alltools.one
Security
2025-06-08
7 min
alltools.one Team
2FAAuthenticationSecurityTOTPPrivacy

雙因素驗證設定指南:保護你的帳號

光靠密碼已經不夠了。即使是強且唯一的密碼,也可能因為釣魚攻擊、資料外洩或惡意軟體而被破解。雙因素驗證(2FA)增加了第二道驗證步驟,讓帳號被盜的難度大幅提升。本指南將告訴你正確設定的所有事項。

什麼是 2FA?

雙因素驗證要求兩種不同類型的證據來證明你的身分:

  1. 你知道的東西:密碼
  2. 你擁有的東西:手機、安全金鑰或驗證器應用程式
  3. 你本身的特徵:指紋、臉部辨識

標準 2FA 結合密碼(第一因素)和手機驗證碼或安全金鑰(第二因素)。即使攻擊者竊取了你的密碼,沒有第二因素也無法存取你的帳號。

2FA 的類型

TOTP(基於時間的一次性密碼)— 推薦

驗證器應用程式每 30 秒生成一個新的 6 位數代碼:

Code: 847 293 (expires in 18 seconds)

運作原理:在設定過程中,服務端會與你的驗證器應用程式分享一個密鑰(通常透過 QR Code)。服務端和你的應用程式都使用這個密鑰加上當前時間,各自獨立生成相同的代碼。

應用程式:Google Authenticator、Authy、Microsoft Authenticator、1Password、Bitwarden。

優點:可離線使用、不需要手機號碼、可抵禦 SIM 卡交換攻擊。 缺點:手機遺失就會失去存取權限(沒有備用碼的話)。

安全金鑰(WebAuthn/FIDO2)— 最安全

透過 USB、NFC 或藍牙進行驗證的實體硬體裝置:

品牌:YubiKey、Google Titan、SoloKeys。

優點:防釣魚(綁定特定網域)、無需輸入代碼、即時驗證。 缺點:需要隨身攜帶實體裝置、需花費購買、遺失時復原選項有限。

SMS 簡訊驗證碼 — 盡量避免

透過簡訊傳送驗證碼:

優點:不需要應用程式、設定簡單。 缺點:容易受 SIM 卡交換攻擊(攻擊者說服電信商轉移你的號碼)、SMS 可被攔截、需要行動網路。

建議:只在 TOTP 或安全金鑰不可用時才使用 SMS 2FA。它仍然比完全沒有 2FA 好得多。

推播通知

服務端會向你手機上的應用程式發送提示——點擊「核准」即可驗證。

優點:方便、顯示登入上下文(地點、裝置)。 缺點:容易受到「推播疲勞」攻擊(攻擊者觸發大量提示,直到使用者不小心核准)。

設定 TOTP

步驟 1:安裝驗證器應用程式

選擇一個支援備份/同步的應用程式:

  • Authy:雲端備份、多裝置同步
  • 1Password / Bitwarden:與密碼管理器整合
  • Google Authenticator:簡單,現已支援雲端備份

步驟 2:在帳號上啟用 2FA

大多數服務:設定 → 安全性 → 雙因素驗證 → 啟用。

步驟 3:掃描 QR Code

服務端會顯示一個 QR Code。用你的驗證器應用程式掃描它。應用程式就會開始生成代碼。

步驟 4:輸入驗證碼

輸入當前的 6 位數代碼以確認設定完成。

步驟 5:儲存備用碼

這是最關鍵的步驟。 服務端會提供 8-10 組一次性備用碼。這是你在驗證器裝置遺失時的復原方式。

將備用碼存放在:

  • 你的密碼管理器中(加密的)
  • 列印出來放在安全的地方(保險箱、銀行保管箱)
  • 絕對不要存在未加密的文字檔或電子郵件中

2FA 優先帳號

依照以下順序啟用 2FA(按被盜後的影響程度排列):

  1. 電子郵件 — 所有其他帳號的密碼重設都經過電子郵件
  2. 密碼管理器 — 包含你所有的憑證
  3. 金融帳號 — 銀行、投資、加密貨幣帳號
  4. 雲端儲存 — Google Drive、Dropbox、iCloud
  5. 社群媒體 — 可被用於社交工程
  6. 開發者帳號 — GitHub、npm、AWS、域名註冊商
  7. 購物帳號 — Amazon、支付服務(已儲存的信用卡)

復原策略

如果手機遺失

  1. 使用已儲存的備用碼登入
  2. 將驗證器轉移到新裝置(Authy 會自動同步)
  3. 聯繫客服進行身分驗證(最後手段)

備份最佳實踐

  • 儲存 TOTP 密鑰:某些應用程式允許你匯出 QR Code 或密鑰。安全地保存這些資訊。
  • 註冊多支安全金鑰:如果使用硬體金鑰,至少註冊兩支。留一支作為備用。
  • 列印備用碼:實體副本不受裝置故障影響。
  • 測試復原流程:定期驗證你的備份方法確實可行。

常見錯誤

  1. 未儲存備用碼:最常見的 2FA 帳號鎖定原因
  2. 只使用 SMS:容易受 SIM 卡交換攻擊——請改用 TOTP
  3. 驗證器和密碼管理器在同一台裝置上:如果裝置被入侵,兩個因素都會被攻破
  4. 未對電子郵件啟用 2FA:你的電子郵件是所有其他帳號的復原機制
  5. 未檢查上下文就核准推播通知:核准前務必確認登入地點和裝置

想生成強密碼來搭配你的 2FA 設定,請使用我們的密碼產生器

常見問題

2FA 可以被繞過嗎?

TOTP 可以被即時釣魚攻擊繞過(攻擊者在代碼過期前將其轉發),或被裝置上的惡意軟體繞過。安全金鑰(WebAuthn)可以抵禦釣魚攻擊,因為它們會驗證網站的網域。沒有任何 2FA 方法是 100% 萬無一失的,但所有方法都能大幅降低攻擊的成功率。

我應該使用密碼管理器內建的 TOTP 嗎?

將 TOTP 代碼存在密碼管理器中很方便,但會將兩個因素放在同一個地方。對大多數人來說,這種便利性值得取捨——有 2FA 的密碼管理器遠比沒有 2FA 的帳號安全。對於高價值帳號,建議使用獨立的驗證器應用程式或硬體安全金鑰。

相關資源

Published on 2025-06-08
← Back to Blog
Two-Factor Authentication Setup Guide: Protect Your Accounts | alltools.one