双因素身份验证是保护帐户的最重要方法之一。然而，最近一些身份验证方法，如短信，因为容易受到黑客攻击而受到攻击，这打破了“你知道的东西和你拥有的东西”的观点。我们决定看看最常见的方法，并根据它们的安全程度对它们进行排名。

当我们谈论双因素身份验证（或2FA）时，好像它是一个单一的功能，实际上它有各种各样的风格，包括短信代码、电子邮件代码、**的身份验证应用程序，甚至是一个硬件密钥。如果你现在使用短信，不要惊慌。任何形式的2FA都比没有好。不要仅仅为了避免使用短信而禁用2FA。

然而，美国国家标准与技术研究院发布的研究报告指出，短信是一个古老的协议，有很多潜在的安全漏洞，应该被更安全的方法所取代。公司不必遵循NIST的建议，但随着时间的推移，你可以预期许多公司将不再使用短信服务。如果你有选择的话，现在就考虑换个地方。

像authy和googleauthenticator这样的验证器应用程序设置起来比较困难，但安全得多

2FA背后的核心思想是使用你知道的东西（密码）和你拥有的东西（比如你的**）。像我们最喜欢的认证应用，Authy把你的**变成“你拥有的东西”，而不涉及任何其他人。

它的工作原理是：当您第一次设置它时，您的帐户会创建一个安全的“种子”密钥，并通过二维码与您的**共享。然后使用当前时间对该种子的两端进行加密，每30秒左右生成一个新代码。只有您和服务器知道种子，因此攻击者无法预测下一个身份验证代码是什么。

这比短信息和电子邮件有很多优点。对于初学者来说，除了服务器本身之外，只有您有能力生成代码。没有电子邮件提供商，没有**运营商，也没有其他中间人。这些代码是在你的设备上生成的，你只需要在30秒的短暂时间内传输它们就可以了。即使黑客能截获这条消息，在他们能对它做任何事情之前，它也毫无用处。

Dropbox、Amazon、Evernote和LastPass等大多数主要服务都支持这些身份验证应用程序，这是令人鼓舞的。尽管如此，这些应用程序还是带来了一些小风险。像Authy这样的第三方应用程序允许你在多个设备上同步种子令牌，这可能会让攻击者刷你没有看到的设备，或者失去对它的控制。还有一种可能性是，攻击者可以入侵身份验证服务本身并获得对用户种子密钥的访问权，不过，如果他们闯入，他们更有可能获取更多有用的数据。总而言之，从技术上讲，验证器是目前最安全的，而且在您丢失设备、离开办公桌或忘记密码时最不容易被泄露。

安全等级：4/5：认证应用程序是最安全的选择，可以避免用户造成的风险

一键认证更简单，但大多数服务还不支持它

最新的双因素认证方法是“一键认证”。它的工作原理与上面的认证应用程序非常相似，只是你不需要手动将**中的六位数代码复制到文本框中。只要轻触“是的，那是我”，你就可以走了。目前，谷歌和暴雪是两个最大的名字在这方面的工作方法。

一键式身份验证和验证器应用程序之间的关键区别在于，代码是自动处理的，而不必输入它们。暴雪会给你看你**上的代码，并询问它是否与你电脑上的匹配。Google根本不向您显示任何代码，但您可以假设，如果您在不尝试登录帐户时收到此提示，您可能应该将其关闭。

从表面上看，这种方法似乎和身份验证应用程序中生成的代码一样安全，但它还是相对较新的。大多数服务甚至不提供这个选项，所以这可能是一厢情愿的想法，除了你的谷歌帐户（或你的战网帐户）一段时间。不过，如果你想让你的登录更简单一点，你可以信任它。这与你可能已经使用的验证器应用程序技术相同，只是简化了。

安全等级：4/5：比短信和电子邮件更安全，但新的，基本上不受支持。

电子邮件代码比短信稍微安全一些，但它们无法控制

有些服务允许您通过电子邮件向您发送代码来确认您的登录。这比短信代码安全一点，但它们仍有一些弱点。首先，你的电子邮件供应商成为一个薄弱环节。如果有人可以访问你的电子邮件帐户，他们可以直接获得你的2FA代码。虽然像谷歌这样的一些公司很擅长保护你的安全（尤其是如果你的电子邮件帐户本身被锁定在2FA之后），但这仍然增加了另一个潜在的漏洞。

电子邮件也遭受许多同样的用户产生的问题，短信代码做。例如，当前有多少设备和应用程序可以访问您的电子邮件帐户？对大多数人来说，这可能包括一部**、一台笔记本电脑或台式电脑，还有一台平板电脑。你也可以使用第三方服务来访问你的电子邮件。在你意识到发生了什么之前，刷你的平板电脑或闯入有权访问你收件箱的旧联系人应用程序或日历管理器的攻击者可能能够登录到你的帐户。

电子邮件比短信稍微安全一些，但仅仅是简单的。大多数主要的电子邮件提供商在传输过程中都会对你的邮件进行加密，而且你不能像使用SIM卡那样“克隆”你的电子邮件帐户。但是，攻击者仍然可以通过攻击您的电子邮件提供商、有权访问您电子邮件的第三方，或者通过刷您登录的许多设备中的一个来访问您的电子邮件。您在多个设备上使用的任何服务可能都不是获得只有您应该接收的安全身份验证代码的最佳方式。如果你能用别的东西，你可能会更好。

安全等级：2/5：如果你没有其他选择，比短信更好，但仍然不理想。

短信代码无处不在，但很容易被破解

向**发送短信代码来证明你的身份很容易，但这是最不安全的双因素身份验证方法。简单地说，2FA假设您在一个只有您控制的设备上获得代码。短信作为一种协议根本不能保证这一点。黑客可能会在发送到你**的途中截获短信，或者他们可以克隆你**的SIM卡，伪装成你，从而访问你的所有账户。由于运营商也参与其中，甚至有可能在你意识到发生了什么之前，有人会说服他们把你的号码转移到他们控制的另一台设备上。所有这些方法都很困难，但它们比破坏其他2FA方法更容易。

这些只是短信固有的风险。实际上，我们很多人都使用应用程序来阅读短信。googlevoice和MightyText组织并发送文本到其他计算机。一些运营商仍然支持从您的电子邮件帐户发送和接收短信。Pushbullet甚至windows10都可以将您的消息镜像到另一台计算机上。这些工具并不是不安全的，但它们确实为真正需要您的身份验证代码的人提供了更多的攻击向量。我们中的许多人（包括我自己）都接受这种折衷，但它确实破坏了2FA消息的关键原则：您和只有您拥有该代码。如果一个服务只支持基于短信的2FA，那总比什么都不支持好，但是你应该在可能的时候使用其他的服务。

安全等级：1/5：仅在没有其他2FA方法可用时使用。

这些不是唯一可用的方法。我们没有提到自动电话，因为它有许多与短信息相同的缺点，或者大多数人不会使用的硬件键，但是这些是大多数服务中最流行的选项。记住，在安全性方面没有完美的解决方案，但是有些方法比其他方法更好。我们仍在尝试让大多数网站启用双因素身份验证，更不用说使用最佳方法了。不过，如果你有选择的话，就从现有的资源中选择最好、最安全的选项。