跳至主要內容

什麼是 2FA?雙因素驗證指南

什麼是 2FA?雙因素驗證如何運作、2FA 的五種類型,以及如何在您最重要的帳戶上啟用它。

最後更新: 2026年4月5日

僅有密碼不足以保護您的線上帳戶。資料外洩每年暴露數十億的憑證,即使是強密碼也可能通過釣魚、按鍵記錄器或暴力攻擊而被洩漏。雙因素驗證(2FA)增加了第二層防禦——即使有人竊取了您的密碼,沒有第二個因素,他們也無法存取您的帳戶。本指南解釋了什麼是 2FA、每種方法如何運作、哪些類型最安全,以及如何在您最重要的帳戶上設定它。這是您可以採取的最有效的單一步驟之一,以保護您的數位生活。

雙因素驗證的類型

SMS 程式碼

一次性程式碼通過簡訊發送到您的電話號碼。您在密碼之後輸入此程式碼以完成登入。SMS 2FA 是最廣泛可用的方法——幾乎每項服務都支援它,並且不需要任何額外的應用程式或硬體。然而,由於 SIM swap 攻擊(攻擊者說服您的營運商將您的電話號碼轉移到他們的 SIM 卡)和可以截獲簡訊的 SS7 協定漏洞,它是最弱的 2FA 形式。

  • 優點: 廣泛支援,無需應用程式,可在任何手機上運作
  • 缺點: 易受 SIM swap、SS7 截獲以及針對電話營運商的社交工程攻擊

身份驗證器應用程式(TOTP)

基於時間的一次性密碼(TOTP)應用程式使用共享密鑰和當前時間每 30 秒生成一個新的 6 位數程式碼。流行的應用程式包括 Google Authenticator、Authy、Microsoft Authenticator 和 Ente Auth。TOTP 比 SMS 安全得多,因為程式碼是在您的裝置本地生成的——沒有可截獲的傳輸通道。程式碼可以離線工作,並且不與您的電話號碼綁定。這是大多數人推薦的 2FA 方法,平衡了強大的安全性和易用性。

  • 優點: 安全、具備離線功能、有免費應用程式可用、不與電話號碼綁定
  • 缺點: 沒有備用程式碼丟失裝置會將您鎖住;釣魚網站仍然可以即時捕獲程式碼

硬體安全金鑰

YubiKey、Google Titan 和 SoloKeys 等實體裝置插入您的 USB 連接埠或通過 NFC 點擊進行身份驗證。硬體金鑰使用 FIDO2/WebAuthn 標準,這在設計上具有抵抗釣魚的能力——金鑰在身份驗證之前以加密方式驗證網站的域名,使釣魚網站不可能截獲。Google 要求所有員工使用硬體金鑰,並報告自實施以來零成功的釣魚攻擊。金鑰價格為 25-70 美元,是可用的最安全 2FA 方法。

  • 優點: 最強的安全性、抵抗釣魚、無需電池、離線工作、耐用
  • 缺點: 價格 25-70 美元、可能遺失或遺忘、並非所有服務都支援

生物識別

指紋掃描器(Touch ID)、面部識別(Face ID)和虹膜掃描器使用您的身體特徵作為身份驗證因素。生物識別很方便——您始終隨身攜帶並且不會忘記。它們在許多裝置和服務上作為密碼旁邊的第二因素工作。然而,如果生物識別被洩漏則無法更改(與密碼不同),並且在許多司法管轄區可能被執法部門強制使用。品質在裝置之間差異很大。

  • 優點: 方便、始終可用、快速驗證、難以複製
  • 缺點: 如果洩漏無法更改、可能在法律上被強制、品質因裝置而異

Passkey

Passkey 是最新的身份驗證標準,旨在完全取代密碼。建立在 FIDO2/WebAuthn 之上,passkey 使用公鑰加密——您的裝置儲存私鑰,而服務儲存對應的公鑰。身份驗證通過您裝置的生物識別或 PIN 進行,沒有密碼可供輸入、釣魚或竊取。Apple、Google 和 Microsoft 已將 passkey 支援整合到他們的作業系統中。Passkey 通過 iCloud Keychain、Google Password Manager 或其他供應商在裝置之間同步,將硬體金鑰的安全性與生物識別的便利性結合在一起。

  • 優點: 抵抗釣魚、無需記住密碼、跨裝置同步、快速
  • 缺點: 相對較新、尚未普遍支援、同步 passkey 的平台鎖定問題

2FA 最佳實踐

  1. 首先在您的電子郵件帳戶上啟用 2FA——它是您所有其他帳戶的主鑰匙。如果有人洩漏了您的電子郵件,他們可以重置與其關聯的每項服務的密碼。您的電子郵件是用 2FA 保護的最重要的單一帳戶。
  2. 盡可能使用身份驗證器應用程式而不是 SMS。 TOTP 應用程式對 SIM swap 和 SS7 攻擊免疫。如果某項服務只提供基於 SMS 的 2FA,無論如何都要使用它——SMS 2FA 仍然比根本沒有 2FA 好得多。
  3. 安全且分開地儲存備用程式碼。 將它們儲存在密碼管理器中(與受 2FA 保護的密碼管理器不同),列印出來放在保險箱中,或寫在安全儲存的紙上。永遠不要將備用程式碼儲存在與您的身份驗證器位於同一裝置上的未加密筆記中。
  4. 考慮為您最關鍵的帳戶使用硬體安全金鑰——電子郵件、銀行、雲端儲存和密碼管理器。YubiKey 5 NFC(50 美元)可與 USB-A、USB-C 和 NFC 一起使用,涵蓋幾乎所有裝置。為每個帳戶註冊兩個金鑰以便有備份。
  5. 定期審查哪些帳戶啟用了 2FA。 使用密碼管理器來追蹤。優先順序:電子郵件、銀行和金融服務、雲端儲存、社交媒體、儲存付款方式的購物網站,以及任何工作或專業帳戶。

