在互联网越来越普及的今天,密码安全对我们每个人而言也在变得越来越重要:互联网不仅保管着我们的各种账号密码,就连银行卡密码、身份证密码等极为隐私的个人信息也因为互联网变得不安全起来。 除了避免为每个账号都设置一样的重复密码之外,许多账号系统也支持了更为便利与安全的「一次性密码」- 也被称为「二步验证」- 作为对传统密码的增强辅助。如果你想让你的账号更安全,你应该了解什么是二步验证,以及为支持这一特性的账号开启这一功能。
什么是二步验证
「一次性密码」的全称是 One Time Password,以下简称 OTP。这里引用一下维基百科对于「一次性密码」的描述:
一次性密码,指计算机系统或其他数位装置上只能使用一次的密码,有效期为只有一次登录会话或交易。
顾名思义,「一次性密码」就像一次性餐具一样,只能被使用一次,使用完之后就会失效。 OTP 动态密码主要是指在传统密码的基础上,加入了额外的 Token 代码认证,而这个 Token 代码一般指的是发送到你手机上的短信验证码,或是储存在软件中、根据一定的计算机程序算法随时间动态性变化的动态密码。
如果你为支持二步验证特性的账号系统开启了这一功能,这意味着在登录账号的时候,你不仅需要知道账号的传统密码,还需要一台能够获取二步验证码的设备,你需要结合使用自己知道的信息 (密码) 和实际拥有的信息 (发送到设备上的验证码) 来登录账号。
相较于传统密码的优势
为支持的账号开启二步验证功能,主要有以下优势:
更方便
不需记忆 很多人会用同一个密码应用在自己的所有账号中,而且这些密码都根据账号拥有者的个人信息制定,往往都有非常简单的规律可循。 如果你担心自己在账号里全使用同一个密码会有很大的安全隐患,又觉得修改几十几百个账号的密码是一件非常麻烦与耗时间的事,那么为账号开启二步验证无疑能大大降低你的这种担心:它完全随机,并且能为你的账号增加一道安全防线。即时你的密码都很复杂,也毫无规律可循,我也建议你开启二步验证功能,毕竟,为账号多设置一道防线总是没有错的。 随时随地可获取 如今已经有许多移动应用支持存储账号的二步验密码,而短信也是获取二步验证码的一个非常方便的途径。这意味着,你只需要有一部手机,就能在任意时间、任意地点获取账号的二步验证安全码。
更安全
在传统密码的基础上增加一道二步验证的环节,也自然为账号增加了一份破解成本。而如果想获取某个用户的某个账号的二步验证码,你不仅需要有账号开启二步验证功能最开始随机生成的密钥,你还需要使用相同的算法和相同的时间戳才能生成当前账号的二步验证码,也就是说,二步验证几乎没有办法破解。 轻芒创始人王俊煜就曾在一个知乎回答下表明了二步验证有多安全: 
二步验证丢了怎么办?
既然二步验证码是动态随机生成的密码,肯定有人会想:如果二步验证丢了,那不就找不回账号了? 作为一种安全的账号保护方式,二步验证当然不会让你那么容易就把账号彻底遗失。在为账号打开二步验证的同时,你会收到一份包含十个一次性密码的恢复代码文件,如果你不小心遗失了二步验证,你可以使用一个恢复代码来登录账号,并重新设置账号的二步验证选项。要注意的是,这些恢复代码同样也是一次性的,如果你用完了所有的恢复代码,请务必记得前往账号的安全设置选项重新生成恢复代码,以防止不必要的意外发生。
支持二步验证的一些应用
要了解有哪些应用支持存储二步验证码并使用它们,你可能需要先了解有哪些账号支持开启二步验证:
- Apple ID
- Google Account
- Dropbox
- Trello
- Slack
- Microsoft Account
- ……
可以看出,我们常用的 Apple ID、微软账号以及 Google 账号等都支持这一方便安全的第二道加密方式。其中 Apple 的验证方式称作「双重认证」,它采用的是 Apple 自己开发的一套验证系统,关于「双重认证」你可以阅读少数派的这篇文章了解更多详情。 如果你想知道自己在使用的账号支不支持二步验证,只需要到账号设置的安全选项里查看即可。
接下来就看看常见的二步验证管理工具吧:
1Password
作为最老牌也最经典的密码管理应用,1Password 不仅支持保存账号密码,你还可以用它来添加你的银行卡、身份证、驾照等各种常用的个人信息在里面,就算忘记了携带证件,在某些情况下也能派上用场。不仅如此,1Password 还支持在应用内直接存储你的各种软件授权信息,非常方便。 使用 1Password 存储二步验证信息,只需要在账号密码的编辑界面新增一个「One-Time Password」,并点击一旁的二维码图标,扫描账号提供的二维码即可完成添加。 你可以在 1Password 官网注册账号并试用,1Password 采取订阅制,价格为 2.99 美元一个月。
Authy
同样是一款老牌的安全工具,不同的是,Authy 只有管理二步验证这一项功能,它支持 iOS、Android、macOS 与 Windows 等几乎全平台,而且完全免费。对许多用户来说,将二步验证与账号密码分开管理,似乎也是一个不错的选择。 你可以在 Authy 官网下载应用,应用完全免费。
Google Authenticator
Google 出品的 Google Authenticator 二步验证管理工具似乎也是一个让人放心的选择,它由大厂出品,而且是一个单机应用。不过,如果你选择 Google Authenticator 的话要注意了,软件本身没有任何数据同步功能,这意味着你不能在多个设备上同步并获取你的二步验证码,如果软件被卸载或设备被清空之后,应用内的数据也无法找回。而且软件仅支持 iOS 和 Android 平台,在许多使用场景下也会有局限性。 你可以在 Google Authenticator 的支持页面了解更多细节并下载使用它,你需要使用科学代理访问支持页面。
最后
作为传统密码的一项补充的安全措施,二步验证不仅能有效地提升我们的账号安全水平,而且也方便管理。唯一美中不足的大概是,目前大部分国内账号均不支持二步验证这一特性,对许多国内用户来说这一功能的实用性就大打折扣了。 如果你使用的账号支持二步验证功能,我强烈建议你为账号开启这一功能。毕竟,谁不希望自己的账号隐私能更加安全呢?
