RUNWEBTOOLS
繁體中文
安全與隱私

雙重驗證(2FA)講解

更新 2026-07-06

雙重驗證是你為保護帳戶所能做的最有效的單一舉措 —— 而設定只要幾分鐘。本指南講講它是什麼、為何光有密碼不夠,以及如何在不同方法之間做選擇。

2FA 是什麼

雙重驗證(2FA),有時也叫兩步驗證,意思是用 兩種 不同類別的憑據(而非一種)來證明你的身分。經典的三大類別是:

  • 你知道的東西 —— 密碼或 PIN。
  • 你擁有的東西 —— 你的手機或一個硬體金鑰。
  • 你本身的東西 —— 指紋或人臉掃描。

密碼是一個因素。2FA 加上第二個,於是僅憑一個被盜的密碼不足以登入。

為何光有密碼不夠

密碼會外洩 —— 透過資料外洩、跨站重用和釣魚。正如我們的 強密碼指南 所述,一旦一個站點被攻破,攻擊者會拿同樣的憑據去別處到處試。2FA 打斷這條鏈:即便有你確切的密碼,攻擊者沒有你的第二因素仍然登不進去。

各方法,從差到好

簡訊驗證碼

一則發到你手機的驗證碼。比沒有強得多,但是最弱的選項 —— 驗證碼可能被攔截,而「SIM 卡交換」攻擊能讓犯罪分子劫持你的電話號碼。只有在它是唯一選擇時才用。

驗證器 App

你手機上的一個 App 每 30 秒產生一個新的 6 位驗證碼(這叫 TOTP)。這些碼在你的裝置上產生、從不經網路傳送,所以不會像簡訊那樣被攔截。設定通常是掃描一個攜帶共享密鑰的 QR 碼。對大多數人來說這是最佳平衡點 —— 免費、簡單,且比簡訊強得多。

硬體安全金鑰

一個你輕觸或插入的小型實體裝置(如 YubiKey)。基於現代標準(FIDO2/WebAuthn),這些是黃金標準 —— 基本上對釣魚免疫,因為金鑰會在回應前驗證真實網站。對你最重要的帳戶很理想。

別跳過備份碼

當你啟用 2FA,服務會給你一組一次性 備份碼。把它們存在安全的地方(密碼管理器,或列印保存)。它們是你丟了手機後重新進入的途徑 —— 沒有它們,丟失第二因素可能就意味著丟失帳戶。

先從哪裡開啟

從那些能解鎖其他帳戶的帳戶開始:先是你的 電子信箱(它能重設你大多數其他密碼),然後是銀行,以及任何與你身分或金錢掛鉤的帳戶。再配上每站唯一的 強密碼,2FA 就把你放在了網上絕大多數帳戶的前面。要以別的方式保護你的資料,看我們關於 照片中繼資料與隱私 的指南。

更多 安全與隱私

查看全部 安全與隱私 指南 →

本指南提到的工具