如何設定 2FA

為每個帳戶設定 2FA 只需不到五分鐘。以下是基於身份驗證器應用程式的 2FA 流程,這是大多數人推薦的方法:

  1. 開啟安全設定:前往您帳戶的安全設定。尋找「Two-Factor Authentication」、「2-Step Verification」或「Login Security」。在 Google 上,前往 myaccount.google.com > Security > 2-Step Verification。在 Apple 上,前往 Settings > [Your Name] > Sign-In & Security。
  2. 選擇 2FA 方法:選擇您的 2FA 方法。選擇「Authenticator App」以獲得最佳的安全性和便利性平衡。如果您沒有 TOTP 應用程式,請安裝一個——Google Authenticator、Authy 或 Ente Auth 都是不錯的選擇。Authy 和 Ente Auth 提供您程式碼的加密雲端備份。
  3. 掃描 QR 碼:使用您的身份驗證器應用程式掃描螢幕上顯示的 QR 碼。應用程式將生成每 30 秒重新整理一次的 6 位數程式碼。輸入當前程式碼以確認設定是否正常運作。
  4. 儲存備用程式碼:立即儲存您的備用程式碼。大多數服務提供一次性恢復程式碼,如果您遺失驗證裝置,可以讓您重新獲得存取權。將它們儲存在密碼管理器中、列印出來,或寫下來並保存在與您的裝置分開的安全位置。沒有備用程式碼,遺失手機可能會永久將您鎖在帳戶之外。

常見問題

這就是為什麼備用程式碼很重要。當您設定 2FA 時,大多數服務提供恢復程式碼——繞過 2FA 的一次性程式碼。使用一個來重新獲得存取權,然後在您的新裝置上重新設定 2FA。如果您使用 Authy 或 Ente Auth,您的程式碼會以加密方式備份到雲端,並可以恢復到新裝置。Google Authenticator 現在也支援雲端備份。如果您沒有備用程式碼和恢復方法,您將需要通過服務的帳戶恢復流程,這可能需要幾天或幾週,並可能需要身份驗證。

絕對是的。儘管有 SIM swap 和 SS7 攻擊的漏洞,SMS 2FA 可以阻止絕大多數自動攻擊。Google 的研究表明,它可以阻止 100% 的自動機器人和 96% 的大量釣魚攻擊。大多數人的現實威脅模型不包括有針對性的 SIM swap——這主要是高價值目標(如加密貨幣持有者和公眾人物)的風險。如果某項服務只提供 SMS 2FA,請啟用它。任何 2FA 都比沒有 2FA 好得多。

沒有 2FA 方法是 100% 無法滲透的,但難度差異很大。SMS 程式碼可以通過 SIM swap 截獲。TOTP 程式碼可以通過將程式碼中繼到真實登入頁面的複雜攻擊進行即時釣魚。然而,使用 FIDO2 的硬體安全金鑰在設計上具有抵抗釣魚的能力——金鑰在身份驗證之前以加密方式驗證網站的域名,使釣魚網站不可能截獲。Passkey 繼承了相同的保護。對於大多數人來說,基於 TOTP 的 2FA 對現實威脅提供了綽綽有餘的保護。

理想情況下是的,但要策略性地優先考慮。您的電子郵件帳戶最為重要——它是其他所有帳戶的恢復機制。然後,在銀行和金融服務、雲端儲存(Google Drive、iCloud、Dropbox)、社交媒體、任何儲存付款資訊的帳戶以及您的密碼管理器上啟用 2FA。沒有個人資料的低優先順序帳戶您可以跳過,但目標應該是到處都有 2FA。

使用 FIDO2/WebAuthn 標準的硬體安全金鑰(YubiKey、Google Titan)是可用的最安全 2FA 形式。它們在設計上具有抵抗釣魚的能力,需要物理擁有,並且沒有程式碼可供截獲或中繼。Passkey 提供類似的安全性,並具有雲端同步的額外便利性。TOTP 身份驗證器應用程式是次優選擇——比 SMS 安全得多。SMS 是最弱的 2FA,但仍比僅密碼驗證好得多。

是的,這就是它們的設計意圖。Passkey 將密碼和第二因素結合到一個抵抗釣魚的身份驗證步驟中。您不需要輸入密碼然後輸入程式碼,只需使用裝置的生物識別或 PIN 進行驗證。底層的 FIDO2 加密提供比密碼 + TOTP 組合更強的安全性。然而,passkey 的採用仍在增長中——並非所有服務都支援它們。在過渡期間,繼續在尚未支援 passkey 的服務上使用傳統 2FA(身份驗證器應用程式或硬體金鑰)。