跳转到主要内容

什么是 2FA?双重身份验证指南

什么是 2FA?双重身份验证如何工作、五种 2FA 类型,以及如何在您最重要的账户上启用它。

最后更新: 2026年4月5日

仅靠密码不足以保护您的在线账户。数据泄露每年暴露数十亿凭证,即使是强密码也可能通过网络钓鱼、键盘记录器或暴力破解攻击被泄露。双重身份验证(2FA)增加了第二层防御 — 即使有人窃取了您的密码,没有第二因素他们仍然无法访问您的账户。本指南解释了什么是 2FA、每种方法如何工作、哪些类型最安全,以及如何在您最重要的账户上设置它。这是您可以采取的最有效的步骤之一,以保护您的数字生活。

双重身份验证的类型

短信代码

通过短信将一次性代码发送到您的电话号码。您在密码之后输入此代码以完成登录。短信 2FA 是最广泛可用的方法 — 几乎每个服务都支持它,并且不需要额外的应用或硬件。但是,由于易受 SIM 卡交换攻击(攻击者说服您的运营商将您的电话号码转移到他们的 SIM 卡)和可以拦截短信的 SS7 协议漏洞的影响,它是最弱的 2FA 形式。

  • 优点: 广泛支持、无需应用、适用于任何手机
  • 缺点: 易受 SIM 卡交换、SS7 拦截和针对电话运营商的社会工程攻击

身份验证器应用 (TOTP)

基于时间的一次性密码(TOTP)应用使用共享密钥和当前时间每 30 秒生成一个新的 6 位代码。流行的应用包括 Google Authenticator、Authy、Microsoft Authenticator 和 Ente Auth。TOTP 比短信安全得多,因为代码是在您的设备上本地生成的 — 没有可拦截的传输通道。这些代码可离线工作,并且不与您的电话号码绑定。这是大多数人推荐的 2FA 方法,在强大的安全性和易用性之间取得平衡。

  • 优点: 安全、可离线使用、有免费应用、不与电话号码绑定
  • 缺点: 没有备份代码丢失设备会将您锁定;网络钓鱼网站仍然可以实时捕获代码

硬件安全密钥

YubiKey、Google Titan 和 SoloKeys 等物理设备插入您的 USB 端口或通过 NFC 进行身份验证。硬件密钥使用 FIDO2/WebAuthn 标准,在设计上抵御网络钓鱼 — 密钥在身份验证之前以密码学方式验证网站的域,使网络钓鱼网站无法拦截。Google 要求所有员工使用硬件密钥,并报告自实施以来网络钓鱼攻击成功次数为零。密钥价格为 25-70 美元,是可用的最安全的 2FA 方法。

  • 优点: 最强安全性、抗网络钓鱼、无需电池、可离线工作、耐用
  • 缺点: 成本 25-70 美元、可能丢失或忘记、并非所有服务都支持

生物识别

指纹扫描仪(Touch ID)、面部识别(Face ID)和虹膜扫描仪使用您的物理特征作为身份验证因素。生物识别很方便 — 您始终随身携带它们,并且不会被遗忘。它们与许多设备和服务上的密码一起作为第二因素工作。但是,生物识别如果被泄露则无法更改(与密码不同),并且在许多司法管辖区可以被执法部门强制执行。设备之间的质量差异很大。

  • 优点: 方便、始终可用、快速身份验证、难以复制
  • 缺点: 如果被泄露无法更改、可被合法强制执行、质量因设备而异

Passkeys(密钥)

Passkeys 是最新的身份验证标准,旨在完全取代密码。基于 FIDO2/WebAuthn,passkey 使用公钥密码学 — 您的设备存储私钥,服务存储相应的公钥。身份验证通过您设备的生物识别传感器或 PIN 进行,无需输入、网络钓鱼或窃取密码。Apple、Google 和 Microsoft 已将 passkey 支持集成到他们的操作系统中。Passkey 通过 iCloud Keychain、Google Password Manager 或其他提供商在设备之间同步,将硬件密钥的安全性与生物识别的便利性相结合。

  • 优点: 抗网络钓鱼、无需记住密码、跨设备同步、快速
  • 缺点: 相对较新、尚未普遍支持、同步 passkey 的平台锁定问题

2FA 最佳实践

  1. 首先在您的电子邮件账户上启用 2FA — 它是您所有其他账户的主密钥。如果有人攻破了您的电子邮件,他们可以重置链接到它的每个服务上的密码。您的电子邮件是要用 2FA 保护的最重要的账户。
  2. 尽可能使用身份验证器应用而不是短信。TOTP 应用对 SIM 卡交换和 SS7 攻击免疫。如果服务只提供基于短信的 2FA,无论如何都要使用它 — 短信 2FA 仍然比没有 2FA 好得多。
  3. 将备份代码保存在安全、单独的位置。 将它们存储在密码管理器中(与受 2FA 保护的不同),打印出来并保存在保险箱中,或写在安全存放的纸上。永远不要将备份代码存储在与您的身份验证器同一设备上的未加密笔记中。
  4. 考虑为您最关键的账户使用硬件安全密钥 — 电子邮件、银行业务、云存储和密码管理器。YubiKey 5 NFC(50 美元)适用于 USB-A、USB-C 和 NFC,几乎涵盖每台设备。每个账户注册两个密钥,以便有备份。
  5. 定期审计哪些账户启用了 2FA。 使用密码管理器跟踪。优先顺序:电子邮件、银行和金融服务、云存储、社交媒体、保存付款方式的购物网站,以及任何工作或专业账户。

