密碼問題如何使用2FA來提高您的在線安全性

你是一個數(shù)據(jù)突破，使你的整個在線生活顛倒。 問題在于密碼，密碼是確保寶貴資源安全的脆弱途徑。

如何保護(hù)你的隱私免受黑客、間諜和政府的侵害

簡單的步驟可以使失去你的在線帳戶或保持現(xiàn)在是一種寶貴的商品：你的隱私。

不要因?yàn)橄嘈艅?chuàng)建一個更長、更復(fù)雜、更難判斷的密碼會使你在網(wǎng)上更安全而陷入虛假的安全感。 您可以創(chuàng)建一個長而復(fù)雜的密碼，您需要五分鐘才能鍵入，如果您使用該密碼的服務(wù)存儲不當(dāng)，然后服務(wù)器被破壞，它將不會保護(hù)您。 它經(jīng)常發(fā)生。

而且即使有合理的政策到位（復(fù)雜性，定期改變，不重復(fù)使用），人們?nèi)匀皇前踩溨凶畋∪醯沫h(huán)節(jié).. 社會工程可以說服即使是聰明的人在釣魚網(wǎng)站上輸入他們的證書，或者通過電話放棄他們。

解決方案是雙因素認(rèn)證，或2FA。 (有些服務(wù)作為細(xì)節(jié)的堅(jiān)守者，稱之為多因素認(rèn)證或兩步驗(yàn)證，但2FA是最廣泛使用的術(shù)語，所以這就是我在這里選擇使用的術(shù)語。)

此外：大量的在線購買損失，因?yàn)槿藗冇洸黄鹈艽a|火狐密碼管理器現(xiàn)在告訴你什么時(shí)候使用泄露的密碼|Windows10安全指南：如何保護(hù)您的業(yè)務(wù)

微軟2019年的一份報(bào)告得出結(jié)論，2FA有效，阻止了99.9%的自動攻擊。 如果服務(wù)提供商支持多因素身份驗(yàn)證，微軟建議使用它，即使它和基于短信的一次性密碼一樣簡單。 另一份來自谷歌的2019年報(bào)告給出了類似的結(jié)論。

在這篇文章中，我回答了人們問我關(guān)于2FA的一些最常見的問題。

打開服務(wù)的2FA會改變安全要求，迫使您在第一次訪問未知設(shè)備上的安全服務(wù)時(shí)提供至少兩個身份證明。 這兩種認(rèn)證形式可以來自至少兩個要素的任何組合：

在大多數(shù)情況下，您今天看到的雙因素身份驗(yàn)證系統(tǒng)使用第一項(xiàng)（您的密碼)和最后一項(xiàng)(您的智能手機(jī)）。 智能手機(jī)已經(jīng)變得無處不在，使它們成為理想的安全設(shè)備。

您的智能手機(jī)可以通過提供一個獨(dú)特的代碼來輔助身份驗(yàn)證，您可以使用它與您的密碼一起登錄。 您可以通過兩種方式之一獲取該代碼：從服務(wù)中作為短信發(fā)送，或由安裝在您的手機(jī)上的應(yīng)用程序生成。

舉個例子，這是我剛才看到的，當(dāng)我試圖從我以前從未使用過的瀏覽器登錄到我的Gmail帳戶時(shí)。

如果有人試圖登錄受2FA保護(hù)的帳戶，他們需要第二個證明，比如來自驗(yàn)證程序的代碼

如果這個登錄請求是從有人偷了我的谷歌帳戶憑證，他們會被阻止死在他們的軌道上。 沒有這個代碼，他們就無法繼續(xù)登錄過程。

支持2FA的大多數(shù)（但不是所有）服務(wù)提供了身份驗(yàn)證方法的選擇。 例如，谷歌和微軟都可以將通知推送到受信任的設(shè)備；您可以點(diǎn)擊通知以批準(zhǔn)登錄。 越來越多的服務(wù)支持使用硬件安全密鑰(參見：“Yubi Key hand-on：Hardware-based2FA更安全，但要otchas)。

當(dāng)然，大多數(shù)服務(wù)提供了打印備份恢復(fù)代碼的選項(xiàng)，您可以將其存儲在安全的地方，并在通常的二次身份驗(yàn)證方法不可用的情況下使用。 如果您的智能手機(jī)丟失、被盜或損壞，您將需要這些代碼。

2020年最佳安全密鑰：基于硬件的在線保護(hù)雙因素認(rèn)證

雖然健壯的密碼在保護(hù)您有價(jià)值的在線帳戶方面有很大作用，但是基于硬件的雙因素身份驗(yàn)證將這種安全性提升到下一個級別。

多讀一點(diǎn)

