多因素身份验证:如何启用2FA并增强您的安全
多重身份验证:如何开启2FA并提升您的安全性
你距离在线生活彻底颠倒只差一个数据泄露。问题在于密码,这是保护有价值资源的脆弱方式。
特别关注
保护数字资产的网络安全最佳实践
面对现实吧:无论何时何地,你的个人和商业数据都面临威胁。在你网购、网银和在线娱乐的同时,保护这些数字资产仍然是头等大事。好消息是:现在比以往任何时候都有更多注重安全的工具和策略可供选择。ENBLE的最新网络安全指南提供实用的提示,让你在不断威胁的网络环境中保持安全与高效。
不要被一种错误的安全感所蒙蔽,即认为创建一个更长、更复杂、更难猜测的密码会让你在网上更安全。你可以创建一个需要五分钟输入才能完成的超长复杂密码,但如果你使用该密码的服务不正确地存储它,然后他们的服务器被攻破,那么这个密码对你来说毫无保护作用。这种情况时有发生。
即使采取合理的策略确保密码强度强、随机生成且不重复使用,人们仍然是安全链中最薄弱的一环。社交工程可以说服即使是聪明人在钓鱼网站上输入他们的凭据,或通过电话提供凭据。
解决方案是双重身份验证,也称为2FA。(一些服务对细节非常严格,将其称为多因素身份验证或两步验证,但2FA是最常用的术语,所以我选择在这里使用这个术语。)
为一个服务启用2FA会改变安全要求,强制你在访问安全服务时提供至少两个身份证明。这两种身份验证可以来自以下至少两个元素的任意组合:
- “你所知道的”,比如密码或PIN码
- “你所具有的”,比如指纹或其他生物特征ID
- “你所拥有的”,比如能够生成或接收确认码的受信任的智能手机,或者基于硬件的安全设备
如果有人窃取了你的密码,并尝试从一个未知设备登录,他们需要提供第二种身份验证方式,通常以数字代码的形式。如果登录请求来自窃取了我的帐户凭据的人,他们将被完全拦阻。如果没有那个代码,他们就无法继续登录过程。
在很大程度上,你今天看到的双重身份验证系统使用第一项(你的密码)和最后一项(你的智能手机)。智能手机已经无处不在,使其成为理想的安全设备。
你的智能手机可以通过提供一个你用于登录的唯一代码来辅助身份验证。你可以通过以下两种方式获得该代码:使用服务发送的短信,或由你手机上安装的应用程序生成。(某些服务还允许你在智能手机上批准推送通知。)
微软的一份报告得出结论,2FA能够有效地阻止99.9%的自动攻击。如果服务提供商支持多因素身份验证,微软建议使用它,即使它只是简单的基于短信的一次性密码。谷歌的一份单独的报告也得出了类似的结论。
此外:停止使用浏览器内置的密码管理器。以下是原因
双因素认证将有效地阻止大多数随意的攻击。虽然如此,并非完美无缺。一个决心攻击特定账户的入侵者可能会找到绕过双因素认证的方式,特别是如果他们能够劫持用于恢复的电子邮件账户,或者将电话和短信重定向到他们控制的设备上。但是,如果有人如此决心地想要侵入您的账户,您就有更大的问题了。
准备好开始了吗?设置大多数在线服务的额外安全性所需的技术要求很低。如果您可以使用智能手机的相机,输入六位数的数字,并在对话框中点击确定,那您所需的技能已经足够了。最困难的部分是找到具有相关设置的页面。
以下是有关如何启用2FA来提升您的安全性的所有所需信息。
如何使用手机或电子邮件地址设置2FA?
如果您使用短信,您只需要将手机与您的账户关联起来。(您还可以使用虚拟电话线路,例如Google Voice号码,来接收短信。)配置账户,在您在不受信任的设备上登录时向该号码发送验证码。例如,下面的截图展示了在在线资金平台Wise上启用此选项的样子。
最简单的2FA选项是通过短信发送到注册手机的验证码。这是转账服务Wise的2FA设置页面。
当您首次在某个账户上设置此形式的2FA时,通常需要重新输入密码,然后输入您希望接收验证代码的手机号码。完成该过程后,您将在该设备上收到一个代码。输入该代码以确认您已收到它,2FA设置就完成了,服务将该设备标记为可信任。(这也是生成恢复代码的好时机,将其打印出来并将该代码存放在安全的地方,以便在主要2FA方式不可用时进行恢复。)
一些服务允许您设置一个可信任的电子邮件地址来接收验证代码。该过程与使用短信的过程完全相同。输入您首选的电子邮件地址,等待代码在您的电子邮件应用中到达,并输入代码以确认此方法有效。
如何使用身份验证器应用程序设置2FA?
