两因素身份验证（2FA）完整指南

两要素身份验证（通常称为“ 2FA”）是保护敏感的在线帐户免遭可能的欺诈者访问的最简单，最安全的方法之一。现在，一种保护帐户，许多顶级网站和服务提供商的简单方法为他们的客户提供2FA登录保护。

但是，使用2FA的人仍然相对较少，尽管选择了2FA保护，但选择不启用它。一家在线研究公司发现，令人震惊的是，有28％的用户经常使用2FA访问敏感帐户，其中只有54％的用户自愿使用2FA，而不是由服务提供商强制执行。

但是，双重身份验证不是一个新过程，尽管有些用户可能会觉得这是一个额外的麻烦，但是2FA是确保在线帐户基本安全的最关键步骤之一。

对于加密货币用户，数字资产的持有者以及那些通过在线交易所进行定期交易的人来说，确保你的信息安全是重中之重。使用2FA服务是该安全过程中重要的第一步。在这里，我们将指导你了解2FA是什么，最好的应用程序，2FA的局限性以及应该在何处提高安全性。

通过2FA对登录名或身份进行身份验证源自“多因素身份验证”（MFA）这一概念。多因素身份验证基于用户对他们的私人身份（例如PIN或宠物的名字）有特定的了解；拥有某些东西，例如他们的智能手机或银行卡；或他们所拥有的东西，例如指纹。

什么是两因素身份验证？

顾名思义，2FA仅需要其中两个因素即可对个人进行身份验证。对于大多数普通用户帐户的安全而言，这是完全足够的，并且比通过三个或更多步骤进行验证所需的时间少得多。这是2FA成为最受欢迎的验证形式的主要原因之一。

在这里我们将讨论2FA用于在线验证和身份验证软件时，你可能已经在日常生活中使用2FA。对于传统的银行服务提供商而言，芯片和PIN是两步验证过程的最基本形式之一，要求用户出示他们“拥有”的银行卡以及他们“知道的” PIN。 '。

在线交易（例如在网站中输入登录详细信息）时，你可能没有PIN或实体卡。那么，网站如何知道自己是谁，而不是黑客试图获得对你帐户的访问权？这就是使用现代2FA方法和应用程序的地方。让我们探讨一下这些系统如何工作。

我们已经探索了2FA背后的理论，现在让我们研究一下它在实践中是如何工作的。大多数身份验证器应用程序通过称为“基于时间的一次性加密货币”或“ TOTP”的方式工作。这是一种“软件令牌”，它是我们将在本文的大部分内容中讨论的2FA类型。

2FA如何工作？

请注意，区别在于，2FA“硬件令牌”是在物理专用硬件上生成的代码，例如带有小LCD屏幕的钥匙扣。这些单元现在不常用，因为它们价格昂贵，容易丢失或容易被盗。相反，让我们看看基于软件令牌的2FA系统如何与实际示例结合使用。

创建交易所帐户时，请在此处使用Binance，你可以选择打开2FA并使用身份验证器应用来验证你的登录信息。假设我们通过我们的Binance帐户使用Google Authenticator。币安将生成一个秘密密钥，然后你可以使用QR码通过移动设备对其进行扫描。你还可以使用其他许多身份验证器应用程序执行此操作，因为生成的密钥是TOTP标准化代码的一部分。

现在，这两个帐户已链接，除了你的身份验证器应用程序和服务提供商之外，没有人可以看到生成的代码。身份验证器应用程序将使用安全哈希函数将你的个人密钥与访问代码结合在一起。类似于哈希函数在区块链功能中的工作方式，身份验证者将使用加密货币哈希来验证来自交易所的请求，并生成唯一的六位数代码来访问你的帐户。

在此示例中，当你下次尝试登录Binance时，交易所将提示你输入2FA代码。此时，你将准备好手机并打开身份验证器应用程序，并查找标记为“币安”的6位代码。

两要素认证图

只需输入此代码，服务提供商就会授权你的登录。尽管有一些需要记住的地方，但实践起来很简单快捷。首先，由于这是一次性加密货币，因此通常会过期并每30秒生成一个新加密货币。

