它发明于 90 年代(并且通常归功于 AT&T),但直到 21 世纪初期才开始流行。双重身份验证(或更常见的叫法 2FA)这个概念非常简单,几乎称得上优美——将您知道的东西与您拥有的东西结合起来。
问题与解决方案
问题:
过去,用户名和密码是保护我们的数据免遭未授权访问的唯一屏障。我们的账户本质上就像一扇无人看守的门,随时可能在我们不知情的情况下被 24/7 入侵。而且,用户名几乎总是有规律可循,密码也可能很容易被猜到,因为我们大家往往都会想到类似的内容。
例如,一个单词对另一个人来说可能很难猜到,但由于英语中的单词数量有限,对计算机来说却出奇地容易。这就是为什么许多网站要求我们使用字母和特殊字符来增强密码强度。但随着黑客软件越来越复杂,以及如今 AI 的出现,即便这样也已经不够了。请记住,通往您账户的那扇“门”在网络世界中 24/7 都是可被发现的。
解决方案:
通过使用某种按逻辑只能由您持有的东西,来验证登录的人确实是您。这可以是智能手机、电子邮件账户、钥匙,甚至是生物识别信息。无论使用哪种方法,2FA 都能确保未授权的登录尝试被阻止,并让您能够采取措施减轻进一步入侵带来的影响。
当然,这像是一次升级版的身份检查——相当于在打开前门门闩之前先从猫眼里看一眼——但仔细想想,它的实现其实相当巧妙。2FA 为账户增加的安全性和感知能力,使其效果超越了各部分的简单相加。
那么,为什么它花了这么长时间才流行起来呢?这很可能只是多种因素共同作用的结果:多年来网络犯罪逐渐增加、拥有辅助设备的人越来越多,以及网络犯罪分子可利用的计算能力不断增强,这些都意味着它必须等待属于自己的高光时刻。也有可能人们担心辅助设备会丢失。
我们多年来看到 2FA 表现出色的领域
银行和金融类应用多年来一直在使用它。但如果您还没有注意到它已经逐渐应用到您更“日常”的账户中,您很可能很快就会注意到。随着黑客技术变得越来越复杂,以及数据公司在保护我们数据方面承担着越来越重的责任,这项功能的推广正在进行中。
例如,让我们在电子邮件账户的场景下看看 2FA。到目前为止,您可能觉得为电子邮件账户启用 2FA 有点麻烦,或者过于谨慎——但我们将说服您,为什么这非常值得,尤其是如果您是在做生意的话。
为什么要添加 2FA 来保护您的电子邮件账户?
首先,请想一想,在密码之外再增加一层保护从来都不是坏事。现在,停下来想想您的电子邮件账户中包含哪些敏感数据:
银行信息——这类信息您多年来可能已经在其他地方用 2FA 保护了。
个人附件——照片、文档,甚至是您希望拥有知识产权的创作内容。
购买历史——以及其他可能对广告商有价值的数据。
医疗数据——预约、药物,甚至病情记录。
房地产数据——购房及类似的重要流程通常都是无纸化进行的。
而且,正如我们提到的,如果您是在做生意,这些数据几乎肯定还包括您客户的数据。在有 GDPR 等法规的国家,确保这些数据安全是一项法律义务。所以,保护电子邮件安全听起来已经是显而易见的事了,而我们甚至还没说完!
