如何不暴露手机号、不花钱，实现双因素身份验证？

zzhh

• 比较一下所有可能的选项
  

谈到网络安全，一层是不够的。

复杂的密码（或使用密码管理器创建的密码）可以很好地保护您的数据，但它仍然可以被破解。

双因素身份验证通过添加第二层安全性来加强这一点，为您提供更多针对在线威胁的保护。

使用双因素身份验证（也称为两步验证或简称为2FA），您登录的服务需要两件事来验证您：您知道的东西和您拥有的东西。

您的密码用作“您知道的东西”，2FA应用程序提供“您拥有的东西”。

虽然这第二层并非万无一失，但它确实可以大大提高你的防御能力。

并非所有网站都支持此功能，但大多数热门网站都支持此功能，如果感兴趣的话您可以使用 Two Factor Auth 来检查兼容性。

但是，并非所有2FA都是相同的。有些网站仅支持通过短信或电子邮件发送代码。这些是不安全的选项，因为有人可以远程访问这些途径。

这就是为什么你最好的选择是使用基于软件的令牌，这就是本列表中每个应用程序支持的方法。

比较图表

关键比较点

• 离线模式：无需互联网即可生成2FA代码。
• 开源：源代码可供任何人审核。虽然开源确实提供了优势，但本列表中的应用程序都不是开源的（尽管有些应用程序利用了几种开源技术）。
• 加密备份：令牌数据库已加密，并与您的设备分开备份。这样，即便您升级手机，也无需将新手机注册到所有帐户。
• 桌面版：服务是否具有桌面版本，因此您在登录帐户时不需要智能手机。
• Smartwatch 兼容：该服务支持一个（或多个）主要智能手表操作系统。 Wear OS 是基于 Android 的智能手表操作系统，而 watchOS 则是基于iOS的智能手表操作系统。如果应用程序支持其中一个操作系统，即使手机放在口袋中，您也可以检索代码。
• 密码保护：使用某种形式的身份验证锁定入侵者的能力。 Authy 和 LastPass 都支持PIN码，指纹扫描，Touch ID 或 Face ID（取决于您使用的iPhone型号）。
• 多设备同步：能够跨多个设备同步数据并访问您的令牌。在一台设备上添加或删除的任何帐户也将在其他设备上添加或删除。
• 可调节的OTP时间：能够调整一次性密码可用性的长度。较短的时间使黑客更难操作，但可能太不方便。通常，默认计时器在15–30秒之间。对于支持该功能的两个应用程序，都需要手动输入。
• 可调整密码长度：可以调整一次性密码的大小。对于支持该功能的两个应用程序都需要手动输入。更长的代码使得攻击变得更加困难。
• 推送通知：列表中的某些应用程序不支持输入代码，而是支持推送通知。令牌在后台交换而不需要您复制数字，因此您需要做的就是接受或拒绝请求。但是，该网站必须包含支持，仅限于本列表中的所有应用。
• 安全通知：只要对与2FA应用相关联的帐户进行了任何更改，就可以发送提醒。 Microsoft Authenticator 去年推出了此功能，如果您的帐户发生任何更改（例如密码更改），应用程序会通知您。
  

如何选择这些应用程序

为了缩小 iOS App Store 和 Google Play 商店中2FA应用的范围，本指南设定了一些基本规则。

没有必要为 Android 和 iOS 制作单独的列表。支持这两种操作系统的应用程序将使更多用户受益，因为您可能正在使用这两种移动平台之一（尽管还有 SailfishOS 和技术上的 Windows Phone 用户）。

不幸的是，这个决定确实遗漏了一些很好的选择，包括开源的 andOTP，仅限于 Android。

第二个要求是每个应用程序当前必须由其开发人员支持。

定期支持可确保及时处理错误和漏洞，并且可以及时处理移动操作系统的任何新更新。

本指南删除了至少一年内未收到更新的所有应用程序。例如，FreeOTP 被排除在考虑范围之外，因为其上一次 Android 更新是在2016年，而iOS更新是在2014年。

