如果你对在线安全和隐私的担忧程度在健康的范围内,你可能已经为你的主要账户设置了双重身份验证 (2FA)。如果你还没有,你真的应该考虑启用它,以保护自己免受网络钓鱼、黑客攻击以及任何可能想要窃取你数据的人的侵害。
不知道我在说什么?这是基础知识:2FA 为你的在线账户增加了额外的安全层。启用后,此协议会在你从新设备登录时要求你提供除用户名和密码之外的其他信息。这可能是一个代码、一个密钥,或者是在你的智能手机上接受一个提示。这样,即使有人知道了你的密码,2FA 也会阻止他们进入你的账户。
Shape Security 的首席技术官 Shuman Ghosemajumder 表示:“这绝对比没有任何第二重验证要好得多。你让任何攻击者需要付出更多的努力。”
但是决定启用 2FA 就像决定开始跑步一样——你想小跑一下,训练一个 5 公里,还是为全程马拉松做好准备?有多种选择,包括应用程序和安全密钥,它们可以为你的所有安全和隐私需求提供不同级别的保护。你可以使用最适合你的单一方法,或者根据平台为同一个账户使用多种方法。选择权在你。
第一级:短信
人们通常选择通过短信(特别是短消息服务,或 SMS)来使用 2FA,因为这非常方便。过程很简单:你使用用户名和密码登录你的账户,收到一条包含验证码的短信,然后将该验证码输入登录屏幕即可访问你的账户。
短信的问题在于,由于它是通过电话线传输的数据,因此可能被泄露,你的六位数字验证码也可能被截获。你知道如何更换手机运营商但仍然保留你的号码吗?这叫做SIM 卡交换,你只需提供你的电话号码和你的社会安全号码的最后四位数字就可以申请。多亏了大型黑客攻击,互联网上现在有一个非常完善的社保号数据库,这使得账户窃贼很容易窃取你的手机号码并将你的身份验证短信重定向到另一台设备。
这正是 2018 年发生的事情,当时黑客通过基于短信的 2FA 访问了 Reddit 员工的账户,泄露了该平台数千名用户的数据。
如果你认为没有人会费这么大的周折来窃取你的数据,请三思。
Ghosemajumder 说:“这确实会发生,但比这更容易的是直接使用该电话号码发送网络钓鱼信息。”
这叫做短信网络钓鱼 (smishing)——它是“SMS”和“phishing”的组合词——它就是那些声称来自你的银行并敦促你点击链接的欺骗性电子邮件的短信版本。
尽管如此,基于短信的 2FA 仍然很方便,而且无论其漏洞如何,都比什么都没有要好。但是,如果你在账户中存储敏感数据,或者我们已经吓到了你不敢使用短信,还有其他更安全的方法供你尝试。
第二级:应用程序、提示和代码,哦我的天!
Google 用户可以要求接收提示来验证他们从新设备登录其账户。然后,当你使用用户名和密码登录时,你的手机上会弹出一个窗口,询问是否是你本人尝试登录,以及你是否授权。这些提示是加密的,并通过 Google 的网络传输,因此比短信更不容易被泄露,这使得它们更安全。
但并非所有平台都提供提示。因此,2FA 的另一个流行策略是使用代码生成器应用程序。它们相当自明——应用程序会生成你可以在登录账户时使用的六位数字代码。这些代码是使用基于时间的一次性密码 (TOTP) 协议随机生成的,这意味着它们只能使用一次,并且在有限的时间内(通常是 30 秒)有效,之后会自动替换为另一个。代码生成器应用程序很方便,因为它们允许你链接任意数量的账户,而你只需要去一个地方获取所有代码。
Google Authenticator 是最简单的代码生成器应用程序之一(适用于Android 和iOS)。它不仅适用于 Google 账户,还适用于支持代码生成器式 2FA 的任何其他平台。
如果你想要更具可定制性的体验,可以尝试 AndOTP(仅适用于Android)或 Authy(也适用于iOS)等应用程序,它们允许你添加标签和图标,显示多个平台的徽标,以便你一目了然地识别代码。
为了额外的安全,你可以用 PIN 码保护这些应用程序,或者——在 Authy 的情况下——用你的指纹。这样,即使有人偷了你的手机并获得了访问权限,他们仍然无法使用你的代码生成器应用程序。AndOTP 和 Authy 的另一个很酷的功能是“点击显示”,它会隐藏所有代码,一次只显示一个,当你需要时点击它。如果你在公共场合访问你的账户,并且有人很容易看到你的手机,这会很有用。
例如,要在 Facebook 上使用代码生成器应用程序,请转到 **设置** > **安全和登录** > **使用双重身份验证** > **身份验证应用程序**。然后,Facebook 将显示一个二维码,你需要在代码生成器应用程序中用手机摄像头扫描它,才能添加你的 Facebook 账户。最后,输入应用程序提供的代码。这将确保你的应用程序与 Facebook 同步。
第三级:如果你不信任数字,那就选择模拟
在这个手机上的任何东西似乎都无法完全保证安全的时代,回归基本可能是个好主意。如果你的安全焦虑程度如此之高,那么有一些更模拟的方法可以与 2FA 一起使用,让你晚上睡得更安稳。
最简单的选择是获取一个安全密钥——一个微小的 USB 设备,你的使用方式和你使用公寓钥匙一样。一旦你在新设备上输入用户名和密码,2FA 协议就会要求你将安全密钥插入设备上的 USB 端口并点击一次以完成登录。这些小工具非常有用且易于携带——只需将你的安全密钥挂在钥匙链上,你就可以随时随地携带它。
市面上最传统اً的安全密钥兼容 USB-A 端口,或者如你所知,是常规的 USB 端口。这立即排除了智能手机和平板电脑等移动设备,以及没有自己的 USB-A 端口的 MacBook Air 等小型笔记本电脑。市面上也有 USB-C 安全密钥,它们兼容大多数较新的移动设备,但价格会贵一些,在亚马逊上的售价为 40 至 60 美元。
Ghosemajumder 说,人们通常会为单个账户注册多个安全密钥。这样,他们就可以将备用密钥存放在安全的地方,以防丢失常用密钥。
如果你经常放错安全密钥,或者就是不想买一个,那么你的 Android 手机可以充当你 Google 账户的密钥。该公司在 4 月份宣布了这项新功能,它允许人们通过蓝牙使用他们的智能手机来确认登录。这样做可以将你的手机连接到你正在登录的设备,并确保你正在访问一个安全的网站。
如果这仍然不够模拟,你还可以选择备用或恢复代码。支持 Google、Apple、Facebook、Instagram 和 Twitter 等所有主要平台,这种方法涉及一个或多个代码,你可以将它们保存在文档中,或者复制到一张纸上随身携带。例如,对于你的 Google 账户,你可以在 **账户** > **安全** > **两步验证** > **备用代码** 中找到它们。通常,它们列在大多数账户的 2FA 设置的恢复或备用代码部分。
这些代码是有限的,每个只能使用一次,所以如果你用完了,就必须重新登录并获取更多。备用代码不是用来代替提示或安全密钥的,但在极端情况下它们会非常有用,例如当你旅行时身边没有手机或安全密钥。
正如你所见,有很多方法可以使用 2FA,你可以选择最适合你的方法。不同的平台支持不同的方法,所以请查看Two Factor Auth,看看你的账户有哪些可用方法。
请记住,你可以(也应该)启用多种 2FA 方法。如果你丢失了手机或安全密钥,或者连接出现问题,拥有备用方法总是一个好主意。只要记住,你的安全策略将和你选择的最不安全的 2FA 方法一样薄弱。所以,请明智地选择。