要将身份验证器应用程序设置为可信任设备,您首先必须证明您可以使用密码登录到服务中,然后使用生物特征或PIN码证明您所说的人正是您自己。
初始配置过程需要数据连接。之后,一切都在您的设备上进行。这个过程受到一个被广泛接受的标准的控制 —— 基于时间的一次性密码算法(TOTP),它将身份验证器应用程序作为一个复杂的计算器,使用您设备上的当前时间和共享密钥生成代码。在线服务使用相同的密钥和其自己的时间戳生成代码,然后将其与您输入的代码进行比较。连接的双方都可以适应时区,没有问题,但是如果您设备的时间不正确,您的代码将无法通过验证。
要开始,您首先需要在您想要用作第二身份验证因素的移动设备上安装身份验证器应用程序。以下是一些可供您考虑的身份验证器应用程序:
- 如果您使用iOS设备,您可以在App Store中获取Google Authenticator应用程序。(它专为iPhone优化,但在iPad上也可以使用。)在Android设备上,从Google Play Store安装Google Authenticator应用程序。
- Microsoft Authenticator应用程序使用相同的标准创建身份验证令牌,可在Android设备上从Google Play Store获取,也可在iOS设备上从App Store获取。
- Twilio Authy也可在App Store和Google Play Store中获取。
- 如果您使用1Password作为密码管理器,2FA支持内置在所有平台的1Password应用中。有关如何使用一次性密码功能的详细信息,请参阅此1Password支持页面。一个受欢迎的开源选项,Bitwarden,提供类似的功能。
另外:如何将Microsoft Authenticator用作密码管理器
在您为设备安装应用程序之后,下一步是将其设置为与启用了两步验证的每个帐户配合使用。
设置过程通常要求您使用移动应用程序输入共享密钥(一个长文本字符串)。上面列出的所有移动应用程序都支持使用智能手机相机拍摄QR码的图片,其包含了帐户的共享密钥。这比手动输入复杂的字母数字字符串要容易得多。
例如,下面的屏幕截图是我在设置Dropbox帐户时看到的QR码。
在您的智能手机应用程序中,选择添加一个新帐户的选项,然后拍摄一张条形码的照片,以自动设置2FA支持。
在您的验证码应用程序中,选择添加一个新帐户的选项,选择条形码选项,用智能手机对准计算机屏幕上的条形码,然后等待应用程序填写所需的字段。
在验证码应用程序中设置帐户后,它将根据共享密钥和当前时间生成代码。完成设置过程时,输入验证码应用程序中的当前代码。
下次您尝试使用新设备或Web浏览器登录时,您将需要输入验证码应用程序显示的当前代码。
一些2FA设置包括生成用于与不支持现代认证的旧应用程序配合使用的特殊应用程序密码的选项。您帐户的安全设置应该指导您完成该过程。(但是实际情况是,如果您正在使用太过时需要应用程序密码的应用程序,则表示您生活在更新世纪,应该将其替换为现代化的替代品。)
作为2FA设置过程的一部分,您还应该生成一种或多种恢复代码,您可以将其打印出来并存放在安全的地方。如果您的智能手机丢失或损坏,您可以使用这些代码恢复对您的帐户的访问权限。
如何将2FA帐户转移到新的智能手机?
如果您将短信短信作为第二个身份验证因素,将您的号码转移到新手机将无缝转移您的2FA设置。
另外:您现在可以购买的最佳手机
某些验证码应用程序允许您在多个设备上生成代码。 1Password和Authy都属于这个类别。在新手机上设置应用程序,安装应用程序,登录,然后检查每个帐户以确认在新手机上生成的代码正常工作。Microsoft Authenticator允许您将代码备份到云端并在新设备上恢复它们。有关逐步说明,请参见“在验证码应用程序中备份和恢复帐户凭证。”,Authy提供类似的功能。
然而,对于Google Authenticator和其他简易应用程序,您需要在新设备上手动重新创建每个帐户。在新设备上安装验证码应用程序,然后为您与旧手机一起使用的每个帐户重复设置过程。以这种方式在新的验证码应用程序上设置帐户将自动禁用由旧设备生成的代码。
2FA是不是很麻烦?
为服务启用2FA会更改安全要求,强制您在首次在未知设备上访问安全服务时提供至少两个身份验证凭据。成功完成挑战之后,您通常可以将该设备分类为受信任设备,这意味着您在定期使用的设备上的2FA请求应该相对较少。
支持2FA的大多数(但不是全部)服务都提供选择身份验证方法的选择。例如,Google和Microsoft都可以将通知推送到受信任设备;您点击通知以批准登录。越来越多的服务支持使用硬件安全密钥(请参见:“YubiKey亲身试用:基于硬件的2FA更安全,但请注意这些陷阱。”)
哪种身份验证方法最好?