也许保护电子邮件安全最关键的原因是,它是您许多其他账户的入口。多年来,它一直是重置密码的常见方式。任何能够访问您电子邮件的人,只需阅读您的邮件,弄清楚您在哪些网站上有账户,然后在这些网站上走一遍“忘记密码”流程即可。
对于几乎所有较小的网站来说,注册邮箱账户几乎是阻止他人访问您账户的唯一屏障。这可能意味着,在您甚至还没意识到账户被黑之前,您的许多账户就已经遭到入侵。
轻松为您的账户添加 2FA
好消息是,为大多数电子邮件账户添加 2FA 其实非常容易。商务或专业电子邮件账户尤其有可能提供这项功能。启用过程通常很简单,设置也非常快,尤其是如果您已经在其他应用中使用身份验证器的话。
我们将以 Spacemail(由 Spaceship 提供,是一个很好的示例)为例,看看如何通过几次点击启用 2FA。
点击屏幕右上角的设置齿轮图标。
在第二个框中点击“启动安全中心”。
在选项卡中点击“双重身份验证”。
从两种受支持的 2FA 类型中选择一种。
别忘了封住其他入口
为主登录添加 2FA 固然很好,但如果您已将电子邮件账户连接到手机上的某个应用(如 Outlook 或 Gmail),那么很可能还存在另一条进入您电子邮件账户的后门。
用于启用此功能的协议包括 IMAP、SMTP 和 POP3。如果启用了这些协议,就可能通过应用设置访问您的账户,从而绕过您配置的 2FA。为了确保安全,如有可能,请禁用这些协议。
对于 Spacemail 而言,应用目前正在开发中,计划于今年晚些时候发布。这将使您能够在智能手机等设备上轻松访问邮件,同时不影响安全性。
2FA 的类型
说到“2FA 的类型”,让我们更仔细地看看它们是什么,以及它们在 Spacemail 中是如何工作的。广义上讲,2FA 有三种类型。它们都使用不同的验证因素。
“您知道的东西”
这包括额外的 PIN 码或安全问题之类的内容。这些信息本应只有您自己知道——但从很多方面来看,它们与密码并没有太大区别。作为一种较为老旧的 2FA 形式,它正逐渐被下面的方法取代。
您可能还记得几年前有人建议选择一个假的“母亲婚前姓氏”或“第一只宠物名字”,以避免别人猜到或查到您的答案。
由于其相对不安全,Spacemail 不支持这种方法。
“您是什么”
我们前面已经简要提到过这一点。这种类型的 2FA 依赖于生物识别数据,例如指纹、人脸识别和语音识别。当辅助设备不是最佳选择时,这种方式就很有用,例如很多情况下,我们使用的智能手机本身就是辅助设备。
生物识别允许通过个人自身进行二次验证。不过,这需要额外的传感器,而这些通常只出现在较新且较先进的设备上。
“您拥有的东西”
大多数 2FA 都属于这一类,Spacemail 上可用的两种选项也是如此。这些方法要求您持有特定设备或物品。实现这种方法有多种方式。
TOTP(基于时间的一次性密码)
由身份验证器应用生成的代码可提供安全登录。您可以使用身份验证器应用,或通过短信/电子邮件发送一次性代码。对于 Spaceship,TOTP 仅允许通过身份验证器应用使用,因为这种方式安全性高得多。
U2F(通用第二因素)
U2F 使用公钥加密,因此更安全且更能抵御网络钓鱼。它不需要手动输入代码。您只需将硬件密钥(如 YubiKey)插入设备即可。这样还有一个额外好处:如果有人偷走了您的智能手机,那么访问受 2FA 保护的账户还需要另一台设备(该密钥)。
该选择哪种方法
U2F 通常被认为更安全,因为这些设备具有防篡改特性,而且加密过程与特定网站或应用绑定。这确保了即使用户被诱导访问假网站,身份验证也会失败,因为假网站无法复制所需的安全连接。
当然,购买 U2F 密钥意味着需要花钱,但考虑到您的安全,这可能是值得的。
2FA 是均衡安全策略的一部分……
人不能只靠 2FA 生存。它不能替代全面良好的安全实践。我们的电子邮件账户尤其容易受到网络钓鱼和恶意软件攻击。讽刺的是,在这种情况下,别人甚至不需要进入您的账户就能构成威胁。他们只需要发送一封电子邮件。
这就是为什么提供其他电子邮件威胁防护的账户,尤其是反垃圾邮件过滤器,也是一项明智的投资。通过阻止您看到包含社会工程陷阱或恶意软件的电子邮件,您甚至永远不会看到对您安全威胁最大的风险。今天就在您的账户上启用 2FA,如果您发现它不支持,请考虑切换到支持它的账户。
常见问题
2FA 是“双重身份验证”的缩写。最常见的 2FA 方法通过将您知道的信息(用户名和密码)与您持有的物品(最常见的是智能手机或密钥)结合起来,为登录增加一层额外的安全保护。这意味着如果有人发起任何未经授权的登录请求,您都会收到提醒。
当您访问账户时,2FA 会验证您的身份。在此过程中,如果其他人试图进入,您也会收到提醒。电子邮件账户尤其容易成为网络犯罪分子的目标,因为其中包含大量敏感数据,还可能通过标准的“忘记密码”流程成为进入其他账户的入口——而这一流程在很大程度上依赖于已注册的电子邮件地址。
许多账户,尤其是为企业用户设计的账户,都将其作为标准功能提供。通常只需进入安全设置即可相当轻松地完成设置。如果您已经在使用身份验证器应用或密钥,设置通常会更快。
是的,2FA 有几种类型。最常见的是使用智能手机或 U2F 密钥(单独的设备)之类的设备。生物识别也算作身份验证的第二因素,而较为老式的安全问题(如“母亲的娘家姓”)从技术上讲也算,但由于很容易被猜到,如今很少使用。
登录您的账户点击屏幕右上角的设置齿轮图标。在第二个框中点击“Launch security center”。在选项卡中点击 TWO FACTOR AUTHENTICATION。从两种受支持的 2FA 类型中选择一种。


分享您的想法