账户的二次验证

在一个安全异常重要的时代,开启二次认证也许是一个很不错的办法

起因

最近收到几个账户异地登录的提醒,如下图

不过因为我开启了二次认证,所以貌似没什么太多的威胁。即便他知道了我的密码,也没有办法进入我的账户。

二次认证的方式

二次认证是现在非常流行,也是互联网安全的一个非常重要的环节,虽然在一定程度上,它的操作似乎麻烦了点,但这很重要。其实二次验证早已经存在于我们的生活中,比如我们平常用的银行的 U 盾。现在主流的 App,网站,服务等都已经提供了二次认证的服务,那么选择一个合理好用的方式就显得更为重要。

现在的二次认证方式有

  • 短信认证:就是输入登录的账号密码后,会被要求输入认证短信,输入你接受到的短信验证码即可。

  • 第三方 Authenticator:使用率比较高的是 Google 和微软的。同样是输入账号密码后,打开第三方 Authenticator,会有一个六位数字的验证码,输入即可。

  • 官方自带的:一些提供服务的公司会自己提供一个类似第三方的二次验证工具。

  • Backup codes:备用码

  • 硬件工具:密钥的硬件工具,类似银行 U 盾之类的。

  • 手机许可:Apple 家的账号登录就是这种方式,Google 也提供了这种方式。

操作方式大同小异,一般就是输入对账号密码后,会被要求输入二次认证的验证码即可,注意:手机许可直接点确定。

我是怎么做的

我在这方面做得有点强迫症了,一方面是追求安全性,另外一方面又要便利性。

  • 在所有提供了短信认证的 APP,网站和服务上,我都使用了短信认证,毕竟这个太方便了,但因为几大运营商的电话号码复制非常简单,所以我使用了 Google Voice 提供的号码。

  • 第三方的 Authenticator,我用了 Google 的,主要是因为微软的做法还不够中立第三方,另外就是比较麻烦。需要注意的是,这些第三方工具有的是跟手机走的。

  • 非常重要的数据,我使用了硬件工具。

  • 如果有能生成授权密码的,我都使用授权密码,而非主要密码,比如 GitHub。

至于 Backup codes,手机许可,我基本没有使用。


> 可在 Twitter/X 上评论该篇文章或在下面留言(需要有 GitHub 账号)