Skip to main content
Surveillance
Self-Defense

< Tool Guides

如何启用双因素认证

最后更新: March 11, 2024

This page was translated from English. The English version may be more up-to-date.

双因素认证(简称“2FA”)是提高线上账户安全性的一种方式,它要求在您登录时除了密码之外再提供一个证明(“因素”)。这个证明可以是您知道的某样东西(例如密码或 PIN 码)、您拥有的某样东西(例如安全密钥或手机)或者附着在您身上或与您密不可分的某样东西(例如指纹或面容)。

您生活中的某些地方可能已经在使用 2FA 了。当您使用 ATM 机取现金时,您必须同时持有实体银行卡(您拥有的某样东西)和 PIN 码(您知道的某样东西)。线上服务的 2FA 使用同样的基本逻辑。

2FA 在线上的工作原理是什么? anchor link

包括 Facebook(还有 Instagram 和 WhatsApp)、Apple、Google、X、Reddit、微信、Telegram、TikTok 在内的很多线上服务都提供 2FA 作为仅凭密码的身份验证的替代方案。启用该功能之后,您需要同时提供密码和第二种身份验证方式。

第二种方式可以是以下几样事物之一:短信、验证器应用程序生成的旋转验证码、推送通知或者 USB 设备(即安全密钥)。

验证器应用程序生成旋转的六位数验证码,只能用于您已经登记过的网站。很多企业提供免费的手机验证器应用程序,例如 Google Authenticator 和 Authy。有些密码管理器也能作为验证器应用程序,因此完全不需要为此付费。2FA 应用程序通常使用基于时间的一次性密码 (TOTP),即由算法生成的唯一数字密码。这意味着它们只能用一次,而且只在短时间内有效。实际上,大部分 2FA 应用程序会显示倒计时(通常是 30 秒),指明何时验证码会改变。在这些情况下,第二因素是指您的手机,即您(通常)持有的某样东西。

您可能还会遇到“基于推送通知的 2FA”,这在雇主和 Duo 或 Okta 等服务中很常见,但您还可能已经通过 Google、Apple 或 Microsoft 账户使用过它了。游戏服务也常用这种方式,例如 Steam 和 Blizzard。使用基于推送的 2FA 时,服务会在登录时向您的其中一台设备发送一条提示。这条提示会指出有人(可能是您自己)正尝试登录,并说明做出登录尝试的估计位置。您可以批准或拒绝这次登录。

第二因素也可以是您另外购买的物理设备,即安全密钥。安全密钥通过 USB 接口插入计算机或手机,或者通过 NFC 无线连接到手机上。和上文提到的应用程序一样,您在某个网站上登记安全密钥,不提供该密钥就无法登录该网站。安全密钥是最强大的 2FA 形式,但它不如其他方案一样得到各个网站的广泛支持。

一旦选择使用 2FA,您需要先输入密码,再输入第二因素——短信发送的或 2FA 应用程序生成的验证码或者安全密钥,才能登录账户。

为什么要启用 2FA? anchor link

2FA 能让您的账户更安全。即使有人得到了您的密码,他们还是无法访问您的账户,除非他们同时拥有您的手机或第二种身份验证方式。这一点尤其重要,因为包括用户密码在内的数据泄露很常见。总是有网站被攻破,将人们的密码和用户名泄露出去。2FA 不是取代安全性强的唯一密码,而是提供多一层保护,以防有人意外地将您的用户名和密码用于其他站点。

此外,安全密钥 2FA 和通行密钥验证能有效防止网络钓鱼,因为密钥不能在没有登记过的网站使用,但其他形式的 2FA 做不到这一点,例如应用程序生成的或者短信发送的验证码。近年来,网络钓鱼攻击发展得越来越巧妙,会索要 2FA 验证码,而短信和验证器应用程序无法对此提供保护。

使用 2FA 有什么弊端吗? anchor link

虽然 2FA 提供了更安全的身份验证方法,但可能会提高您无法登录账户的风险。例如,如果您手机丢了、手机号码换了或者出国旅游没开漫游,您可能就无法登录您的账户了。安全密钥也是如此,而且比手机更容易丢失。

很多 2FA 服务会提供几个一次性的“备份”或“恢复”验证码。每个验证码只能用于登录账户一次,之后就无法使用了。如果您担心失去手机或其他身份验证设备的访问权限,请将这些验证码打印出来随身携带。它们还是“您拥有的某样东西”,前提是您只有这一份并且将它看管好。这些验证码一定要保密,确保永远没有人能看到或拿到。如果您使用或丢失了备份验证码,可以在下次能登录账户时重新生成一份。

有些 2FA 手机应用程序对这个问题的解决方案是提供选项,让您可以备份生成一次性验证码的信息。这样,如果您手机丢了,就可以将备份拿出来用。对大多数人而言,备份验证器验证码是个好主意。但如果您担心备份服务的安全性,并且坚信自己不会弄丢或弄坏手机,也可以选择不备份验证器验证码。如果启用的话,请查看应用程序的文件,确保这些备份受到端到端加密保护。

短信 2FA 聊胜于无,但确实存在潜在问题,因为短信消息不太安全。手段高明的攻击者(例如情报机构或有组织的犯罪行动)如果能访问手机网络,就有可能拦截和使用短信发送的验证码。还有一些情况是:水平一般的攻击者(例如个人)设法将打给或发给某个号码的电话或短信转接到他/她自己的号码,或者访问电话公司的服务,不需要拥有手机就能看到发送到某个电话号码的短信。还有一个潜在问题是SIM 卡调换,即有人骗过手机运营商(或者由内部人员操作),将您的电话号码转移到他们掌控的设备上。成功之后,他们就能得到所有短信 2FA 验证码,甚至通过短信重置密码。美国联邦贸易委员会 (Federal Trade Commission) 劝诫企业不要使用基于短信的 2FA。