其次，如果你丢失了手机或身份验证器应用程序，则将无法再访问已关联的帐户。因此，非常重要的一点是，当你首次将身份验证器链接到新帐户时，请妥善保存由安装程序生成的16位恢复密钥。这使你可以快速还原帐户，而不必等待服务提供商手动验证你的身份。

最佳2FA身份验证器应用

有些站点为用户生成一种简单的2FA形式，例如通过电子邮件或SMS消息发送代码，而其他站点则寻求更高级解决方案的帮助。在这些情况下，网站或服务提供商将使用标准代码生成TOTP编号，可以使用专用的身份验证器应用程序将其显示出来。

这些身份验证器应用程序通常使用加密货币技术来确保用户数据的安全，它们可能需要PIN或生物识别数据才能访问，并且通常可以通过移动应用程序进行访问。让我们在下面查看最佳的身份验证器应用。

Authy由安全专家Daniel Palacio和Gleb Chuvpilo于2011年成立。自成立以来，它已发展成为市场上使用最广泛的身份验证器之一，通过Uber，LinkedIn和Gmail等服务为客户提供服务。

认证首页

Authy是2FA解决方案的领先提供商之一，可在Android和iOS上免费下载。作为最受好评的身份验证应用程序，Authy可以在多个设备之间同步。许多用户依赖Authy，因为它是专用于2FA的仅有的身份验证应用程序之一，而首先提供Microsoft和Google身份验证器等其他产品来访问他们自己的服务。

与Google Authenticator不同，Authy也可以与Windows桌面和Apple Watch一起使用。但是，如果用户不信任跨多个设备存储软件令牌，则可以随意禁用此功能。

Authy为用户提供的另一个强大功能是云中的加密货币备份。这意味着，如果你丢失了移动设备，只要启用了多设备功能，就可以从另一个链接的设备访问你的帐户。其他应用程序不提供此功能，因此，如果你丢失了手机，则必须重置所有身份验证码。

Authy是完全免费的，供最终用户下载和使用。 Authy通过与通过母公司Twilio购买软件解决方案的服务提供商和企业合作，而不是向用户收费，从而通过他们的服务获利。因此，Authy可能会一直保持免费服务。

计算巨头微软的官方身份验证器可在Android和iOS上使用，并允许将多个帐户添加到该应用中。正如你在屏幕快照中看到的那样，Microsoft Authenticator生成有效期为30秒的6位代码。

Microsoft Authenticator主页

与其他身份验证器一样，Microsoft的应用程序使用TOTP行业标准来生成身份验证代码。这意味着可以将使用同一标准的任何帐户添加到Microsoft Authenticator应用程序，而不管它是否属于Microsoft软件家族。但是，Microsoft的身份验证器仅适用于移动设备。

微软的Authenticator是一款简单实用的软件，尽管如此，它的使用程度却不如其他身份验证应用程序。

Google Authenticator软件是执行2FA的最常用和最简单的应用程序之一。与其他应用一样，Google的Authenticator使用TOTP标准加密货币算法来生成加密货币。

Google两步验证

为了支持Google Authenticator应用程序，服务提供商必须为每个用户生成高度安全的80位密钥，以使该应用程序能够生成HMAC-SHA1加密货币消息或代码。

Google Authenticator最初是通过开放源代码许可证发布的，现已成为专有软件，这可能表明Google认为2FA市场在未来几年内将有多大。但是，尽管具有专有性，但Google Authenticator应用程序目前完全可以免费下载和使用。

Google身份验证器目前仅在移动设备上可用，与Authy不同，它不能在台式机上使用。尽管如此，它仍可以安装在Android和iOS设备（包括平板电脑和iPad）上。

哪些站点已在使用2FA？

有数千个站点支持2FA。这些包括主要的社交媒体网站，例如Facebook，Twitter，LinkedIn和Instagram，以及eBay，Etsy和Shopify等零售商。近年来，支持基于软件令牌的2FA的网站数量正在迅速增长。

支持两因素身份验证的流行服务

尽管如此，仍有一些主要网站尚不支持软件令牌2FA。尽管与付款方式相关联并持有个人地址详细信息，但中国零售业巨头速卖通不支持其网站上的2FA。同样，美国领先的流媒体服务Netflix不支持2FA登录，令人惊讶的是，音乐流媒体服务Spotify也不支持。