如何设置 2FA

为每个账户设置 2FA 只需不到五分钟。以下是基于身份验证器应用的 2FA 流程,这是大多数人推荐的方法:

  1. 打开安全设置:导航到您账户的安全设置。寻找"双重身份验证"、"两步验证"或"登录安全"。在 Google 上,前往 myaccount.google.com > 安全 > 两步验证。在 Apple 上,前往设置 > [您的姓名] > 登录与安全。
  2. 选择 2FA 方法:选择您的 2FA 方法。选择"身份验证器应用"以获得安全与便利的最佳平衡。如果您没有 TOTP 应用,请安装一个 — Google Authenticator、Authy 或 Ente Auth 都是可靠的选择。Authy 和 Ente Auth 提供加密的代码云备份。
  3. 扫描二维码:使用您的身份验证器应用扫描屏幕上显示的二维码。该应用将生成一个每 30 秒刷新一次的 6 位代码。输入当前代码以验证设置是否正常工作。
  4. 保存备份代码:立即保存您的备份代码。大多数服务提供一次性恢复代码,如果您丢失身份验证器设备,可以让您重新获得访问权限。将这些存储在密码管理器中、打印出来,或写下并保存在与设备分开的安全位置。没有备份代码,丢失手机可能会永久将您锁定在账户之外。

常见问题

这就是为什么备份代码至关重要。当您设置 2FA 时,大多数服务都会提供恢复代码 — 一次性使用的代码,可以绕过 2FA。使用一个重新获得访问权限,然后在新设备上重新设置 2FA。如果您使用 Authy 或 Ente Auth,您的代码会备份到加密的云存储中,可以在新设备上恢复。Google Authenticator 现在也支持云备份。如果您没有备份代码也没有恢复方法,您将需要通过服务的账户恢复流程,这可能需要几天或几周时间并需要身份验证。

绝对是。尽管它存在 SIM 卡交换和 SS7 攻击的漏洞,但短信 2FA 阻止了绝大多数自动化攻击。Google 的研究表明,它可以阻止 100% 的自动化机器人和 96% 的批量网络钓鱼。对大多数人来说,现实的威胁模型不包括有针对性的 SIM 卡交换 — 这主要是加密货币持有者和公众人物等高价值目标的风险。如果服务只提供短信 2FA,请启用它。任何 2FA 都比没有 2FA 好得多。

没有一种 2FA 方法是 100% 无法破解的,但难度差异很大。短信代码可以通过 SIM 卡交换被拦截。TOTP 代码可以通过复杂的攻击实时被钓鱼,这些攻击将代码中继到真正的登录页面。但是,使用 FIDO2 的硬件安全密钥在设计上抵御网络钓鱼 — 密钥以密码学方式验证网站的域,使网络钓鱼成为不可能。密钥(Passkeys)继承了同样的保护。对于大多数人来说,基于 TOTP 的 2FA 提供了足以抵御现实威胁的保护。

理想情况下是的,但要有策略地优先安排。您的电子邮件账户是最关键的 — 它是所有其他账户的恢复机制。接下来,在银行和金融服务、云存储(Google Drive、iCloud、Dropbox)、社交媒体、任何保存付款信息的账户以及密码管理器上启用 2FA。如果您不堪重负,可以跳过没有个人数据的低优先级一次性账户,但目标应该是处处使用 2FA。

使用 FIDO2/WebAuthn 标准的硬件安全密钥(YubiKey、Google Titan)是可用的最安全的 2FA 形式。它们在设计上抵御网络钓鱼,需要物理拥有,并且没有可拦截或中继的代码。密钥(Passkeys)提供类似的安全性,并增加了云同步的便利性。TOTP 身份验证器应用是下一个最佳选择 — 比短信安全得多。短信是最弱的 2FA,但仍然比仅密码身份验证好得多。

是的,这就是它们的设计意图。Passkeys 将密码和第二因素结合成一个抗网络钓鱼的身份验证步骤。无需键入密码然后输入代码,您只需使用设备的生物识别传感器或 PIN 进行身份验证。底层的 FIDO2 加密提供比密码 + TOTP 组合更强的安全性。但是,passkey 的采用仍在增长 — 并非所有服务都支持它们。在过渡期间,继续在尚不支持 passkey 的服务上使用传统的 2FA(身份验证器应用或硬件密钥)。