密码是否足以保护你的信息安全？

您是否使用双因素/多因素身份验证（2FA/MFA）?你应该这样做！密码本身已经不足以阻止黑客访问你的账户。MFA通过使用您知道的东西（您的用户名/密码）和您拥有的东西来增加密码的强度。然而，随着我们变得越来越老练，坏人也会变得越来越老练。今天的最佳措施是什么?

对于外行来说，MFA是在用户名和密码之外增加额外安全性的一种方式，可以访问基于web的应用程序、软件甚至硬件。表面上看，它可以阻止任何拥有你的密码和用户名的人进入你的账户或设备。你可以通过进入你的隐私和安全设置，在许多在线账户中开启双因素身份验证。

基本原则是，要访问资源，需要知道用户名、密码以及所拥有的东西。有四种添加MFA的主要方法。一种是由应用程序或密码管理器创建的基于时间的一次性密码（TOTP）代码。另一种是密钥卡或令牌，这是一种插入电脑或通过智能手机的NFC或蓝牙信号连接的物理设备。最常见的是使用文本消息（SMS）来创建TOTP代码。有时可能会有一个选择，使用你的东西，通常是生物识别技术，如指纹或面部识别。

短信是第二个因

很明显，如果黑客可以访问你的手机，他们就有可能拦截短信代码，通常通过说服你用一部新手机并激活它，或者利用2FA系统中的缺陷的其他技术手段来实现。由于SIM卡交换和其他问题（如重新路由短信），使用通过文本发送到手机的数字代码不再是最佳措施。然而，有些服务除了通过SMS接收代码之外，没有为MFA提供其他选择。这是有问题的，不仅因为安全价值降低，而且它使公司不得不依赖员工设备和个人手机号码作为第二个因素。

Jim Calloway提出了一个有趣的建议，如果你订阅的服务只提供短信MFA，那就申请一个谷歌语音号码。由于谷歌账户可以通过MFA得到保护，这可能比移动网络更安全。或者，如果你的公司有一个带有文本选项的VoIP系统，它比普通的短信更安全，这可能值得考虑。对于个人使用，未公布的谷歌语音号码是一个更好的选择，因为你的手机号码经常被用作你的主要家庭号码，因此被广泛使用。

身份验证器

第三方身份验证器，如Google Authenticator、Microsoft Authenticator或Duo Mobile，对于MFA来说是比SMS更好的选择。这些身份验证器是安装在你的智能手机和/或作为浏览器扩展的应用程序，并提供一次使用和定时代码来访问受保护的帐户。第一次启用身份验证时，通常在安装应用程序后显示QR码并拍摄屏幕照片，或者输入设置过程中显示的代码。

许多密码管理器也有身份验证器。许多流行的密码管理器，包括1Password和Dashlane，都有身份验证器。一些密码管理器，如Keeper，已经集成了内置的身份验证器，所以当你登录时，它会填充用户名和密码，以及TOTD代码。

令牌或密钥卡

使用双因素身份验证的更难以破解的方法是使用物理设备（您拥有的东西）而不是通过SMS发送的代码。市场领导者包括Yubico，Feitian MultiPass, NitroKey和OnlyKey。谷歌和Facebook等科技公司现在都在使用Yubico的YubiKey。这些设备需要一个USB卡才能与电脑连接，或者使用手机的NFC信号，这在安卓设备和iOS 11上都可以使用。只需插入或轻敲键盘，即可提供第二个身份验证因素，以防止短信代码可能出现的故障。这些设备的价格从20美元到60美元不等，可供公司部署。

结论

NIST的最佳措施建议避免将短信作为身份验证方法，并且用户应该至少每30天要求一次身份验证刷新。不要永远信任您的设备，而是定期强制进行身份验证刷新。即使你在移动设备上安装了身份验证应用程序，而不是使用短信，你也需要锁定手机屏幕，并对手机进行加密。要保护在线帐户中的敏感信息，请考虑减少密码漏洞暴露的方法，并通过MFA增加另一层安全性。