Langkau ke kandungan utama

Apa Itu 2FA? Panduan Pengesahan Dua Faktor

Apa itu 2FA? Bagaimana pengesahan dua faktor berfungsi, lima jenis 2FA, dan cara mendayakannya pada akaun anda yang paling penting.

Terakhir dikemas kini: 5 April 2026

Kata laluan sahaja tidak mencukupi untuk melindungi akaun dalam talian anda. Pelanggaran data mendedahkan berbilion kelayakan setiap tahun, dan walaupun kata laluan yang kuat boleh terjejas melalui phishing, keylogger, atau serangan kekerasan. Pengesahan dua faktor (2FA) menambah lapisan pertahanan kedua — walaupun seseorang mencuri kata laluan anda, mereka masih tidak boleh mengakses akaun anda tanpa faktor kedua. Panduan ini menerangkan apa itu 2FA, bagaimana setiap kaedah berfungsi, jenis mana yang paling selamat, dan cara menyediakannya pada akaun anda yang paling penting. Ia adalah salah satu langkah paling berkesan tunggal yang anda boleh ambil untuk melindungi kehidupan digital anda.

Jenis Pengesahan Dua Faktor

Kod SMS

Kod sekali guna dihantar ke nombor telefon anda melalui mesej teks. Anda memasukkan kod ini selepas kata laluan anda untuk melengkapkan log masuk. SMS 2FA adalah kaedah yang paling luas tersedia — hampir setiap perkhidmatan menyokongnya, dan ia tidak memerlukan aplikasi atau perkakasan tambahan. Walau bagaimanapun, ia adalah bentuk 2FA yang paling lemah disebabkan kerentanan kepada serangan SIM swap (di mana penyerang meyakinkan pembawa anda untuk memindahkan nombor telefon anda ke kad SIM mereka) dan eksploitasi protokol SS7 yang boleh memintas mesej teks.

  • Kebaikan: Disokong secara meluas, tiada aplikasi diperlukan, berfungsi pada mana-mana telefon
  • Keburukan: Terdedah kepada SIM swap, pemintasan SS7, dan serangan kejuruteraan sosial pada pembawa telefon

Aplikasi Pengesah (TOTP)

Aplikasi Time-based One-Time Password (TOTP) menjana kod 6 digit baharu setiap 30 saat menggunakan rahsia kongsi dan masa semasa. Aplikasi popular termasuk Google Authenticator, Authy, Microsoft Authenticator, dan Ente Auth. TOTP jauh lebih selamat daripada SMS kerana kod dijana secara setempat pada peranti anda — tiada saluran penghantaran untuk dipintas. Kod berfungsi luar talian dan tidak terikat dengan nombor telefon anda. Ini adalah kaedah 2FA yang disyorkan untuk kebanyakan orang, mengimbangi keselamatan kuat dengan kemudahan penggunaan.

  • Kebaikan: Selamat, mampu luar talian, aplikasi percuma tersedia, tidak terikat dengan nombor telefon
  • Keburukan: Kehilangan peranti anda tanpa kod sandaran mengunci anda; laman phishing masih boleh menangkap kod dalam masa nyata

Kunci Keselamatan Perkakasan

Peranti fizikal seperti YubiKey, Google Titan, dan SoloKeys dipalam ke port USB anda atau ditekan melalui NFC untuk mengesahkan. Kunci perkakasan menggunakan standard FIDO2/WebAuthn, yang tahan phishing mengikut reka bentuk — kunci mengesahkan domain laman web secara kriptografi sebelum mengesahkan, menjadikan mustahil bagi laman phishing untuk memintas. Google memerlukan semua pekerja menggunakan kunci perkakasan dan melaporkan sifar serangan phishing berjaya sejak pelaksanaan. Kunci berharga $25-70 dan merupakan kaedah 2FA yang paling selamat yang tersedia.

  • Kebaikan: Keselamatan terkuat, tahan phishing, tiada bateri, berfungsi luar talian, tahan lama
  • Keburukan: Berharga $25-70, boleh hilang atau dilupakan, tidak disokong oleh semua perkhidmatan

Biometrik

Pengimbas cap jari (Touch ID), pengecaman wajah (Face ID), dan pengimbas iris menggunakan ciri fizikal anda sebagai faktor pengesahan. Biometrik adalah mudah — anda sentiasa membawanya bersama anda dan ia tidak boleh dilupakan. Ia berfungsi sebagai faktor kedua bersama-sama kata laluan pada banyak peranti dan perkhidmatan. Walau bagaimanapun, biometrik tidak boleh diubah jika terjejas (tidak seperti kata laluan), dan ia boleh dipaksa oleh penguatkuasaan undang-undang dalam banyak bidang kuasa. Kualiti berbeza dengan ketara merentas peranti.

