基于SMS的双因素身份验证(2FA)——通过短信发送代码,以确保您的帐户正在被您而不是闯入者访问——总比没有好,但并不是那么好。最近,我们的几名员工在他们的Twitter帐户上启动了密码重置,然后收到消息,试图让他们向他们发送验证码,这证明了这一点。像这样发送给高级新闻编辑理查德劳勒的消息:
尽管事实上Twitter现在仅向其TwitterBlue会员提供基于短信的双因素身份验证(费用从每月8美元起)。事实上,许多TheVerge员工已经转移到Mastodon和其他社交网络,但现在无论你在哪里闲逛,让别人访问你的帐户都不是一个好主意。而且,如果您想使用2FA来保护您的社交媒体或其他服务,那么使用短信并不是可行的方法。您最好使用第三方身份验证器应用程序或硬件安全密钥。
什么是安全密钥?
安全密钥,例如Yubico出售的密钥,是最安全的使用方法。它们可以使用USB-A、USB-C、Lightning或NFC连接到您的系统,而且它们足够小,可以挂在钥匙链上(Yubico的YubiKey5CNano除外,它非常小,因此最安全保存在计算机的USB端口中)。它们使用多种身份验证标准:FIDO2、U2F、智能卡、OTP和OpenPGP3。
当您将安全密钥插入计算机或以无线方式连接计算机时,您的浏览器会对该密钥发出质询,其中包括您尝试访问的特定站点的域名(这可以防止您意外登录到钓鱼站点).然后密钥以加密方式签名并允许挑战,让您登录到该服务。
许多网站都支持U2F安全密钥,包括Twitter、Facebook、Google、Instagram等。最好的办法是检查您选择的安全密钥的网站,看看支持哪些服务——例如,这里有一个指向YubiKeys支持的应用程序的链接。
什么是验证器应用程序?
但是,虽然物理安全密钥是最安全的方法,但它们并不是最方便的。如果您不想随身携带(并且可能丢失)物理密钥,最好的方法是在手机上使用身份验证应用程序。
身份验证应用程序会生成大约每分钟更改一次的一次性数字密码。当您登录您的服务或应用程序时,它会要求您提供验证码;您只需打开应用程序即可找到通过安全检查所需的随机生成代码。
流行的选项包括Authy、GoogleAuthenticator和MicrosoftAuthenticator。当您添加新帐户时,这些应用程序大多遵循相同的程序:您扫描与您的帐户相关联的二维码,并将其保存在应用程序中。下次您登录您的服务或应用程序时,它会要求输入数字代码;只需打开身份验证器应用程序,即可找到通过安检所需的随机生成代码。
以下是如何在一些更受欢迎的在线帐户上设置2FA。并非所有这些都允许验证器应用程序;在这种情况下,我们会列出可用的内容。(如果您只是对为您的Twitter帐户使用身份验证器应用程序感兴趣,您可以直接转到这篇文章,它为您提供了所需的所有步骤—但是,为了方便起见,我们在此处将Twitter与其他应用程序一起包含在内。)