如今，似乎你访问过的每个网站都试图鼓励你使用双因素认证（2FA）。

使用2FA最常见的方法之一是从移动设备输入唯一的代码。通常，您通过文本消息接收代码，或者使用第三方2FA应用程序生成代码。

由于这两种方法的方便性，它们都是使用代码的常用方法。然而，从安全的角度来看，这两种方法也很弱。而且，由于2FA代码的安全性仅与用于交付它的技术一样高，因此弱点很重要。

那么，使用短信和第三方应用程序访问你的代码有什么问题？有没有一个同样方便、更安全的替代方案？我们要解释一切。继续阅读了解更多。

双因素身份验证的工作原理

让我们花点时间讨论一下双因素身份验证是如何工作的。如果不理解这项技术背后的机制，本文的其余部分就没有什么意义。

从广义上讲，2FA为您的帐户增加了一层额外的安全性。也称为多因素身份验证，登录凭据不仅包含密码，还包含第二条信息，只有帐户的合法所有者才能访问这些信息。

2FA有很多不同的形式。在最基本的层面上，它可以是一些简单的安全问题（因为没有人可能知道你母亲的婚前姓或你最喜欢的宠物）。在更复杂的一端，它可能是一个生物识别的身份，如视网膜扫描或指纹。

为什么要避免短信验证

短信是最容易访问和使用2FA代码的方式。如果一个站点提供双因素身份验证登录，那么它几乎肯定会提供SMS作为一个选项。

但是短信并不是使用2FA的安全方式。它有两个关键漏洞。

首先，该技术易受SIM交换攻击。黑客不需要花太多时间就可以进行SIM卡交换。如果他们可以访问其他个人信息，比如你的社会保险号码，他们可以打电话给你的运营商，把你的号码换成新的SIM卡。

其次，黑客可以截获短信。这一切都回到现在过时的信号系统7号（SS7）电话路由系统。这种方法早在1975年就被设计出来了，但现在几乎在全球范围内仍被用来连接和断开通话。它还处理数字翻译、预付费帐单，最重要的是处理短信息。

不出所料，1975年的这项技术充满了安全漏洞。以下是安全专家Bruce Schneier对缺陷的描述：

"If the attackers have access to an SS7 portal, they can forward your conversati*** to an online recording device and reroute the call to its intended destination [...] It means a well-equipped criminal could grab your verification messages and use them before you've even seen them."

当然，发现一个网络罪犯入侵了你的Facebook账户还远远不够理想。但当你考虑2FA的其他用途时，情况就更可怕了。网络罪犯可以窃取你在网上银行使用的密码，甚至发起并完成资金转账。

此外，施耐尔还声称，任何人都可以购买SS7网络接入，价格约为1000美元。一旦他们有了访问权限，就可以发送路由请求。为了解决这个问题，网络可能无法验证请求的来源。

记住，通过SMS使用双因素身份验证比禁用2FA要好。你不太可能成为受害者。然而，如果你开始感到有点担心，你需要继续阅读。许多人接受短信是不安全的，转而使用第三方应用程序。

但这可能不会好多少。

为什么要避免使用2fa应用程序

使用2FA代码的另一种常见方法是安装专用的智能**应用程序。有很多选择。googleauthenticator可以说是最受认可的，但不一定是最好的。有很多替代品在那里-检查了Authy，Authenticator Plus和Duo。

但专业2FA应用程序的安全性如何？他们最大的弱点是依赖一把秘密钥匙。

让我们后退一步。如果您不知道，当您第一次注册许多应用程序时，您需要输入一个密钥。这个秘密在你和应用程序提供商之间共享。

当你访问一个站点时，应用程序创建的代码是基于你的密钥和当前时间的组合。同时，服务器正在使用相同的信息生成代码。这两个代码需要匹配才能授予访问权限。听起来很明智。

为什么钥匙是弱点呢？那么，如果一个网络罪犯设法进入一家公司的密码和秘密数据库，会发生什么呢？每个账户都会受到攻击——攻击者可以随意进出。

其次，秘密要么以明文形式显示，要么以二维码的形式显示；它不能散列，也不能与salt一起使用。在公司的服务器上可能也是纯文本的。

密钥是专业应用程序使用的基于时间的一次性密码（TOTP）的基本缺陷。这就是为什么物理U2F密钥总是更安全的选择。

2fa应用程序的设计和安全缺陷

当然，网络犯罪分子入侵第三方应用程序必要数据库的可能性相当小。但你的应用程序在设计上也可能存在基本的安全缺陷。

流行的密码管理器LastPass在2017年12月成为受害者。一位程序员在Medium上的博客文章透露，在没有指纹、密码或其他安全措施的情况下，可以访问密钥。

解决办法并不复杂。通过访问LastPass Authenticator应用程序的设置活动(com.lastpass.authenticator验证程序.活动设置活动)，则可以进入应用程序的设置窗格而不进行任何检查。从那里，您可以按一下Back键访问所有2FA代码。

LastPass现在已经修复了这个缺陷，但问题仍然存在。据这位程序员说，他已经试着把这个问题告诉LastPass七个月了，但公司一直没有解决。还有多少第三方2FA应用程序是不安全的？开发人员知道多少未修复的漏洞，但却延迟了修补？例如，当你在Facebook上无法访问你的代码生成器时，也有人担心。

如何操作：使用u2f键

你应该使用通用的第二因子键（U2F），而不是依赖SMS和2FA来编写代码。它们是生成代码和访问服务的最安全的方法。

它被广泛认为是2FA的第二代版本，它简化并加强了当前的协议。此外，使用U2F键几乎和打开短信或第三方应用程序一样方便。

U2F密钥使用NFC或USB连接。当您第一次将设备连接到帐户时，它将生成一个称为“Nonce”的随机数。Nonce与站点的域名进行哈希运算，以创建一个唯一的代码。

此后，您可以通过将U2F密钥连接到设备并等待服务识别它来部署U2F密钥。

那么，缺点是什么？嗯，尽管U2F是一个开放标准，但买一个物理U2F密钥还是要花钱的。也许更重要的是，你有被偷窃的危险。

被盗的U2F密钥不会自动使您的帐户不安全；黑客仍然需要知道您的密码。但在公共场所，小偷可能已经看到你从远处输入密码，然后才偷走你的财产。

u2f钥匙可能很贵

**商之间的价格差别很大，但您可以预期支付大约15美元至50美元。

理想情况下，您希望购买“FIDO认证”的模型。FIDO（Fast IDentity Online）联盟负责实现认证技术之间的互操作性。会员包括所有人，从谷歌和微软，到美国银行和万事达卡。

通过购买FIDO设备，您可以确保U2F密钥可以与您每天使用的所有服务一起使用。如果您想购买DIGIPASS SecureClick U2F密钥，请查看该密钥。

Digipass SecureClick FIDO U2F Security Key BUY NOW ON AMAZON

不安全的2fa仍然比没有2fa好

总而言之，通用第二要素密钥在易用性和安全性之间提供了一个令人满意的媒介。短信是最不安全的方法，但也是最方便的方法。

记住，任何2FA都比没有2FA好。是的，登录某些应用程序可能需要额外的10秒钟，但这总比牺牲安全性好。