因此，我们可能会问，是否每个网站或每个用户都需要启用2FA？如果你仅访问安全性不是首要问题的网站，则可能不需要通过2FA进行身份验证的额外登录步骤。取而代之的是，还有其他容易验证登录名的方式，例如生物指纹扫描或面部识别。也就是说，仍然强烈建议你在所有帐户上启用2FA

电子邮件和短信身份验证VS。身份验证应用

你可能会想，当公司可以简单地将代码发送到关联的电子邮件帐户或通过SMS发送代码时，为什么要麻烦下载2FA专用应用程序呢？这是一个很大的问题，因为SMS和基于电子邮件的身份验证方法比完全没有两步身份验证的方法更安全。

但是，在保护帐户方面，SMS和电子邮件的安全性远不及专用身份验证器。这是黑客可以绕过简单的SMS或电子邮件身份验证方法的一些方法。

• Sim交易所– Sim交易所变得越来越有问题。本质上，SIM卡交易所是罪犯联系你的移动网络运营商并要求将你的号码转移到新的SIM卡上。尽管你可能会质疑运营商为什么会允许这样做，但是通常的做法是，如果用户丢失了手机并希望保留其原始电话号码，自然，一旦欺诈者获得了你的电话号码，每条针对你的短信都会发送给他们。如果基于SMS的2FA是你帐户的唯一保护，并且该黑客已经拥有你的用户名和加密货币，则他们现在可以完全访问你的帐户。如果这是一个交易所帐户，例如Bitmex，他们可以提取你的所有资金。这是大多数交易所帐户将警告不要使用基于SMS的身份验证方法的主要原因。
• 电子邮件入侵–受欢迎的网站“我被入侵了吗？”是一个庞大的数据库，其中包含世界范围内所有最大的数据泄露事件。除非你是一个非常细致的用户，否则你可能会发现在某些时候你的数据已被泄露。当你注册使用电子邮件地址的网站遭到破坏，并且用户数据被盗时，就会发生数据泄露。在最坏的情况下，这可能包括付款和身份信息，但是黑客经常窃取用户名，电子邮件和加密货币。如果你像大多数用户一样，则可能会对多个站点重复使用完全相同的加密货币或相似的加密货币。这是黑客的梦想-因为如果他们一次入侵就知道你的电子邮件和加密货币，他们就可以使用它来访问你的电子邮件。我们在这里探讨了为什么你需要安全的加密货币管理器；但是出于基于电子邮件的2FA的目的，最好假设你的帐户可能遭到入侵。

取而代之的是，如我们所检查的，身份验证器在单独的设备上提供加密货币的安全性。如果黑客想要访问你的交易所帐户（例如受Google 2FA保护），则他们必须实际拥有你的移动设备，或者成为经验丰富的黑客。

如果你的2FA身份验证器应用程序也受到生物识别标记（例如指纹）的保护，那么黑客将更难获得访问权限。但是，2FA并不是防弹的。在某些情况下，违反2FA。

没有技术是绝对可靠的，并且2FA也不例外。在某些情况下2FA无法保护用户帐户-但这并不意味着你不应该使用它。让我们看看在某些情况下2FA被证明是易受攻击的，以及为什么。

第一个也是最重要的漏洞是直接的网络钓鱼攻击。 FBI最近警告用户，黑客可能使用“中间人”型网络钓鱼攻击来诱使用户将其登录详细信息和加密货币输入假网站。

2FA在哪里失败？

此类网站可能会通过看起来完全真实的电子邮件进行链接，然后将这些信息转发到真实网站，然后允许黑客访问你的帐户。这是一种利用社交工程的攻击类型。尽管看起来很简单，但是社交工程是对用户数据和黑客帐户进行网络钓鱼的最有效形式之一。

本质上，社会工程学依赖于这样一个事实，即普通用户不会注意到他们被重定向到了一个伪造的网站，该网站的URL可能没有明显的不同，例如，“ gmaiI（dot）com”，其中“ L”实际上是大写的“ i”。这些类型的攻击很常见，对于普通用户而言，很难检测到它们。

