双因素认证(2FA)基础知识
2FA如何工作,为什么仅密码不够,以及选择正确方法的实用指南:SMS、TOTP、FIDO2/WebAuthn和硬件密钥。
必读内容
为什么仅密码不够
即使完美的密码也可能被钓鱼或服务器泄露捕获。2FA添加了需要物理持有的第二层。
启用2FA后,拥有您密码的攻击者仍需要第二因素。
三个认证因素:知识(密码)、持有(手机、密钥)、固有(生物特征)。
SMS 2FA:聊胜于无但有限制
SMS发送一次性验证码。最常见但最不安全(SIM卡交换、SS7拦截)。
NIST将SMS分类为"受限"认证器。
如果SMS是唯一选择,请使用。但尽快迁移到TOTP或硬件密钥。
TOTP:基于时间的一次性密码
TOTP每30秒生成6位数代码。应用:Google Authenticator、Authy、Microsoft Authenticator、1Password。
优势:离线工作,不依赖蜂窝网络,不受SIM交换影响。
安全保存恢复代码。没有备份,丢失设备=丢失访问权限。
FIDO2/WebAuthn:黄金标准
FIDO2/WebAuthn使用公钥密码学。服务器仅存储公钥。设计上免疫钓鱼。
YubiKey和Google Titan等硬件密钥提供最高安全性。
FIDO2提供抗钓鱼、用户在场证明和加密来源验证。
选择正确的方法
高安全性(邮箱、银行、加密货币):FIDO2密钥+TOTP备份。
企业:FIDO2配合MDM策略。
个人账户:至少TOTP。任何2FA都比没有好。
常见2FA错误
同一手机用于SMS 2FA和账户恢复。
未生成恢复代码。
对TOTP QR码截图。
批准意外的推送通知(MFA疲劳/推送轰炸)。
- 不要同一手机用于SMS和恢复
- 始终生成并保存恢复代码
- 永远不要截图TOTP QR码
- 永远不要批准意外的MFA推送
- 每个账户至少注册两个硬件密钥
- 使用TOTP或硬件密钥代替SMS
- 提前测试恢复方法
有了强密码之后该怎么做?
强密码只是第一步。要真正保护您的账户,您需要一个可靠的密码管理器来存储、自动填充并在所有设备上同步您的凭据。
我们比较了2026年最受欢迎的密码管理器,帮助您做出正确选择。
NordPass以其零知识XChaCha20加密、内置Passkey支持和高级管理器中最直观的界面脱颖而出。
| 功能 | NordPass | 1Password | Bitwarden Free |
|---|---|---|---|
| 月费 | $1.49/mo | $2.99/mo | $0 |
| 设备 | 无限 | 无限 | 无限 |
| Passkeys | 是 | 是 | 否 |
| 泄露扫描 | 是 | 是 | 否 |
| 内置2FA | 是 | 是 | 是 |
| 安全分享 | 是 | 是 | 有限 |
| 自动填充 | 是 | 是 | 是 |
这是联盟链接。如果您购买,我可能会收到佣金——这有助于保持网站免费。