开启两步验证，保护信息安全

落木萧瑟

谈谈自己的账号密码的安全措施。

---

认证/验证模式

先看下下面的这张图，大致介绍了 Traditional Authentication （传统认证）、Two-factor Authentication（双因素认证，简称2FA） 、Two-step Verification(两步验证，简称2SV)、Multi-factor authentication（多因素认证，简称MFA）。

Traditional Authentication
在网上登陆账户的时候，使用的是用户名+密码的方式。

Two-factor Authentication、Two-step Verification、Multi-factor authentication

在维基百科中，双因素认证与两步验证合并到了Multi-factor authenticatio（多因素认证，简称MFA）中。实际上，这两个还是有所区别的。
维基百科有介绍到，在认证过程中，认证的方式也就是认证因素有三种：

• 一种是你已经知道的，例如密码或 PIN；
• 一种是你已经有的，例如手机或特殊的 USB 钥匙；
• 一种是你与生俱来的，例如指纹或其他特征。 举个例子：当你从ATM取钱时，你实际上就在使用一种形式的两步验证本证。要取钱你需要两个东西：银行卡（你所拥有的）和密码（你所知道的）。 双因素认证（Two-factor Authentication），就是结合了两种不同的认证方式。 一般我们所了解的两步验证，其实都是指Google、Apple、Microsoft所采用的两步验证，就是结合了前两种认证因素的验证方式，也有人称这是双因素认证。 下面这图是Matt Cutts介绍的Google双因素认证方式。
  

---

密码的安全隐患

在上网的时候，通常使用用户名+密码的方式来登陆账户。而且好多人都是使用同样的用户名+同样的密码来登陆不同的网站，这样会有很严重的安全隐患。当然，有的人也会使用不同用户名+不同密码，并且在密码中加入符号、数字、大小写字母、加长密码的长度来提高安全性。
拖库：黑客可以利用网站的漏洞，把数据库中的敏感信息窃取出来。
撞库：黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户。
如果碰到上面这些情况，只能要求网站负责人来提高网站的安全性了。
最近几年，很多不法分子瞄准了Apple ID，通过锁定Apple ID，然后向所有者勒索。因为国内用户对Apple ID的不重视，很多用户都会忘记申请时填写的资料，这样就很难通过客服找回的秘密，最后只能支付一定的费用来解锁。

---

安全防范措施

1、启用两步验证
开启Apple ID双重认证/两步验证

Apple在iOS9 之前就支持两步验证，在iOS9之后新增了双重认证。

下面看一下它们的工作原理是什么，内容摘自Apple 官网，具体的开启方式请登陆官网查询。

两步验证的工作原理是什么？
两步验证是 Apple ID 的一种附加安全功能，旨在防止任何人访问或使用您的帐户，即使他们知道密码也是如此。
设置两步验证时，您要注册一部或多部受信任设备。受信任设备由您控制，可以通过短信或“查找我的 iPhone”接收 4 位验证码。您至少需要提供一个支持短信功能的电话号码。
此后，每次登录以管理您的 Apple ID、登录到 iCloud 或通过新设备在 iTunes、iBooks 或 App Store 中购物时，都需要输入密码和 4 位验证码来验证您的身份，如下所示。

登录后，您便可以安全地访问帐户或照常购物。若没有密码和验证码，您将无法访问帐户。

您还将收到包含 14 个字符的恢复密钥，请将其打印出来并妥善保存。如果您无法访问受信任设备或忘记了密码，可使用恢复密钥来重新获取帐户访问权限。

双重认证的工作原理
借助双重认证，只能通过您信任的设备（如 iPhone、iPad 或 Mac）才能访问您的帐户。首次登录一部新设备时，您需要提供两种信息：您的密码和自动显示在您的受信任设备上的六位验证码。输入验证码后，您即确认您信任这部新设备。例如，如果您有一部 iPhone 并且要在新购的 Mac 上首次登录您的帐户，您将收到提示信息，要求您输入密码和自动显示在您 iPhone 上的验证码。
由于只输入密码不再能够访问您的帐户，因此双重认证显著增强了 Apple ID 以及所有通过 Apple 储存的个人信息的安全性。
登录后，系统将不会再次要求您在该设备上输入验证码，除非您完全注销帐户、抹掉设备数据或出于安全原因而需要更改密码。当您在 Web 上登录时，可以选择信任您的浏览器，这样当您下次从该电脑登录时，系统就不会要求您输入验证码。

Google 两步验证

登陆Google 两步验证页面 ，然后点击「开始使用」。
它的工作原理与Apple ID的一样，在输入密码后还需要输入系统短信发送、通过语音电话告知或者身份验证器生成的验证码，之后才能登陆账户。

2、Authenticator 验证器

介于短信电话也存在被复制截取的安全隐患，并且手机会存在无网络的情况，建议大家还是使用各类Authenticator 软件来获取验证码。
下面介绍几款Authenticator 软件。

• Google Authenticator
  

应用介绍

Google Authenticator是Google 推出的身份验证器软件，在无网络的情况下也能查看验证码。同时也支持Dropbox、Evernote、Microsoft、Lastpass、Facebook等软件的两步验证。

应用下载

Google Play 地址
iTunes 地址

如何设置

• 完成短信/语音设置并使用您的手机号码为您的帐户注册两步验证（如果您尚未完成这一步骤）。
• 通过计算机访问两步验证设置页并点击“Android”。
• 在移动设备上打开 Google 身份验证器应用。
• 如果这是您首次使用身份验证器，请选择开始设置。如果要添加新帐户，请从该应用的菜单中选择设置帐户。
• 要将您的移动设备与您的帐户相关联，请执行以下操作：