数字安全公司Knowbe4警告说，黑客通常只会在用户的会话令牌之后使用。这是为用户在网站上启动的每个会话（例如，LinkedIn或Facebook）生成的唯一cookie。然后，黑客可以窃取会话令牌并使用它劫持用户的合法会话-访问其所有私人数据。

KnowBe4主页

Knowbe4还警告说，更高级的黑客可以创建重复的代码生成器。在这种情况下，攻击者可以了解用于生成身份验证代码的种子编号和算法，并使用它们来生成与受害者相同的代码。如果攻击者已经知道你的用户名或加密货币，则他们可以使用此方法完成2FA身份验证。

这些似乎令人担忧，但是除非你是一个备受瞩目的目标，否则黑客不太可能使用这些昂贵且费时的方法来破坏你的帐户。同样，在根本没有使用2FA的情况下，黑客可以更快地访问用户帐户，并产生灾难性的影响-让我们研究一下2FA可以提供帮助的一些最引人注目的黑客。

2FA可以防止的黑客攻击

在2016年底至2017年初，美国消费者信用报告机构Equifax经历了一次数据泄露，导致大量欺诈性税收索赔。在此漏洞中，黑客访问了简单的4位数PIN码，该加密货币已发给平台的员工以访问其记录。

Equifax –来源：Shutterstock.com

在获取此信息并成功回答了个人问题后，犯罪分子获得了从“工资相关服务”中窃取的税后数据。然后，这些数据被用来以雇员的名义提出欺诈性的退税申请，以窃取退税。

如果Equifax为这些员工配备了2FA，而不是简单的PIN码，那么黑客极不可能取得如此成功。同样，这也表明我们的个人信息（例如安全性问题）没有我们想象的那么安全或机密。

类似的情况发生在多个受欢迎的站点上，并在2016年影响了Citrix的GoToMyPC。许多站点遭受大规模违规，用户使用其用户名和加密货币被盗。尽管这些将LinkedIn和MySpace列为排名的网站识别了这些黑客并通知了所有用户，但这些被盗的信息仍在暗网中上架来出售。

GoToMyPC主页

结果，攻击者试图利用这些信息来访问“ GoToMyPC”上的帐户，“ GoToMyPC”是一个远程桌面软件提供商，允许用户从其他计算机访问其PC桌面。自然，这是对黑客极具吸引力的目标，这是由于大多数人的加密货币安全性较差所致。漏洞已被发现，但在攻击者设法访问某些用户的帐户之前就没有发现。

但是，如果在这种情况下启用了2FA，则攻击者将无法越过初始的GoToMyPC登录页面。从那以后，LinkedIn和GoToMyPC均已实施2FA登录身份验证。

• 为你的在线帐户增加了一层安全保护
• 对交易所资金安全至关重要
• 比短信或电子邮件身份验证更好
• 并非万无一失，但安全性大大提高
• 与加密货币管理器结合使用时，可确保帐户的安全性

• 在登录过程中增加了一个额外的步骤
• 如果你丢失了身份验证器应用，则可能很难访问你的帐户

简短的答案是肯定的。尽管某些用户可能会因所需的额外登录步骤而被推迟，但2FA无疑为你的在线帐户提供了重要的额外安全层。

将2FA视为选择在车辆中使用安全带。每个人都知道，安全带会增加他们在撞车事故中生存的机会。虽然这不是绝对的安全保证，但它是额外的基本保护层。

结论–来源：Shutterstock.com

同样，虽然2FA无法保证你的帐户不会受到侵害，但这使黑客更难获得访问权限。因此，就像你为不开车而系上安全带而发疯一样，你也为不使用2FA解决方案来保护自己的在线帐户而发疯一样。

也就是说，很难选择最佳的身份验证器应用。总体而言，我们上面讨论的每个身份验证器应用程序都是出色的全方位选择，可为你的帐户增加一层保护。但是，所有用户还应考虑结合使用2FA应用程序和加密货币管理器，并确保使用足够强的PIN或生物识别代码来访问你的移动设备。

我们还建议使用安全的浏览器和信誉良好的VPN服务，以进一步提高在线安全性和隐私性。

—-

编译者/作者：不详

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。