Apple 的新 Passwords 应用与您的设备
多因素身份验证 (MFA) 已成为保护线上帐户网络安全的必需品。 MFA 可确保只有授权的用户才能访问帐户。 然而,在选择 MFA 方式时,有些选项比其他方案更安全。 身份验证器应用之所以比短信身份验证安全,是因为它可在本地生成 2FA 代码,从而防止网络犯罪分子像拦截短信一样拦截代码。
继续阅读,详细了解身份验证器应用、短信身份验证是什么,身份验证器应用为何比短信身份验证更安全,以及如何设置身份验证器应用。
什么是身份验证器应用?
身份验证器应用是一种用来补充 MFA 的验证方式。 它在您的设备上生成本地代码,您可使用该代码与登录凭证访问您的在线帐户。 这些身份验证器应用代码被称为基于时间的一次性密码 (TOTP)。 TOTP 是唯一的六至八位代码,有效时间为 30 至 60 秒。 每隔 30 至 60 秒,身份验证器应用会基于秘密算法生成一个全新的唯一 TOTP 代码。
身份验证应用程序的工作原理基于 TOTP 验证模型。 当用户为其帐户设置 MFA 时,他们可以为其 MFA 方式选择 TOTP。 这将触发帐户服务器为身份验证器应用创建可供扫描的二维码或可手动输入的密钥。 该二维码和密钥包含一个可实时生成 TOTP 代码的秘密算法。 用户完成对身份验证应用的设置后,身份验证器应用和帐户服务器都会独立且同步生成相同的代码。
当用户尝试登录其帐户时,他们会输入其登录凭证以及身份验证器应用的 TOTP 代码。 然后,帐户服务器会检查用户的 TOTP 代码是否与帐户服务器生成的代码一致。 如果代码匹配,用户就可以访问该帐户。 如果代码不匹配,用户将被拒绝访问该帐户。
什么是短信身份验证?
短信身份验证是一类可验证用户的身份是否与通过短信发送给他们的代码相同的身份验证方式。 这些代码是一次性密码 (OTP),生成后仅供一次性使用。 OTP 可持续 30 秒至一小时,如果需要,用户必须在时限过后申请新的 OTP。
在创建帐户时,用户通常会被要求提供其电话号码,帐户服务器用该电话号码发送 OTP 代码。 为访问账户,用户必须提供其登录凭证以及他们通过短信收到的 OTP 代码。 电子邮件身份验证与短信验证相同,但它使用电子邮件地址而非电话号码来发送 OTP 代码。
为什么您应该使用一个身份验证器应用而非短信身份验证
您应该使用身份验证器应用而非短信验证,因为前者更安全,被网络犯罪分子拦截的可能性更小。 身份验证器应用在设备上生成本地 2FA 代码,而不是通过短信向他们发送未加密的代码。 身份验证器应用中的 2FA 代码也是每隔 30 至 60 秒变化一次,这增加了网络犯罪分子窃取的难度。
短信身份验证通过短信息发送未加密的 2FA 代码。 短信 2FA 代码可被中间人攻击和 SIM 卡交换 破解。
- 中间人攻击:一类网络犯罪分子拦截未加密 WiFi 网络中传输的数据的网络攻击。 如果用户连接到虚假或公共 WiFi 网络中,网络犯罪子可以窃听、窃取或修改用户的互联网流量,包括 2FA 代码。
- SIM 卡交换:网络犯罪分子冒充受害者,说服移动运营商使用受害者的电话号码激活新的 SIM 卡。 然后,网络犯罪分子收到受害者的短信和电话号码,他们可以用这些信息来窃取短信 2FA 代码。
由于身份验证器应用在本地生成 2FA 代码,代码无法被网络犯罪分子拦截。 从身份验证器应用窃取 2FA 代码仅有的部分方式包括:通过恶意软件入侵设备,通过社交同程或物理窃取设备;但是,这些方式也可用来窃取短信代码。 从身份验证器应用窃取 2FA 代码的另一种方式是窃取二维码,这不太常见且难度较高。 用户可以通过使用 PIN 保护其设备、避免恶意软件和社交工程并隐藏好二维码和 2FA 代码,来轻松保护身份验证器的 2FA 代码。
如何设置身份验证器应用
使用身份验证器应用设置 MFA 非常容易。 以下是设置身份验证应用程序的步骤:
- 选择身份验证器应用:并非所有身份验证器应用都一样。 您需要选择一个满足您需求的身份验证器应用。 我们建议使用密码管理器,因为有些密码管理器可生成 2FA 代码,并将其存储在数字密码保险库中。
- 将身份验证器应用下载到您的设备上:如果您使用独立的身份验证器应用,您需要将应用下载到您的设备上。 您应该将身份验证器应用下载到您的手机上,以便随时使用。
- 在您的帐户上启用 MFA:下载身份验证器应用后,您需要登录帐户并启用 MFA。 选择允许您将身份验证器应用用作 MFA 方式的设置。 然后,您的帐户会显示算法二维码和密钥,包括生成 TOTP 的算法。
- 用身份验证器应用扫描二维码或输入密钥:接下来,您需要使用身份验证器应用扫描二维码,或手动输入密钥,以便身份验证器应用生成与帐户服务器相同的 TOTP 代码。
- 准备就绪:现在您已将身份验证器应用设置为帐户的 MFA 方式。 下次您尝试登录帐户时,您将使用身份验证器应用生成的 TOTP,来获取访问权限。 每次尝试为其他帐户设置 MFA 时,您将需要重复第 3 步和第 4 步。
密码管理器如何通过集成式 2FA 保护您的帐户
虽然使用短信身份验证好过完全不启用 MFA,您仍应使用身份验证器应用,而非短信身份验证,因为前者更安全。 身份验证器应用便捷、安全且免费,因为成为 MFA 的更佳选择。
您可能能够将密码管理器用作 MFA 方式。 有些密码管理器拥有集成式身份验证器应用,可为您的帐户生成并存储 2FA 代码。 使用密码管理器可让您更轻松地登录帐户,因为您可以通过任何设备访问您的登录凭证和 2FA 代码。 有些密码管理器提供自动填充功能,可在您尝试登录时填写登录凭证和 2FA 代码。
Keeper 密码管理拥有集成式身份验证应用功能,允许您在尝试登录帐户时生成 2FA 代码。 此外,它还附带 KeeperFill 功能,可在您尝试登录帐户时自动填充您的登录凭证和 2FA 代码。注册申请免费试用,试用强大的 MFA 保护您的帐户。