  使用 QR 码：选择扫描条形码。如果身份验证器应用在您的移动设备上找不到条形码扫描器应用，则可能会提示您进行下载和安装。如果您要安装条形码扫描器应用来完成设置过程，请选择安装，然后完成安装过程。安装扫描器后，重新打开 Google 身份验证器，然后将摄像头对准计算机屏幕上显示的 QR 码。
  使用密钥：选择输入提供的密钥，然后在“输入帐户名称”框中输入您的 Google 帐户所用的电子邮件地址。接着，在“输入您的密钥”框中输入计算机屏幕上显示的密钥。请务必将该密钥设置为基于时间，然后选择添加。

• 要测试该应用是否能正常使用，请在计算机上验证码旁边的框中输入移动设备上的验证码，然后点击“验证”。
• 如果验证码准确无误，则系统会向您显示一条确认消息。点击“保存”即可继续设置过程。如果验证码有误，请尝试在移动设备上生成新的验证码，然后在计算机上输入该验证码。如果您仍遇到问题，则可能需要验证设备上的时间是否正确或参阅常见问题。
  
  

• Lastpass Authenticator
  

应用介绍

LastPass Authenticator 是知名的跨平台在线密码管理服务商 LastPass 新推出的二次身份验证应用，同样支持Dropbox、Evernote、Microsoft、Lastpass、Google、Facebook等软件的两步验证，同时能够整合 LastPass，当使用密码时自动弹出两步验证码，非常方便。
官网视频介绍：

应用下载

Google Play 地址
iTunes 地址

如何设置

添加账户的操作与Google Authenticator一样。

• Authy
  

Android的用户很多都喜欢刷机，对于数据的备份都很在意，不管Google Authenticator还是Lastpass Authenticator，都不能通过一般的方式来备份所添加的验证账户信息，如果重新刷机或者更换手机之后，就需要重新添加验证账户，是一件比较麻烦的事情。
而Authy能通过网络备份的，更换手机或手机恢复出厂后，只需登陆账号就可以恢复之前数据，非常方便。并且也支持Dropbox、Evernote、Microsoft、Lastpass、Google、Facebook等。

软件介绍

Authy 则是一款跨平台的、支持多个设备同时使用的两步验证管理工具，是 Google 身份验证器的有力替代者。Authy 的优点在于，它可以同时管理多个平台的两步验证，同时支持多设备同时使用，也可以快速在设备之间迁移、抹除。

视频介绍 ：

应用下载

Google Play 地址
iTunes 地址

如何设置

首次使用 Authy 时，需要提供手机号和邮箱进行注册，并且需要对手机号进行验证。Authy 提供了短信和电话两种方式。（图1-4）
开始添加两步验证的账号，需要先设置备份密码。（图5）
然后开始添加验证账户，操作方法与上面的软件相同。

其他 Authenticator

除了上面三个，还有Microsoft Authenticator功能与设置都类似，不详细介绍。
还有Battle.net Authenticator、Steam Guard、QQ的安全中心、新浪微盾、阿里钱盾。这些都是针对他们自家的账号，无法添加其他验证的账号。

3、密码软件

除了打开两步验证，对于那些不支持两步验证的网站软件，我们只能使用不同的用户名+不同的密码，增加的复杂程度，而且还要经常更换密码来防范。这样做虽然可以较好的防范隐患，但是但是……脑子记不住啊！既然记不住，那我们就借助密码管理软件吧。
密码管理软件是专门用于管理账号密码的安全管理应用软件，帮助用户记忆网页和应用程序登录窗口的账号密码，只需记住软件的主密码+支持账号密码自动填充和一键登录，免除用户记忆众多密码和手工输入账号密码的繁琐。
下面推荐两款密码软件吧，** 如果要使用这些软件，得信任软件公司。如果无法信任，还是不建议使用了。

• Lastpass
  
  “管理密码的最佳方式。您只需记忆主密码，LastPass 会做其余的记忆工作。”
  官网地址：https://lastpass.com/
  Lastpass提供了个人免费版，个人高级版，企业版三个模式。免费版无法跨移动设备和桌面设备无限同步；高级版每月需支付1美元的费用，可以在所有设备上同步使用。
  
  

贴一下自己的邀请链接https://lastpass.com/f?6359266 ，通过该连接成功注册，双方都将免费获得一个月的高级用户资格（最多可累计至两年）！

• 1Password
  
  使用iOS与Mac的用户可能会比较了解，最开始支持Mac/iOS，后来也支持了Win、Android。
  2016年4月9日，被苹果公司选出评定为“苹果选出iPhone十佳App”。
  最近，1Password改变了收费模式，之前是每个平台单独收费，现在改变为订阅模式，并增加了自己的云服务。新用户每月须支付2.99美元，在 2016 年 9 月 21 日之前授权还能免费试用6个月，并且全平台都可以使用。
  
  

---

总结

现在信息的发达，上网一不注意就会泄露很多自身的信息，而且还有各种泄露事件。
对于个人信息安全问题，希望大家不要觉得无所谓，要防范安全隐患，只能自己注意平时的使用习惯，提前做好安全防范，使用两步验证，增加密码的复制程度，经常修改密码，不填写敏感的个人信息。
介于我所知道知识都来自网上，如有错误，欢迎指出。也欢迎提出意见建议。

落木萧瑟

沙发自己的。。

-------------------

如果有更好的方法，请回帖。

壁纸MEOW

太多字了
不看

lyblyblyblin

很多时候就是自己怕麻烦啊

weluvmeow

楼上说得对

weluvmeow

楼上的楼上说得对

cntcgyh

两步验证
就是加上手机验证。