如何设置双重验证(2FA)— 完整指南
如何设置双重验证(2FA)— 完整指南
再复杂的密码,泄露了就等于没有。每年都有大规模数据泄露事件发生,一旦密码被曝光,就会在暗网上被交易,被用来撞库攻击你的其他账户。
双重验证(2FA)是在密码之上增加一道防线,即使密码被盗,攻击者没有第二重验证也无法登录。本文将详细介绍认证器应用、短信验证和硬件密钥的设置方法。
什么是双重验证?
双重验证在登录时要求提供两种不同的身份凭证:
你知道的 — 密码
你拥有的 — 认证器应用生成的验证码、硬件密钥或生物识别
即使知道密码,没有第二个凭证也无法登录。
2FA方式对比
方式
安全等级
便捷性
费用
短信验证码
低
高
免费
认证器应用
高
高
免费
硬件密钥(YubiKey)
极高
一般
$25–$70
邮箱验证码
低
一般
免费
短信验证为什么不安全
短信验证比不设任何验证要好,但存在已知的安全隐患:
SIM卡劫持(SIM Swapping):攻击者冒充你联系运营商,把你的手机号转移到他们的SIM卡上。之后所有短信验证码都会发送给攻击者。
SS7协议漏洞:传输短信的电信协议存在已知缺陷,可以被用来截取短信内容。
社会工程学攻击:运营商客服可能被骗取信息,导致账户被非法变更。
如果只有短信这一个选项,先开启它——但尽快切换到认证器应用。
认证器应用设置步骤
认证器应用每30秒生成一个新的一次性密码(TOTP)。验证码在设备上本地生成,不经过网络传输,因此无法被截获。
主流认证器应用
应用
支持平台
云端备份
特点
Google Authenticator
iOS、Android
Google账户同步
简单易用,兼容性广
Authy
iOS、Android、桌面
加密云端备份
多设备同步
Microsoft Authenticator
iOS、Android
iCloud/Google备份
微软账户推送通知
1Password / Bitwarden
全平台
密码管理器内置
密码和验证码统一管理
用认证器应用启用2FA
不同服务的菜单位置不同,但基本流程一致:
进入账户安全设置
找到"双重验证""两步验证"或"登录安全"
选择"认证器应用"
即使有短信选项,也请优先选择认证器应用
扫描二维码
打开认证器应用,点击"+"或"添加账户"
用相机扫描屏幕上的二维码
应用会自动注册该账户
输入验证码
输入认证器应用显示的6位数字确认设置
保存备用码
大多数服务会提供一次性备用码。请保存在安全的地方——不要存在同一部手机的备忘录里
可以在LOCK.PUB创建加密备忘录来保存备用码,还能设置过期时间
应该优先开启2FA的账户
邮箱(Gmail、Outlook)— 几乎所有其他账户的找回途径
金融账户 — 银行、支付宝、微信支付
社交媒体 — 微博、Instagram、微信
云存储 — Google Drive、百度网盘、iCloud
即时通讯 — 微信、Telegram
硬件安全密钥设置
YubiKey等硬件密钥是最强的2FA方式。必须物理持有密钥才能登录,完全免疫钓鱼攻击。
硬件密钥工作原理
将密钥插入USB接口或通过NFC轻触手机
密钥生成加密响应,证明你物理持有该设备
没有需要输入或可被截获的验证码
设置步骤
购买兼容密钥 — YubiKey 5系列兼容大多数服务
在账户安全设置中选择"安全密钥"
插入密钥,按提示触摸按钮
注册备用密钥 — 建议购买两把,都注册,以防丢失
支持硬件密钥的服务
Google、Microsoft、Apple
GitHub、GitLab
Facebook、X/Twitter
Coinbase、Binance
Dropbox、1Password
管理多个账户的2FA
随着启用2FA的账户越来越多,管理变得很重要:
使用同一个认证器应用管理所有账户
开启云端备份(Authy和Google Authenticator都支持)
安全保存备用码 — 使用密码管理器或LOCK.PUB加密备忘录
记录哪些账户已开启2FA
手机丢了怎么办?
提前为丢失手机做好准备:
保存备用码 — 设置2FA时就要做
开启云端同步 — 在认证器应用中
注册备用设备或硬件密钥
打印备用码 — 放在物理安全的地方
如果已经无法访问,请准备好身份证明文件联系服务客服进行账户恢复。
常见的2FA错误
只用短信验证 — 请换成认证器应用
备用码存在同一台设备上 — 设备丢了就全丢了
忽略邮箱的2FA — 邮箱是几乎所有账户的恢复路径
所有账户绑定同一个手机号 — 一次SIM劫持全部沦陷
不测试恢复流程 — 紧急情况发生前先确认能恢复
立刻行动,保护账户安全
设置2FA每个账户只需要5分钟。从邮箱开始,按重要程度依次开启。
需要安全保存备用码?在LOCK.PUB创建加密备忘录,解锁密码通过微信以外的渠道传达会更安全。
创建加密备忘录 -->
相关文章