团队”的高级保护计划(Advanced Protection Program)完全依赖于2FA的安全密钥。

在2017年年中至2018年年中期间，谷歌的8.5万名员工全部使用安全密钥，该公司没有看到一个账户被接管。谷歌已经通过使用安全密钥基本上消除了账户接管。考虑到拥有谷歌员工的资历是多么有价值，这是令人印象深刻的。

默认情况下，U2F安全密钥可保护您免受网络钓鱼。此外，它们的使用速度也被证明是使用TOTP验证器应用程序登录的近四倍。

就像在谷歌的程序中一样，我们建议你使用安全密钥来锁定你的主要电子邮件地址。此外，请确保删除您的电子邮件登录的任何安全级别低于此帐户的恢复选项(例如，SMS恢复或电子邮件地址安全级别较低的电子邮件恢复)。

我们还建议您使用密码管理员在线帐户上的安全密钥启用2FA。下面是使用1Password执行此操作的方法。

在选择安全密钥时，Yubikey U2F安全密钥不会出错。YubiKey是高质量的产品，易于设置和使用。制造它们的YUBICO公司是安全密钥领域的领先者。

与所有事情一样，拥有备份也很重要。投资一个高质量的安全密钥，您将能够在您的电话和计算机上使用该密钥。多买一两件，放在保险箱和/或保险箱里，以防丢了主要的。

Ledger和Trezor的许多硬件钱包也内置了U2F功能，允许您将其用作安全密钥。

下载我们的2FA安全检查表，该列表简单易懂，适用于从“初学者”到“中级”和“高级”的各种技能级别的2FA建议。

我们希望这是一个关于双因素身份验证以及如何使用它来设置您的在线帐户的有帮助的、清晰的、全面的指南。

在下一篇文章中，我们将循序渐进地教您如何使用Twilio和SendGrid创建一个没有人知道的特殊电话号码，以便您可以将短信转发到超级安全的电子邮件帐户。对于不提供比SMS 2FA更好的2FA形式的服务，以及需要您使用电话号码进行帐户恢复的服务，这将非常有用。

下面是一些关于2FA安全的额外读物，它们将帮助您更好地了解本文：

你需要知道的关于SIM卡交换诈骗的知识-SIM卡交换诈骗指南。

在欺诈性SIM掉期导致180万美元加密货币被盗后，MAN起诉美国电话电报公司(AT&；T)-2019年的一篇文章强调了SIM掉期攻击的危险。它讲述了一名黑客损失了价值数百万美元的数字货币的故事，这名黑客花了不到5000美元贿赂电话公司员工。

通过你的手机-你应该停止使用它吗？-这篇博客文章告诉你，如果你交换了SIM卡，你会期待什么，以及应该做什么(如果你能做任何事情)。

安全建议：手机(克拉肯)-克拉肯的经典帖子是关于锁定你的电子邮件账户，消除你不需要信任不安全的手机号码来保护账户安全的经典帖子。与其使用加拿大人无法使用的Google Voice，不如考虑使用带有SendGrid的Twilio。

选择2FA验证器应用程序可能很困难。ARS这样做了，所以您不必这样做-关于选择平衡安全和备份的最佳TOTP 2FA应用程序的指南。

超越密码：2FA、U2F和谷歌高级保护-特洛伊·亨特(Troy Hunt)介绍了目前可用的不同形式的双因素身份验证。

黑客如何大规模绕过Gmail 2FA-这篇文章展示了网络钓鱼在欺骗人们键入他们的登录凭据和基于时间的2FA代码方面是多么有效，特别是当它在工业规模上自动化的时候。使用U2F安全密钥确保这种情况不会发生在您身上。

如何将安全密钥添加到您的Gmail-向您的Gmail添加安全密钥和删除SMS作为帐户恢复选项的分步指南。

为什么你不应该再使用Google Authenticator：为什么U2F比TOTP(一次性密码)更好-Trezor关于用你的硬件钱包设置U2F 2FA的指南。

比特币安全变得简单：使用双因素身份验证-关于2FA的更多信息，并使用硬件钱包作为您的U2F第二因素。

安全密钥入门-详细说明U2F安全密钥及其使用方法。