📖 术语
🟢 通俗解释
🔰 新手
🔐 双因素认证 2FA
一种登录方式:放你进门之前,要核对两种不同的身份证明,而不是单凭一个密码。也叫两步验证。
💡
常见误解 — 所有 2FA 都一样安全,发条短信验证码就够了吧?用在加密货币上可不行!短信验证码是最弱的一种——一次 SIM 卡交换就能把它偷走。验证器 App 或硬件密钥要稳妥得多。
🏧 一句话理解 — 就像取款机
取钱的时候,你其实早就在用 2FA 了。要取出现金,得有那张实体银行卡(你拥有的东西)加上密码(你知道的东西)。少了哪一样都没用——卡被偷了但没密码,吐不出钱;只有密码却没卡,同样取不出。2FA 给网络账户做的是同一件事:光有密码不再算数,就算被人偷了也进不去。
🧩 三类身份证明
所有身份证明都逃不出这三类。所谓 2FA,无非就是把两种不同类别凑在一起——同一类来两份(比如两个密码)不算数。
| 因素 | 是什么 | 例子 |
|---|---|---|
| 🧠 你知道的东西 | 记在脑子里的秘密 | 密码、PIN |
| 📱 你拥有的东西 | 握在手里的设备 | 手机、硬件密钥、passkey |
| 你本身的特征 | 身体的一部分 | 指纹、人脸 |
🛡️ 常见类型,由弱到强
- ✉️ 短信或邮件验证码 — 一次性验证码发到你的短信或邮箱。设置最省事,安全性却最低:验证码可能被截走。
- 📲 验证器 App(TOTP) — App 在你的设备上每隔约 30 秒生成一个新验证码。验证码不经手机网络传输,因此不会像短信那样被中途截走。
- 👆 生物识别 — 指纹或人脸,常用来解锁手机上的那个 App。
- 🔑 硬件安全密钥 / passkey — 一个小巧的实体设备或内置凭证,用来证明操作的确实是你本人。日常防护里最强的一档。
💸 在加密货币里为什么这么重要
加密货币的转账不可逆——币一旦离开你的账户,没有哪家银行能帮你追回来。这就让账户成了高价值目标,光偷到一个密码绝不该足以攻破。你第一次碰到 2FA,多半是在注册交易所的时候,像币安、Coinbase 这些平台,会在注册时提示你开启,提币前还会再要一次。要注意:2FA 守的是交易所的登录;如果你自己保管着币,真正的钥匙是离线保存的私钥和助记词。
🚨 新手须知
- 📵 能不用短信就别用 — SIM 卡交换攻击会哄骗运营商,把你的号码转到攻击者的 SIM 卡上,短信验证码也就一并落到对方手里。美国 CISA 建议不要把短信当作第二重因素。
- 💾 存好你的备用码 — 开启 2FA 时会拿到一组一次性恢复码。离线保存它们,万一手机丢了也不至于被锁在门外。
- 🎣 2FA 不是万能 — 一个以假乱真的钓鱼登录页,能在你输入的同时实时索要验证码。打字之前,永远先核对一遍网址。
- 💀 代价是真金白银 — 据报道,投资者 Michael Terpin 在 2018 年因一次 SIM 卡交换截走了他的短信验证码,损失约 2400 万美元。
❓ 常见问题
- 2FA 是不是就是设两个密码?
- 不是。两个密码都属于「你知道的东西」,算作同一类证明。真正的 2FA 需要两种不同类别的证明——比如一个密码(你知道的)加上一个手机里的验证码(你拥有的)。
- 用短信 2FA 保护加密货币账户够安全吗?
- 这是最弱的一种。SIM 卡交换攻击能把你的手机号转移到攻击者的 SIM 卡上,从而截走短信验证码。美国 CISA 建议不要把短信当作第二重因素,而应改用验证器 App 或硬件密钥。
- 装了验证器 App 的手机丢了怎么办?
- 你可能会被锁在门外,因为不断刷新的验证码就存在那台设备上。正因如此,平台在你开启 2FA 时会给一组备用码。把它们离线妥善保存,关键时刻就能靠它们重新登录。