由于大多数人不想为应用付费，因此本指南只关注免费的2FA应用。

列表中的每个应用程序都支持基于时间的一次性密码算法（TOTP），这是基于软件的令牌2FA的首选方法。

第一个：Authy

• Install Authy: Android (free) | iOS (free)
  

Authy 最好的功能是加密备份。无论何时您切换手机，只需要在新手机上打开 Authy 并输入电话号码。

然后，你会看到多个连接帐户的选项，包括短信、电话和电子邮件。这些都不够好 。最好的办法是自己的设备。

旧手机上出现提示，输入指定的短语后，您的令牌就可以转移到新设备上了。

但是，如前所述，备份是加密的。因此，您还需要一个单独的密码。

此外，您可以限制哪些设备可以访问您的令牌。

为了最大限度地提高安全性，在设置新手机后，您应该关闭“多设备”选项，这样可以阻止令牌在设备之间同步。

关闭此功能后，即使有人使用其他方法访问您的帐户，他们也无法收到该令牌。

此外，即使禁用了多设备，您仍然可以在多台设备（如平板电脑或计算机）上访问数据库。

如果要移除辅助设备的访问权限，只需选择“允许多设备”下的设备选项，然后选择“删除设备”。

Authy 还会考虑您的安全性。无论 2FA 应用程序如何改善您的帐户安全性，如果它们本身很容易被击败，那么安全性改进就没用了。

使用 Authy，您可以防范网络钓鱼、恶意软件、暴力密码破解、和中间人攻击。

对 Authy 唯一的抱怨是如何标记设备。

当与多个设备共享数据库时，Android 手机被列为“Android”，因此无法辨别哪个是哪个。但是，iPhone 和PC很容易根据其指定的名称进行标记。

Authy 很容易成为两种操作系统上最好的双因素身份验证应用程序之一。

界面易于使用，您可以安全地转移令牌。您甚至可以更改主页面的布局以便于导航。

第二个：LastPass Authenticator

LastPass Authenticator 在其功能列表中与 Authy 几乎完全相同。两者都提供加密备份，多设备同步和支持推送通知。

但是它缺乏对智能手表和桌面等辅助设备的支持。

• Install LastPass Authenticator: Android (free) | iOS (free)
  

就像 Authy 一样，LastPass 支持加密备份。唯一需要注意的是，它需要一个 LastPass 帐户，该帐户通常用于存储在线密码。

虽然这不是什么大问题，但您可能会觉得被迫使用您不希望首先使用的密码管理器很烦人。

但更奇怪的是，这两个应用程序是彼此分开的。

无法从密码管理器访问身份验证器，反之亦然，因此，虽然两个应用程序共享同一帐户，但没有其他连接。

话虽这么说，但 LastPass 确实是两个平台上最好的密码管理器，所以如果你没有密码管理器，这是个一举两得的好方法。

LastPass Authenticator 对 Authy 的最大优势是能够调整令牌的参数。

虽然它需要您手动输入代码（而不是扫描QR代码），但您可以修改代码可用的持续时间和代码本身的长度。

根据您对安全性或便利性的需求，此功能可能是有益的。

但是，虽然此功能很有用，但一般公众可能不会使用它。

它是本列表中唯一没有桌面版的。也是本列表中唯一不支持智能手表的应用程序。

无论您是想要 Authy 还是 LastPass Authenticator，安全性都没什么不同。

第三个：Duo Mobile

Duo Mobile 专为企业设计，提供适合多个用户的多种计划。

Duo 是一个管理多用户访问和身份验证的安全平台。也是一个优秀的2FA应用程序，设计良好，易于使用。

• Install Duo Mobile: Android (free) | iOS (free)
  

除了支持 Google Authenticator 支持的相同服务外，Duo Mobile（以及 Authy）还可以更好地支持第三方服务和社交媒体网站。 更新及时。