  • Kebaikan: Mudah, sentiasa tersedia, pengesahan cepat, sukar untuk direplikasi
  • Keburukan: Tidak boleh diubah jika terjejas, boleh dipaksa secara sah, kualiti berbeza mengikut peranti

Passkey

Passkey adalah standard pengesahan terbaharu, direka untuk menggantikan kata laluan sepenuhnya. Berdasarkan FIDO2/WebAuthn, passkey menggunakan kriptografi kunci awam — peranti anda menyimpan kunci peribadi, dan perkhidmatan menyimpan kunci awam yang sepadan. Pengesahan berlaku melalui sensor biometrik atau PIN peranti anda, tanpa kata laluan untuk ditaip, di-phish, atau dicuri. Apple, Google, dan Microsoft telah mengintegrasikan sokongan passkey ke dalam sistem operasi mereka. Passkey diselaraskan merentas peranti melalui iCloud Keychain, Google Password Manager, atau penyedia lain, menggabungkan keselamatan kunci perkakasan dengan kemudahan biometrik.

  • Kebaikan: Tahan phishing, tiada kata laluan untuk diingati, diselaraskan merentas peranti, cepat
  • Keburukan: Agak baharu, belum disokong secara universal, kebimbangan kunci masuk platform dengan passkey yang diselaraskan

Amalan Terbaik 2FA

  1. Dayakan 2FA pada akaun e-mel anda terlebih dahulu — ia adalah kunci induk kepada semua akaun anda yang lain. Jika seseorang menjejaskan e-mel anda, mereka boleh menetapkan semula kata laluan pada setiap perkhidmatan yang berkaitan dengannya. E-mel anda adalah akaun tunggal yang paling penting untuk dilindungi dengan 2FA.
  2. Gunakan aplikasi pengesah dan bukannya SMS bila-bila masa yang mungkin. Aplikasi TOTP kebal terhadap SIM swap dan serangan SS7. Jika perkhidmatan hanya menawarkan 2FA berasaskan SMS, gunakannya juga — SMS 2FA masih jauh lebih baik daripada tiada 2FA sama sekali.
  3. Simpan kod sandaran di lokasi selamat dan berasingan. Simpan dalam pengurus kata laluan (berbeza dari yang dilindungi oleh 2FA), cetak dan simpan dalam peti besi, atau tulis pada kertas yang disimpan dengan selamat. Jangan sekali-kali simpan kod sandaran dalam nota tidak tersulit pada peranti yang sama dengan pengesah anda.
  4. Pertimbangkan kunci keselamatan perkakasan untuk akaun paling kritikal anda — e-mel, perbankan, storan awan, dan pengurus kata laluan. YubiKey 5 NFC ($50) berfungsi dengan USB-A, USB-C, dan NFC, meliputi hampir setiap peranti. Daftar dua kunci setiap akaun supaya anda mempunyai sandaran.
  5. Audit dengan kerap akaun mana yang telah didayakan 2FA. Gunakan pengurus kata laluan untuk menjejak. Susunan keutamaan: e-mel, perbankan dan perkhidmatan kewangan, storan awan, media sosial, laman membeli-belah dengan kaedah pembayaran tersimpan, dan mana-mana akaun kerja atau profesional.

Cara Menyediakan 2FA

Menyediakan 2FA memerlukan kurang daripada lima minit setiap akaun. Berikut adalah proses untuk 2FA berasaskan aplikasi pengesah, yang merupakan kaedah yang disyorkan untuk kebanyakan orang:

  1. Buka tetapan keselamatan:Navigasi ke tetapan keselamatan akaun anda. Cari "Two-Factor Authentication," "2-Step Verification," atau "Login Security." Pada Google, pergi ke myaccount.google.com > Security > 2-Step Verification. Pada Apple, pergi ke Settings > [Your Name] > Sign-In & Security.
  2. Pilih kaedah 2FA:Pilih kaedah 2FA anda. Pilih "Authenticator App" untuk keseimbangan terbaik antara keselamatan dan kemudahan. Pasang aplikasi TOTP jika anda tidak mempunyainya — Google Authenticator, Authy, atau Ente Auth semuanya pilihan kukuh. Authy dan Ente Auth menawarkan sandaran awan tersulit untuk kod anda.
  3. Imbas kod QR:Imbas kod QR yang dipaparkan pada skrin dengan aplikasi pengesah anda. Aplikasi akan menjana kod 6 digit yang menyegarkan setiap 30 saat. Masukkan kod semasa untuk mengesahkan persediaan berfungsi dengan betul.
  4. Simpan kod sandaran:Simpan kod sandaran anda dengan segera. Kebanyakan perkhidmatan menyediakan kod pemulihan sekali guna yang membolehkan anda mendapatkan semula akses jika anda kehilangan peranti pengesah anda. Simpan ini dalam pengurus kata laluan, cetak, atau tulis dan simpan di lokasi selamat berasingan dari peranti anda. Tanpa kod sandaran, kehilangan telefon anda boleh mengunci anda secara kekal dari akaun anda.