最好的身份驗(yàn)證方法是您最滿意的方法。 只要確保你至少有兩個選擇，以避免被鎖定在你的帳戶之外的風(fēng)險(xiǎn)。

我更喜歡使用驗(yàn)證程序，而不是在可能的情況下通過短信接收代碼，你也應(yīng)該這樣做，有兩個很好的原因。 一是簡單物流問題.. 有些時(shí)候，你可以訪問互聯(lián)網(wǎng)(通過有線連接或Wi-Fi)，但不能接收短信，因?yàn)槟愕氖謾C(jī)信號很弱或不存在，或者你在旅行時(shí)使用了不同的SIM。 第二個問題是，攻擊者通過移動運(yùn)營商的防御系統(tǒng)進(jìn)行社交活動，獲取帶有手機(jī)號碼的SIM卡的可能性很小，但這一過程被稱為“SIM-jacking”。

最受歡迎的2FA應(yīng)用程序是GoogleAuthenticator，它可以在iOS和Android上使用。 但是有很多選擇；因?yàn)樯砂踩钆频倪^程是基于開放標(biāo)準(zhǔn)的，所以任何人都可以編寫一個執(zhí)行相同功能的驗(yàn)證器應(yīng)用程序。 事實(shí)上，您可以使用多個驗(yàn)證程序。 我使用MicrosoftAuthenticator，它能夠接收來自Microsoft平臺上的個人和業(yè)務(wù)帳戶的推送通知，以及第三方應(yīng)用程序Authy。 （詳情見“保護(hù)自己：如何選擇正確的雙因素認(rèn)證程序”）

值得注意的是，驗(yàn)證器應(yīng)用程序只需要在初始設(shè)置過程中進(jìn)行數(shù)據(jù)連接。 在那之后，一切都發(fā)生在你的設(shè)備上。 該過程由一個廣泛接受的標(biāo)準(zhǔn)管理，該標(biāo)準(zhǔn)使用基于時(shí)間的一次性密碼算法(TOTP)。 該算法使用驗(yàn)證器應(yīng)用程序作為一個復(fù)雜的計(jì)算器，使用設(shè)備上的當(dāng)前時(shí)間和共享秘密生成代碼。 在線服務(wù)使用相同的秘密和自己的時(shí)間戳來生成與其條目相比的代碼。 連接的兩邊都可以調(diào)整時(shí)間，沒有問題，盡管如果設(shè)備上的時(shí)間錯誤，您的代碼將失敗。

當(dāng)我十年前開始寫這項(xiàng)技術(shù)時(shí)，2FA的支持相對較少。 今天，這很平常。

谷歌賬戶，包括消費(fèi)者Gmail和商業(yè)GSuite賬戶，提供了廣泛的兩步驗(yàn)證方案。 所有微軟帳戶，包括Outlook.com、Xbox、Skype和其他消費(fèi)服務(wù)使用的免費(fèi)帳戶，都支持各種身份驗(yàn)證選項(xiàng)，以及與微軟業(yè)務(wù)和企業(yè)服務(wù)一起使用的AzureActiveDirectory帳戶，包括Microsoft365和Office365。

2FA支持在社交媒體服務(wù)(Face book、Twitter、Instagram等)中無處不在。 每個值得考慮的在線存儲服務(wù)都支持2FA，就像大多數(shù)域名注冊商和網(wǎng)絡(luò)托管公司一樣。 如果您不確定某個特定的服務(wù)，最好的檢查地點(diǎn)是一個極好的開源信息存儲庫，稱為兩個因素自動列表。 如果您所依賴的高價(jià)值服務(wù)不支持2FA，那么，也許您應(yīng)該考慮切換到它。

您可能在支持2FA的數(shù)十個在線服務(wù)上擁有登錄憑據(jù)，因此最好的策略是列出一個優(yōu)先順序列表并通過它工作。 我建議這些優(yōu)先事項(xiàng)：

為大多數(shù)在線服務(wù)設(shè)置額外的安全性需要最低限度的技術(shù)技能。 如果您可以使用智能手機(jī)的相機(jī)，鍵入一個六位數(shù)的數(shù)字，并在對話框中點(diǎn)擊OK，您就擁有了所需的所有技能。 工作中最困難的部分是找到具有相關(guān)設(shè)置的頁面。

如果你使用短信，你所需要做的就是把一個手機(jī)號碼和你的帳戶聯(lián)系起來。 （你也可以使用虛擬電話線，例如谷歌語音號碼，可以接收短信。） 當(dāng)您在不受信任的設(shè)備上登錄時(shí)，配置帳戶以將代碼發(fā)送到該號碼。 例如，以下是在Twitter帳戶上啟用此選項(xiàng)的情況：