最好的身份验证方法是你最熟悉和最舒适的方法,前提是你有选择的余地。在可能的情况下,你应该设置至少两种验证选项,以避免被锁定账户的风险。
如果有选择的话,我更喜欢使用身份验证器 App 而不是通过短信接收代码,你也应该这样做,原因有两个。第一个原因是简单的逻辑问题。有时你可以访问互联网(通过 WLAN 连接或 Wi-Fi),但无法接收短信,因为你的移动信号很弱或根本没有信号,或者在旅行时使用的是不同的 SIM 卡。第二个原因是攻击者有一小部分实际机会通过社交工程手段侵入你的移动运营商防线,以获取带有你手机号码的 SIM 卡,这个过程称为 SIM 卡交换或 sim 卡劫持。
此外: 今天加强你的 Android 手机安全性的 5 个快速提示
最流行的双重身份验证 App 是 Google Authenticator,在 iOS 和 Android 上都可用。但由于生成安全令牌的过程基于开放标准,还有很多替代方案!一个备受推崇的替代方案是 Authy,这是一个免费的跨平台身份验证器 App,可以在多个设备上管理代码,并具备备份和同步凭据的功能。
或许你根本不需要专门的身份验证器 App。越来越多的密码管理器(如 Bitwarden 和 1Password)已包含生成双重身份验证代码并与密码库一同同步的功能。
如果你愿意,也可以在可信设备上混搭多个身份验证器 App。我通常使用 1Password 来保存大多数站点和服务的密码和双重身份验证代码,使登录变得更无缝。但是,对于高价值账户,包括在新设备上设置 1Password 的验证代码,我使用单独的 Microsoft Authenticator App。你可以在这里了解更多关于你可以选择的身份验证器 App 的详细信息: “保护自己:如何选择合适的双重身份验证器 App.”
我怎样知道哪些服务支持双重身份验证?
在我十多年前开始写关于这项技术时,双重身份验证的支持相对较少。如今,它已成为常见的功能,并越来越成为有安全意识的客户向在线服务需求的核心功能。
- Google 账户,包括个人 Gmail 和企业 Google Workspace 账户,提供多种双重验证的选择,并现在支持密码。这个支持页面会帮助你入门: 2-步验证 (google.com)
- 所有微软账户,包括用于 Outlook.com、Xbox、Skype 和其他消费者服务的免费账户,都支持多种由账户持有者直接管理的身份验证选项。你可以参考这篇文章:“如何在 Microsoft 账户中使用两步验证”。
- Microsoft 365 商业和企业订阅的管理员使用微软基于云的身份和访问管理平台 Entra ID(以前称为 Azure Active Directory)来管理用户身份验证。如果你的 IT 部门启用了此功能,请按照这些说明操作:“为 Microsoft 365 登录设置多重身份验证”。
- 对于苹果账户,双重身份验证要求你在首次在新设备上登录时提供一个由六位数字组成的验证码。苹果假定你有另一个可信任的苹果设备可用。(如果你无法访问已登录到你的苹果账户的其他设备,你可以使用一个可信任的电话号码。)官方说明可在这篇 Apple 支持文章中查看:“Apple ID 的双重身份验证”。
双因素认证在社交媒体服务(Facebook、X/Twitter、Instagram等)中无处不在。任何值得考虑的在线存储服务都支持双因素认证,大多数域名注册商和网站托管公司也是如此。如果您对特定服务不确定,最好的查询方式是访问一个名为“2FA目录”的出色的开源信息库,由一家名为“2factorauth组织”的瑞典非盈利机构运营,并在GitHub上进行维护。
如果您依赖的重要服务不支持双因素认证,那么也许您应该考虑切换到支持该功能的服务。
首先应该保护哪些服务?
您可能在许多支持双因素认证的在线服务上都有登录凭据,所以最好的策略是创建一个优先级列表并逐个处理。我建议按照以下优先顺序进行:
密码/身份管理器:使用密码管理器可能是确保您为每个服务设置了强密码的最重要方法,但这也会创造一个攻击的单一点。添加双因素认证可以弥补这种潜在弱点。请注意,对于某些密码管理软件,双因素认证支持是一项付费选项。
Microsoft、Google和Apple账户:如果您使用这些主要平台公司的服务,添加双因素认证支持至关重要。幸运的是,这也很容易。(有关详细说明的链接,请参阅前面的部分。)
电子邮件账户:如果恶意用户能够接管您的电子邮件账户,他们通常可以造成严重后果,因为电子邮件是发送密码重置链接的标准方式。从被入侵的电子邮件账户发送的邮件还可以用于攻击您的朋友和同事(例如发送带有恶意软件的附件)。如果您使用Outlook.com、Exchange Online、Gmail或Google Workspace,您的电子邮件账户将使用与您的Microsoft或Google账户相关联的身份验证方法。如果您使用其他电子邮件服务,您将需要单独设置双因素认证。
社交媒体账户:与电子邮件一样,在被黑客攻击的Facebook或Instagram账户上最大的风险是这些账户可能被用来对付您的朋友和关系。即使您只是一个很少在社交媒体上发布内容的潜水者,您也应该保护这些账户。
银行和金融机构:大多数银行和信用卡公司都在后台投资了大量防欺诈程序,这就是为什么相对于其他类别,双因素认证选项通常较少的原因。尽管如此,探索这些设置并尽可能加强它们的安全性是值得的。
购物和在线商务:任何您已保存信用卡号码的网站都应该得到安全保护。