它支持 Apple Watch 用户使用 watchOS 的官方应用程序。它有 Windows 和 macOS 的官方应用程序，因此从桌面（或笔记本电脑）登录时不需要手机。

它还支持加密的备份。您正在使用的设备将确定备份的存储位置。对于iOS，备份存储在 iCloud 上。对于 Android，备份存储在 Google 云端硬盘上。

虽然 Duo Mobile 无法同步您的帐户，但能够备份数据库非常有用，因为您决定升级手机时无需重新开始。

第四：Microsoft Authenticator

与 Google Authenticator 类似，Microsoft Authenticator 也不执行云备份。但是与 Google 不同，它受到更好的支持并提供推送通知。

但是后者确实要求用户进入 Microsoft 生态系统。

• Install Microsoft Authenticator: Android (free) | iOS (free)
  

Microsoft Authenticator 的一个更好的功能是它支持推送通知。

只要您使用该应用程序对 Microsoft 或 Azure Active Directory 帐户进行身份验证，您就会收到一条通知，要求您批准或拒绝发送到您设备的令牌，而不必输入代码。

如果您设备上的令牌与您在登录屏幕上看到的令牌相同，请选择“已批准”。

该过程比输入代码容易得多，虽然其他三个应用程序确实支持该功能，但支持它的服务数量仍有限。

还有安全通知功能。只要您的某个帐户发生重要事件，此功能就会向您的手机发送提醒。

这包括更改密码、从新设备登录、或从新位置登录。这样，您可以立即意识到是否发生了未经授权的操作，并且可以采取正确的操作过程。

第五：Google Authenticator

有人使用 Google 身份验证器而不是本列表中的其他应用程序有两个主要原因：(可以说）更好的安全性和广泛的可用性。

虽然它相比列表中其他选项具有更多的局限性。但是依旧有很多人在使用 Google Authenticator。

• Install Google Authenticator: Android (free) | iOS (free)
  

由于 Google 身份验证器不会备份您的数据库，因此数据只存在于您的设备上。因此，无论何时升级手机，都必须重新连接到所有帐户。

当然这样会更安全。

如果您的设备被盗，现代智能手机可让您远程擦除数据，无论您使用的是 Authy 还是 Google 身份验证器，都可以保护您的令牌。

但是，Authy 将数据库与您的电话号码联系起来，这可能很容易获得也可能被欺骗。

如果有人控制了您的电话线并猜测了您的密码（这是一个很大的问题），他们就可以完全访问您的令牌。使用 Google 身份验证器的话这是不可能的。

Google 身份验证器也是通过应用程序进行双因素身份验证的标准。但是，似乎谷歌正在慢慢放弃该应用程序。更新迟缓。

Google 身份验证器仅限于桌面用户的 Chrome 扩展程序。

虽然它确实限制用户只能使用 Google 的浏览器，但它可以在所有桌面平台上访问，包括 Chrome OS，与本列表中的其他应用程序不同。它也是本列表中唯一正式支持 Wear OS（以前称为 Android Wear）的2FA应用程序。

老实说，选择 Google 身份验证器的主要原因是您担心将数据备份到云端不安全。

但是，对于大多数用户来说，有更好的选择。

结论

每个人都应该使用2FA。我们知道这很费时，特别是对于不支持应用程序的网站，不得不通过电话号码接收代码不仅不安全也不方便。

使用短信或电话不如专用应用程序安全，因为您的电话号码很容易被欺骗，允许攻击者远程访问您的帐户。

使用基于软件的令牌会更安全。

现在 2FA 的最佳选择显然是 Authy。它易于使用，易于转移到新设备，并提供密码保护。

或者，如果您已经是 LastPass 密码管理器用户，并且不介意将您的密码和2FA令牌信任给同一家公司，那么 LastPass Authenticator 可以作为次要选择。