尽量选择使用验证器应用程序、通行密钥或者安全密钥,不要使用短信。 您还应该向手机运营商确认他们是否提供防止 SIM 卡调换的工具。比如您致电客服要求更改一些东西时必须提供 PIN 码或口头密码。

此外,使用基于短信的 2FA 意味着您可能要将一些超出您意愿的信息托付给某个服务。假设您使用 TikTok,用假名注册了一个账号。即使您小心地避免向 TikTok 提供您的身份信息,即使您仅通过 Tor 或 VPN 访问该服务,但如果您启用短信 2FA,TikTok 还是必然会记录您的手机号码。那么,如果法院强制要求,TikTok 就能通过电话号码将您的账户关联到您。也许这对您不是什么问题,尤其是您已经在某个服务中使用了真名的情况,但如果有必要保持匿名,请慎用短信 2FA。

就算启用了 2FA,还是有必要使用密码管理器来创建安全性强的唯一密码。具体操作请参考我们的“创建安全性强的密码”指南

通行密钥怎么样? anchor link

通行密钥是一种较新的登录选项,它提供 2FA 的所有安全性,而且麻烦要少得多。通行密钥是在您的设备(如手机、笔记本电脑或安全密钥)上生成的大约 100-1400 字节的随机数据,用于登录特定网站。它既不是密码,也不是 2FA,但在功能上可以同时取代这二者。

通行密钥不要求您输入密码和验证码,而是内置了第二因素。每次使用通行密钥登录时,浏览器或操作系统可能请您重新输入设备的解锁 PIN 码。如果您使用指纹或面容识别解锁设备,浏览器可能要求您重新输入指纹或者展示面容,以确认要求登录的确实是您。这就形成了两个验证因素:存储通行密钥的设备是您拥有的某样东西,伴随着您知道的某样东西(PIN 码)或您身上的某样东西(指纹或面容)。

如果您目前已经在某个网站上使用 2FA,通行密钥会更方便,可能还更安全。基于短信或验证器应用程序的 2FA 方式容易受到网络钓鱼攻击,因为冒牌网站可以请您提供一次性验证码,然后连同您被骗走的密码一起传给真正的网站。通行密钥比短信或验证器应用程序 2FA 更安全,其原因是前者不易受到网络钓鱼的攻击。您的浏览器确切地知道哪个网站使用哪个通行密钥,并且不会被冒牌网站欺骗。

如何启用 2FA? anchor link

注意:如果您尚未设置密码管理器以及针对每个网站使用唯一密码,请先做好这些。单单针对每个网站使用唯一密码就能起到很大作用。

每个平台启用 2FA 的方法不同,它们所用的术语也各不相同。以下网站提供了一份非常完善的支持 2FA 的网站清单:https://2fa.directory/。 每个人的安全计划都有不同需求,也不是每个网站都会提供不同形式的 2FA 供您选择,但如果可以选,请按照如下顺序选择:

  • 通行密钥的安全性强而且易于使用(如果正常工作),但这还是一项不够普及的新技术,而且如果操作失误,可能造成登录流程出问题,解决起来很麻烦。
  • 安全密钥的安全性非常强,但用起来可能很烦人,因为您要将这个物理密钥一直带在身边。
  • 基于推送通知的身份验证提供中等安全性且易于使用,但仅适用于少数几个网络服务,并且由于它没有标准化,最后您可能要在手机上安装很多个验证器应用程序。
  • 验证器应用程序/基于时间的一次性密码验证最近非常流行,它提供中等安全性,但需要在应用程序之间(尤其是在移动设备上)复制/粘贴,比较麻烦。
  • 短信的安全性最低,有时也不好用(如果您没有手机,就根本用不了),但如果只提供这一种选择,总好过没有。

在您翻找账户设置并找到启用 2FA 的选项之后,通常还差一步才能完成整个流程。具体的做法取决于您使用的 2FA 类型和网站本身,但大体上是这样:

  • 如果选择使用通行密钥,网站会创建一个通行密钥并将其储存在您创建密钥的设备上(如手机或笔记本电脑)。您需要有这台设备在手边才能使用该通行密钥登录,不过有些密码管理器会在设备之间同步通行密钥。很多服务也还是会要求您设置用户名和密码,因此眼下您可能仍然要使用另一种形式的 2FA。
  • 如果选择使用安全密钥,您需要插入密钥,确认要创建一个凭证(具体操作取决于密钥本身,但通常是轻点密钥或者按下密钥上的某个按钮),然后按照指示将其关联到账户。请注意,如果使用安全密钥,有些网站会要求使用第二种 2FA 形式作为备份,因此可能需要先设置这个。
  • 如果使用手机验证器应用程序,则需要用手机扫描电脑屏幕上的一个二维码。然后手机会开始生成旋转验证码,您要输入其中一个验证码来证明您成功完成了这个流程。
  • 如果选择短信,您会收到一个验证码,然后输入该验证码,完成启用 2FA 的流程。

第一次操作时,启用 2FA 的流程有点令人望而生畏,但是将它分解成几个小部分就会简单些。

首先是电子邮件账号。因为大多数服务允许通过电子邮件重置密码,只要掌控您的邮箱就能进行密码重置,然后向其他服务渗透,所以它是最重要的服务,第一个要确保它的安全。其次,对备份文件的所有服务进行设置,例如 Apple、Google 或 Microsoft 账户。接下来,社交网络和通信应用程序是下一个要保护的。然后,您可以查看 2FA 目录网站上的清单,找到您使用的网站进行设置。