双因素身份验证（2FA）是防止未经授权访问在线帐户的唯一最有效方法。还需要说服力吗？看看这些来自微软的令人瞠目结舌的数字。

硬数字

2020年2月，微软在RSA大会上发表了一篇题为“打破密码依赖：微软最后一英里的挑战”的演讲。如果你对如何保护用户帐户感兴趣，整个演讲会非常吸引人。即使这种想法让你头脑麻木，但给出的统计数据和数字都是惊人的。

微软每月追踪超过10亿活跃账户，占全球人口的近1/8。它们每月产生300多亿次登录事件。每次登录到企业O365帐户都可以跨多个应用生成多个登录条目，还可以为使用O365进行单次登录的其他应用生成其他事件。

如果这个数字听起来很大，请记住，微软每天都会阻止3亿次欺诈性登录尝试。同样，这不是每年或每月，而是每天3亿美元。

2020年1月，48万个Microsoft帐户（占所有Microsoft帐户的0.048%）受到攻击。这是攻击者运行公共密码（如“Spring2020！），希望其中一些人会使用这个通用密码。

喷雾剂只是攻击的一种形式，还有成百上千的喷雾剂是由填充物引起的。为了永久保存这些信息，攻击者在黑暗网络上购买用户名和密码，然后在其他系统上进行尝试。

然后，还有网络钓鱼，就是攻击者说服你登录一个假网站来获取你的密码。通常来说，这些方法就是在线账户被“黑客”的典型方式。

一月份，微软总共有超过100万个账户被攻破。这仅仅是每天32000多个泄露账户，这听起来很糟糕，直到你还记得每天停止的3亿次欺诈性登录尝试。

但最重要的数字是，如果这些帐户启用了双因素身份验证，99.9%的Microsoft帐户违规行为都会被阻止。

相关：如果你收到一封网络钓鱼邮件，你该怎么办？

什么是双因素认证(two-factor authentication)？

作为一个快速提醒，双因素身份验证（2FA）需要一个额外的方法来验证您的帐户，而不仅仅是用户名和密码。这种附加方法通常是通过短信息发送到**或由应用程序生成的六位数代码。然后，在您的帐户的登录过程中键入该六位代码。

双因素认证是一种多因素认证（MFA）。还有其他的MFA方法，包括**设备的物理USB令牌，或者指纹或眼睛的生物特征扫描。然而，发送到**上的代码是目前为止最常见的。

然而，多因素身份验证是一个宽泛的术语，例如，一个非常安全的帐户可能需要三个因素而不是两个因素。

相关：什么是双因素认证，为什么我需要它？

2fa会阻止违规行为吗？

在喷射攻击和凭证填充中，攻击者已经拥有一个密码，他们只需要找到使用它的帐户。通过网络钓鱼，攻击者同时拥有你的密码和帐户名，这更糟糕。

如果一月份被攻破的微软账户启用了多因素身份验证，仅仅拥有密码是不够的。黑客还需要访问受害者的**才能获得MFA代码，然后才能登录这些账户。如果没有**，攻击者就无法访问这些帐户，也就不会被攻破。

如果你认为你的密码是不可能猜到的，而且你永远不会陷入网络钓鱼攻击，让我们深入了解事实。根据微软首席架构师alexweinart的说法，在保护帐户安全方面，你的密码其实没那么重要。

这不仅仅适用于Microsoft帐户，如果不使用MFA，每个在线帐户也同样容易受到攻击。据Google称，MFA已经百分之百地阻止了自动bot攻击（喷雾攻击、凭证填充和类似的自动方法）。

如果你看看谷歌研究图表的左下角，“安全密钥”方法在阻止自动机器人、网络钓鱼和目标攻击方面是100%有效的。

那么，什么是“安全密钥”方法呢？它使用**上的应用程序生成MFA代码。

虽然“短信代码”的方法也非常有效，它绝对比没有一个应用程序的MFA更好。我们推荐Authy，因为它免费，易于使用，而且功能强大。

相关：短信双因素认证不是完美的，但你仍然应该使用它

如何为所有帐户启用2fa

您可以为大多数在线帐户启用2FA或其他类型的MFA。对于不同的帐户，您可以在不同的位置找到设置。不过，一般来说，它在帐户的“帐户”或“安全”下的“设置”菜单中

幸运的是，我们的指南涵盖了如何为一些最流行的网站和应用程序打开MFA：

• 亚马逊
• 苹果ID
• 脸谱网
• 谷歌/Gmail
• 一款图片分享应用
• 领英
• 微软
• 巢
• 任天堂
• 雷迪特
• 戒指
• 松弛
• 蒸汽
• 推特

MFA是保护您的在线帐户的最有效方法。如果你还没有做到这一点，花点时间尽快打开它，特别是对于重要的帐户，如电子邮件和银行业务。