雙因素身份驗證是保護帳戶的最重要方法之一。然而，最近一些身份驗證方法，如簡訊，因為容易受到駭客攻擊而受到攻擊，這打破了“你知道的東西和你擁有的東西”的觀點。我們決定看看最常見的方法，並根據它們的安全程度對它們進行排名。

當我們談論雙因素身份驗證（或2FA）時，好像它是一個單一的功能，實際上它有各種各樣的風格，包括簡訊程式碼、電子郵件程式碼、**的身份驗證應用程式，甚至是一個硬體金鑰。如果你現在使用簡訊，不要驚慌。任何形式的2FA都比沒有好。不要僅僅為了避免使用簡訊而禁用2FA。

然而，美國國家標準與技術研究院釋出的研究報告指出，簡訊是一個古老的協議，有很多潛在的安全漏洞，應該被更安全的方法所取代。公司不必遵循NIST的建議，但隨著時間的推移，你可以預期許多公司將不再使用簡訊服務。如果你有選擇的話，現在就考慮換個地方。

像authy和googleauthenticator這樣的驗證器應用程式設定起來比較困難，但安全得多

2FA背後的核心思想是使用你知道的東西（密碼）和你擁有的東西（比如你的**）。像我們最喜歡的認證應用，Authy把你的**變成“你擁有的東西”，而不涉及任何其他人。

它的工作原理是：當您第一次設定它時，您的帳戶會建立一個安全的“種子”金鑰，並透過二維碼與您的**共享。然後使用當前時間對該種子的兩端進行加密，每30秒左右生成一個新程式碼。只有您和伺服器知道種子，因此攻擊者無法預測下一個身份驗證程式碼是什麼。

這比簡訊息和電子郵件有很多優點。對於初學者來說，除了伺服器本身之外，只有您有能力生成程式碼。沒有電子郵件提供商，沒有**運營商，也沒有其他中間人。這些程式碼是在你的裝置上生成的，你只需要在30秒的短暫時間內傳輸它們就可以了。即使駭客能截獲這條訊息，在他們能對它做任何事情之前，它也毫無用處。

Dropbox、Amazon、Evernote和LastPass等大多數主要服務都支援這些身份驗證應用程式，這是令人鼓舞的。儘管如此，這些應用程式還是帶來了一些小風險。像Authy這樣的第三方應用程式允許你在多個裝置上同步種子令牌，這可能會讓攻擊者刷你沒有看到的裝置，或者失去對它的控制。還有一種可能性是，攻擊者可以入侵身份驗證服務本身並獲得對使用者種子金鑰的訪問權，不過，如果他們闖入，他們更有可能獲取更多有用的資料。總而言之，從技術上講，驗證器是目前最安全的，而且在您丟失裝置、離開辦公桌或忘記密碼時最不容易被洩露。

安全等級：4/5：認證應用程式是最安全的選擇，可以避免使用者造成的風險

一鍵認證更簡單，但大多數服務還不支援它

最新的雙因素認證方法是“一鍵認證”。它的工作原理與上面的認證應用程式非常相似，只是你不需要手動將**中的六位數程式碼複製到文字框中。只要輕觸“是的，那是我”，你就可以走了。目前，谷歌和暴雪是兩個最大的名字在這方面的工作方法。

一鍵式身份驗證和驗證器應用程式之間的關鍵區別在於，程式碼是自動處理的，而不必輸入它們。暴雪會給你看你**上的程式碼，並詢問它是否與你電腦上的匹配。Google根本不向您顯示任何程式碼，但您可以假設，如果您在不嘗試登入帳戶時收到此提示，您可能應該將其關閉。

從錶面上看，這種方法似乎和身份驗證應用程式中生成的程式碼一樣安全，但它還是相對較新的。大多數服務甚至不提供這個選項，所以這可能是一廂情願的想法，除了你的谷歌帳戶（或你的戰網帳戶）一段時間。不過，如果你想讓你的登入更簡單一點，你可以信任它。這與你可能已經使用的驗證器應用程式技術相同，只是簡化了。