Soalan Lazim

Sebab itulah kod sandaran penting. Apabila anda menyediakan 2FA, kebanyakan perkhidmatan menyediakan kod pemulihan — kod sekali guna yang memintas 2FA. Gunakan satu untuk mendapatkan semula akses, kemudian sediakan 2FA semula pada peranti baharu anda. Jika anda menggunakan Authy atau Ente Auth, kod anda disimpan dalam storan awan tersulit dan boleh dipulihkan pada peranti baharu. Google Authenticator kini juga menyokong sandaran awan. Jika anda tiada kod sandaran dan tiada kaedah pemulihan, anda perlu melalui proses pemulihan akaun perkhidmatan tersebut, yang mungkin mengambil hari atau minggu dan memerlukan pengesahan identiti.

Sudah tentu ya. Walaupun ia terdedah kepada serangan SIM swap dan SS7, SMS 2FA menyekat sebahagian besar serangan automatik. Penyelidikan Google menunjukkan ia menghentikan 100% bot automatik dan 96% phishing pukal. Model ancaman realistik bagi kebanyakan orang tidak termasuk SIM swap yang disasarkan — itu terutamanya risiko untuk sasaran bernilai tinggi seperti pemegang mata wang kripto dan tokoh awam. Jika perkhidmatan hanya menawarkan SMS 2FA, dayakannya. Mana-mana 2FA jauh lebih baik daripada tiada 2FA.

Tiada kaedah 2FA yang 100% tidak boleh dipecahkan, tetapi kesukarannya berbeza-beza dengan banyak. Kod SMS boleh dipintas melalui SIM swap. Kod TOTP boleh di-phish dalam masa nyata dengan serangan canggih yang menyampaikan kod ke halaman log masuk sebenar. Walau bagaimanapun, kunci keselamatan perkakasan yang menggunakan FIDO2 adalah tahan phishing mengikut reka bentuk — kunci mengesahkan domain laman web secara kriptografi sebelum mengesahkan, menjadikan mustahil bagi laman phishing untuk memintas. Passkey mewarisi perlindungan yang sama. Bagi kebanyakan orang, 2FA berasaskan TOTP menyediakan perlindungan yang lebih daripada mencukupi terhadap ancaman realistik.

Idealnya ya, tetapi utamakan secara strategik. Akaun e-mel anda adalah yang paling kritikal — ia adalah mekanisme pemulihan untuk segala-galanya yang lain. Seterusnya, dayakan 2FA pada perbankan dan perkhidmatan kewangan, storan awan (Google Drive, iCloud, Dropbox), media sosial, mana-mana akaun dengan maklumat pembayaran tersimpan, dan pengurus kata laluan anda. Akaun keutamaan rendah tanpa data peribadi boleh dilangkau, tetapi matlamatnya seharusnya 2FA di mana-mana sahaja.

Kunci keselamatan perkakasan (YubiKey, Google Titan) yang menggunakan standard FIDO2/WebAuthn adalah bentuk 2FA yang paling selamat yang tersedia. Mereka tahan phishing mengikut reka bentuk, memerlukan pemilikan fizikal, dan tiada kod untuk dipintas atau disampaikan. Passkey menawarkan keselamatan serupa dengan kemudahan tambahan penyegerakan awan. Aplikasi pengesah TOTP adalah pilihan terbaik seterusnya — jauh lebih selamat daripada SMS. SMS adalah 2FA paling lemah tetapi masih jauh lebih baik daripada pengesahan kata laluan sahaja.

Ya, itulah tujuan reka bentuk mereka. Passkey menggabungkan kata laluan dan faktor kedua ke dalam satu langkah pengesahan tahan phishing tunggal. Daripada menaip kata laluan dan kemudian memasukkan kod, anda hanya mengesahkan dengan sensor biometrik atau PIN peranti anda. Kriptografi FIDO2 asas menyediakan keselamatan yang lebih kukuh daripada kata laluan + TOTP gabungan. Walau bagaimanapun, penerimaan passkey masih berkembang — bukan semua perkhidmatan menyokongnya lagi. Dalam tempoh peralihan, teruskan menggunakan 2FA tradisional (aplikasi pengesah atau kunci perkakasan) pada perkhidmatan yang belum menyokong passkey.