双因素认证 (2FA: Two-Factor Authentication) 是指在登录时,除密码外还要求提供另一个认证因素的安全手段。通过将"你知道的东西 (密码)"与"你拥有的东西 (手机)"或"你本身 (指纹)"相结合,即使密码泄露也能阻止未授权登录。
Google 的调查显示,仅启用 SMS 验证码的 2FA 就能阻止 100% 的自动化机器人攻击和 96% 的钓鱼攻击。这个数字充分说明了仅靠密码认证是多么脆弱。
2FA 的主要方式有 4 种:SMS 验证 (输入发送到手机号的验证码)、认证应用 (Google Authenticator 或 Authy 生成的 6 位数代码)、硬件密钥 (YubiKey 等物理设备)、生物识别 (指纹、面部识别)。安全强度从低到高依次为 SMS < 认证应用 < 硬件密钥。SMS 存在被 SIM 卡交换攻击突破的风险,因此建议尽量使用认证应用或更高级别的方式。
强烈建议为短链接服务的账户也设置 2FA。一旦管理后台被入侵,攻击者可以篡改现有链接的重定向目标。如果正规链接被替换为钓鱼网站,所有信任该链接并点击的用户都会受到影响。
启用 2FA 时需要注意备份恢复手段。如果手机丢失或认证应用数据被清除,自己也将无法登录。务必将备份码 (恢复码) 保存在安全的地方。相关书籍可在 Amazon 上查找。