安全等級：4/5：比簡訊和電子郵件更安全，但新的，基本上不受支援。

電子郵件程式碼比簡訊稍微安全一些，但它們無法控制

有些服務允許您透過電子郵件向您傳送程式碼來確認您的登入。這比簡訊程式碼安全一點，但它們仍有一些弱點。首先，你的電子郵件供應商成為一個薄弱環節。如果有人可以訪問你的電子郵件帳戶，他們可以直接獲得你的2FA程式碼。雖然像谷歌這樣的一些公司很擅長保護你的安全（尤其是如果你的電子郵件帳戶本身被鎖定在2FA之後），但這仍然增加了另一個潛在的漏洞。

電子郵件也遭受許多同樣的使用者產生的問題，簡訊程式碼做。例如，當前有多少裝置和應用程式可以訪問您的電子郵件帳戶？對大多數人來說，這可能包括一部**、一臺膝上型電腦或臺式電腦，還有一臺平板電腦。你也可以使用第三方服務來訪問你的電子郵件。在你意識到發生了什麼之前，刷你的平板電腦或闖入有權訪問你收件箱的舊聯絡人應用程式或日曆管理器的攻擊者可能能夠登入到你的帳戶。

電子郵件比簡訊稍微安全一些，但僅僅是簡單的。大多數主要的電子郵件提供商在傳輸過程中都會對你的郵件進行加密，而且你不能像使用SIM卡那樣“克隆”你的電子郵件帳戶。但是，攻擊者仍然可以透過攻擊您的電子郵件提供商、有權訪問您電子郵件的第三方，或者透過刷您登入的許多裝置中的一個來訪問您的電子郵件。您在多個裝置上使用的任何服務可能都不是獲得只有您應該接收的安全身份驗證程式碼的最佳方式。如果你能用別的東西，你可能會更好。

安全等級：2/5：如果你沒有其他選擇，比簡訊更好，但仍然不理想。

簡訊程式碼無處不在，但很容易被破解

向**傳送簡訊程式碼來證明你的身份很容易，但這是最不安全的雙因素身份驗證方法。簡單地說，2FA假設您在一個只有您控制的裝置上獲得程式碼。簡訊作為一種協議根本不能保證這一點。駭客可能會在傳送到你**的途中截獲簡訊，或者他們可以克隆你**的SIM卡，偽裝成你，從而訪問你的所有賬戶。由於運營商也參與其中，甚至有可能在你意識到發生了什麼之前，有人會說服他們把你的號碼轉移到他們控制的另一臺裝置上。所有這些方法都很困難，但它們比破壞其他2FA方法更容易。

這些只是簡訊固有的風險。實際上，我們很多人都使用應用程式來閱讀簡訊。googlevoice和MightyText組織併傳送文字到其他計算機。一些運營商仍然支援從您的電子郵件帳戶傳送和接收簡訊。Pushbullet甚至windows10都可以將您的訊息映象到另一臺計算機上。這些工具並不是不安全的，但它們確實為真正需要您的身份驗證程式碼的人提供了更多的攻擊向量。我們中的許多人（包括我自己）都接受這種折衷，但它確實破壞了2FA訊息的關鍵原則：您和只有您擁有該程式碼。如果一個服務只支援基於簡訊的2FA，那總比什麼都不支援好，但是你應該在可能的時候使用其他的服務。

安全等級：1/5：僅在沒有其他2FA方法可用時使用。

這些不是唯一可用的方法。我們沒有提到自動電話，因為它有許多與簡訊息相同的缺點，或者大多數人不會使用的硬體鍵，但是這些是大多數服務中最流行的選項。記住，在安全性方面沒有完美的解決方案，但是有些方法比其他方法更好。我們仍在嘗試讓大多數網站啟用雙因素身份驗證，更不用說使用最佳方法了。不過，如果你有選擇的話，就從現有的資源中選擇最好、最安全的選項。