RUNWEBTOOLS
简体中文
安全与隐私

双重认证(2FA)讲解

更新 2026-07-06

双重认证是你为保护账户所能做的最有效的单一举措 —— 而设置只要几分钟。本指南讲讲它是什么、为何光有密码不够,以及如何在不同方法之间做选择。

2FA 是什么

双重认证(2FA),有时也叫两步验证,意思是用 两种 不同类别的凭据(而非一种)来证明你的身份。经典的三大类别是:

  • 你知道的东西 —— 密码或 PIN。
  • 你拥有的东西 —— 你的手机或一个硬件密钥。
  • 你本身的东西 —— 指纹或人脸扫描。

密码是一个因素。2FA 加上第二个,于是仅凭一个被盗的密码不足以登入。

为何光有密码不够

密码会泄露 —— 通过数据外泄、跨站重用和钓鱼。正如我们的 强密码指南 所述,一旦一个站点被攻破,攻击者会拿同样的凭据去别处到处试。2FA 打断这条链:即便有你确切的密码,攻击者没有你的第二因素仍然登不进去。

各方法,从差到好

短信验证码

一条发到你手机的验证码。比没有强得多,但是最弱的选项 —— 验证码可能被截获,而“SIM 卡交换”攻击能让犯罪分子劫持你的电话号码。只有在它是唯一选择时才用。

认证器 App

你手机上的一个 App 每 30 秒生成一个新的 6 位验证码(这叫 TOTP)。这些码在你的设备上生成、从不经网络发送,所以不会像短信那样被截获。设置通常是扫描一个携带共享密钥的 二维码。对大多数人来说这是最佳平衡点 —— 免费、简单,且比短信强得多。

硬件安全密钥

一个你轻触或插入的小型实体设备(如 YubiKey)。基于现代标准(FIDO2/WebAuthn),这些是黄金标准 —— 基本上对钓鱼免疫,因为密钥会在响应前验证真实网站。对你最重要的账户很理想。

别跳过备份码

当你启用 2FA,服务会给你一组一次性 备份码。把它们存在安全的地方(密码管理器,或打印保存)。它们是你丢了手机后重新进入的途径 —— 没有它们,丢失第二因素可能就意味着丢失账户。

先从哪里开启

从那些能解锁其他账户的账户开始:先是你的 电子邮箱(它能重置你大多数其他密码),然后是银行,以及任何与你身份或金钱挂钩的账户。再配上每站唯一的 强密码,2FA 就把你放在了网上绝大多数账户的前面。要以别的方式保护你的数据,看我们关于 照片元数据与隐私 的指南。

更多 安全与隐私

查看全部 安全与隐私 指南 →

本指南提到的工具