使用双重因素身份认证

更新 28 March 2024

双重因素身份验证（2FA），也称为多因素身份验证（MFA），它能为你的登录系统增加第二个身份验证因素。因此，如果你想登录一个帐户，你需要提供你知道的东西（密码或密码短语）和你拥有的东西（例如硬件设备、生成一次性代码的应用程序，或接收短信确认登录的手机）。

通过使用双重因素身份验证（2FA），就可以确保，即使有人设法猜到你的密码，他们也无法登录你的帐户，因为他们仍然需要第二个因素，而这个因素更难获取，因为它仅仅一次性有效，并且要么由你拥有的物理设备生成，要么在你需要的时候才发送给你。

学习如何设置双重因素身份认证

要查看哪些服务提供双因素身份认证（2FA），并找到每个服务关于如何启用它的说明链接，请访问双因素身份验证目录网站。
为以下平台或服务设置2FA至关重要：
- 你的银行账户或与资金有关的应用程序
- 像是你的电子邮件、社交媒体、文件存储，以及任何包含敏感或私密信息的账户，以及你可能需要用于恢复其他账户访问权限的账户。

使用身份验证应用程序或硬件设备

你的双因素身份认证选项可能包括：

使用验证应用程序或软件。
- 我们推荐这些应用程序：Android 上的 Aegis, iOS 或者 iPhone 上的 Raivo OTP, 以及同时支持 Android 和 iOS 的 FreeOTP.
- 你还可以使用 KeePassXC、KeePassDX 或 Strongbox 设置双因素身份认证。
- 使用此选项时，重要的是要保护安装了2FA应用程序的设备免受恶意软件侵害。
使用硬件设备：它们通常被称为安全令牌、加密狗、USB“密钥”或FIDO U2F密钥（“快速身份在线通用第二因素”的英文缩写），你可以将其插入计算机或手机，或设置为使用无线通信，例如通过NFC通信（近场通信）。
- 一些例子包括 Yubikey、Nitrokey、Google Titan Key、Thetis Key 和 Solokeys。
- 请注意，某些硬件设备可能无法在移动设备上使用。购买硬件设备之前，请检查它是否可以连接到你的手机或电脑。

选择最适合你的双因素身份认证方式

你可以为多个服务使用同一个身份验证应用程序或硬件设备，或者为不同的服务设置不同形式的双因素身份认证，以获得更好的保护。
虽然身份验证应用程序和硬件设备不需要任何网络连接即可生成验证码，但其它方法需要移动网络连接（短信2FA）或互联网连接（电子邮件2FA）。
按照安全性给双因素身份认证方式排序：身份验证应用程序或硬件设备最安全，然后是电子邮件，最后是短信。另外，如果你在另一个国家或没有网络覆盖，短信可能无法送达。
- 我们不建议使用短信进行双因素身份认证，因为短信未加密，并且已有攻击者成功拦截短信的案例。
一旦你设置好2FA，请不要取消。有些平台或许会允许你停用2FA，虽然停用2FA也许有一时便利，但请考虑这对你的账号安全带来的影响。

了解我们推荐这样做的理由

在登录方面，拥有多层保护更加安全。如果第一层保护被突破，你可以依靠第二层来保护你的数字资产。使用另一台设备或电子邮件的多因素或双因素身份认证（MFA或2FA）提供了这种额外的保护层。尽管许多人觉得短信（也称SMS）方便，但它是2FA最不安全的选项。

你可能觉得双因素身份认证会使登录过程变得复杂，但请记住：对你来说稍微不便的事情，却能给那些未经允许就访问你的账户的人增加难度。从长远来看，让你的账户被盗、被劫持或被恶意人士监控，会是一个更大的问题。

请妥善保管2FA的备用验证码

当你为某项服务激活双因素身份认证时，确保你有可靠的备用2FA方法非常重要，这样即使你丢失了用于2FA的设备，仍然可以使用其它方法登录你的账户。

大多数情况下，备用2FA方法包括一系列可以下载并安全存储的2FA代码。如果系统未自动提供备用代码，请寻找手动生成它们的方法。如果这样还不行，请尝试启用替代的2FA方法，例如，如果你已经注册了身份验证应用程序，那就可以添加硬件设备，或者在设置身份验证应用程序时截取已扫描的二维码的屏幕截图，并对其进行安全备份。

如果你设置双因素身份认证时收到备用代码，请将这些代码存储在密码管理器中，作为相关账户条目的附件。了解如何在你选择的密码管理器中执行此操作：
- 如何备份KeePassXC。
- 如何备份KeePassDX。
- 如何备份Strongbox。
理想情况下，为了将这些代码与用于访问你的账户的其它信息分开，请使用密码管理器创建一个单独的数据库，并将其保存在另一台设备上。