最簡單的2FA選項(xiàng)是一個代碼，通過短信發(fā)送到注冊電話。 這是Twitter的2FA設(shè)置頁面。

在Twitter帳戶上設(shè)置2FA需要您首先重新輸入密碼，然后輸入要接收身份驗(yàn)證代碼的電話號碼。 完成該過程后，您將收到該設(shè)備上的代碼。 輸入代碼以確認(rèn)您收到它，2FA設(shè)置完成。 順便說一句，Twitter在這個設(shè)置過程結(jié)束時(shí)自動生成一個恢復(fù)代碼；打印出來并將其存檔在一個安全的地方，這樣您就可以在主2FA方法不再工作的情況下恢復(fù)。

要開始使用驗(yàn)證器應(yīng)用程序，首先需要將該應(yīng)用程序安裝在您希望用作第二個身份驗(yàn)證因素的移動設(shè)備上：

在為您的設(shè)備安裝應(yīng)用程序后，下一步是將其設(shè)置為與啟用2FA的每個帳戶一起工作。

另外：讓您的云更安全：如何為最流行的云服務(wù)啟用雙因素身份驗(yàn)證。

安裝過程通常要求您使用移動應(yīng)用程序輸入共享秘密（長文本字符串）。 我上面列出的所有移動應(yīng)用程序都支持使用智能手機(jī)攝像頭拍攝QR代碼的圖片，其中包含了您帳戶的共享秘密。 這比手動輸入復(fù)雜的字母數(shù)字字符串容易得多。

例如，這里是設(shè)置Dropbox帳戶時(shí)會看到的QR代碼：

在您的智能手機(jī)應(yīng)用程序中，選擇添加新帳戶的選項(xiàng)，然后快照條形碼圖片自動設(shè)置2FA支持。

在你的驗(yàn)證程序中。 選擇添加新帳戶的選項(xiàng)，選擇條形碼選項(xiàng)，將智能手機(jī)瞄準(zhǔn)計(jì)算機(jī)屏幕上的條形碼，并等待應(yīng)用程序填寫必要的字段。

在認(rèn)證器應(yīng)用程序中設(shè)置帳戶后，它開始根據(jù)共享秘密和當(dāng)前時(shí)間生成代碼。 若要完成安裝過程，請從驗(yàn)證器應(yīng)用程序輸入當(dāng)前代碼。

網(wǎng)絡(luò)戰(zhàn)與網(wǎng)絡(luò)安全的未來

今天的安全威脅的范圍和嚴(yán)重性都有所擴(kuò)大。 如果信息安全處理不當(dāng)，現(xiàn)在可能有數(shù)百萬美元甚至數(shù)十億美元的風(fēng)險(xiǎn)。

多讀一點(diǎn)

下次嘗試使用新設(shè)備或Web瀏覽器登錄時(shí)，需要輸入當(dāng)前代碼，如驗(yàn)證程序應(yīng)用程序所顯示的。

如果您使用舊的電子郵件應(yīng)用程序，不支持現(xiàn)代認(rèn)證與一個帳戶保護(hù)2FA，您的正常密碼將不再工作。 您需要生成專門用于這些應(yīng)用程序的特殊密碼。 您的帳戶的安全設(shè)置應(yīng)該指導(dǎo)您完成該過程。 （但實(shí)際上，如果您使用的是需要應(yīng)用程序密碼的舊應(yīng)用程序，也許您應(yīng)該考慮替換它。）

作為2FA設(shè)置過程的一部分，您還應(yīng)該生成一個或多個恢復(fù)代碼，您可以打印出來并存儲在安全的地方。 如果您的智能手機(jī)丟失或損壞，您可以使用這些代碼重新訪問您的帳戶。

如果您使用短信作為第二個身份驗(yàn)證因素，將您的號碼傳輸?shù)叫率謾C(jī)將無縫地傳輸您的2FA設(shè)置。

一些認(rèn)證程序允許您在多個設(shè)備上生成代碼。 1密碼和Authy都屬于這一類別。 在新手機(jī)上設(shè)置APP，安裝APP，簽到，然后查看各個賬號，確認(rèn)新手機(jī)上生成的代碼正常工作..

但是，對于Google Authenticator和其他不需要修飾的應(yīng)用程序，您需要手動重新創(chuàng)建新設(shè)備上的每個帳戶。 在您的新設(shè)備上安裝驗(yàn)證器應(yīng)用程序，并重復(fù)您與舊手機(jī)一起使用的每個帳戶的安裝過程。 在新的驗(yàn)證程序應(yīng)用程序上設(shè)置帳戶將自動禁用舊設(shè)備生成的代碼。

雙因素認(rèn)證將阻止大多數(shù)偶然的攻擊死在他們的軌道上。 不過，并不完美。 一個確定的攻擊者直接針對一個特定的帳戶可能能夠找到方法來圍繞它工作，特別是如果他可以劫持用于恢復(fù)或重定向電話和短信到他控制的設(shè)備的電子郵件帳戶。 但如果有人決心闖入你的賬戶，你就有更大的問題了。