Android 两步验证：避免登录错误的完整指南

如今保护手机和网络账户可不是儿戏： 越来越多 泄漏密码盗窃和网络钓鱼攻击 这会使电子邮件、社交媒体、网上银行甚至投资面临风险。在安卓系统上，真正的安全屏障不再仅仅是密码，而是多种因素的结合，以确保确实是您本人在尝试登录。

在这种情况下， Android上的两步认证（2FA或两步验证） 它已成为每个人都应该启用的基本选项。它要求除了常用密码之外，还需要第二种验证方式：可以是临时验证码、手机通知、安全密钥，甚至是指纹或面部识别。这样，即使有人猜到或窃取了您的密码， 如果没有第二重验证，您将无法访问您的帐户。.

双重身份验证究竟是什么？它如何融入安卓系统？

当你访问网站或应用程序时，通常的做法是输入 用户名（或电子邮件地址、电话号码）和密码这样就能验证你的身份。这就是单因素身份验证。问题在于密码容易泄露，在无数网站上重复使用，而且通常强度很低，很容易被猜到。

双重身份验证增加了 第二个独立证据证明是你。通常，第二步验证会采用临时多位验证码、手机推送通知（需您批准）、短信或生物识别验证等方式。其目的是将您知道的信息（密码）与您拥有的物品（手机、安全密钥）或您自身的特征（指纹、面部识别）结合起来。

实际上，流程大致如下： 首先输入密码，然后进行双重验证。只有通过两项测试才能获得访问权限。这意味着，即使有人获得了你的密码，他们仍然需要你的手机、钥匙或身份验证应用程序代码——这些东西很难悄无声息地被窃取。

然而，需要明确的是： 没有百分之百完美的系统。双因素认证 (2FA) 能大幅降低风险，但仍可能通过 SIM 卡交换、高级代码钓鱼或短信拦截恶意软件等手段被攻破。即便如此，与仅使用密码相比，其安全性提升仍然非常显著。

如何在安卓设备上启用 Google 帐户的两步验证

您的 Google 帐户包含大量数据： Gmail、Google Photos、Google Drive、地图位置、YouTube、Android、购物和订阅如果您每天都使用安卓设备，那么启用双重验证应该是您做的第一件事。

要在 Android 设备上设置 Google 帐户的两步验证，一般步骤非常简单： 首先登录您的帐户，然后进入安全部分。您将在此处看到具体的两步验证选项。

具体来说，Android 的标准流程如下（菜单名称可能因版本而略有不同）： 打开手机设置，进入“谷歌”，然后点击“管理你的谷歌账号”。在“安全”选项卡中，找到“如何登录 Google”部分，然后点击“两步验证”或“启用两步验证”。

启用此功能后，Google 会要求您按照一些引导步骤操作： 确认您的身份，注册手机号码，选择双因素身份验证方式（通知、短信、访问密钥、身份验证器应用程序） 在某些情况下，还会生成备用代码。整个过程都会显示在屏幕上，只需接受并仔细阅读即可。

如果您的 Google 帐户是企业帐户或教育帐户（由公司、大学或机构管理）， 管理员可能已经配置了自己的策略在这种情况下，您可能看不到完全相同的选项，也无法自行激活双重验证。您需要联系管理员启用两步验证或了解内部操作流程。

Android 和 Google 上提供的第二因素身份验证方法

一旦启用两步验证， 完成第二步，您可以选择几种不同的方法。并非所有这些选项都具有相同的安全性和便利性，Google 会随时根据您的设置、您的设备以及您登录的位置来决定哪个选项最合适。

登录时，经常会遇到 根据谷歌检测到的风险，会发出不同的身份验证请求。有时是简单的推送通知，有时是应用程序生成的代码，有时是短信，如果您有访问密钥，甚至可能看不到传统的第二步。

实际上，在 Android 和 Google 服务上最常用的方法是： 通行密钥、谷歌通知、身份验证器应用、短信和电话、特殊二维码和替代验证码理想情况下，你应该组合使用多个设备，以便在手机丢失或信号中断时有备用方案。

访问密钥（密码）和硬件安全密钥

访问密钥现在就在这儿。 最简单同时也是最安全的登录方式 由谷歌在安卓系统上提供。它们基于FIDO联盟和W3C标准，并使用类似于物理安全密钥的公钥加密技术。

当您使用访问密钥登录时， 您无需输入密码或第二个传统验证码。访问密钥本身可以证明您随身携带设备，并且正在使用屏幕锁定（PIN 码、图案、指纹或面部识别）。在安卓系统中，这只需看一眼手机或将手指放在读卡器上即可登录。

访问密钥已存储 在您的 Google 帐户中，并在您的设备之间同步 它们具有兼容性。它们无法写在纸上、邮寄或以可读文本的形式传播，因此攻击者“索要”您的访问密钥毫无意义。正因如此，它们才能极强地抵御网络钓鱼和撞库攻击。

除了软件通行密钥外，还可以选择使用 硬件安全密钥这些是小型物理设备（USB、NFC、Lightning 等），您可以将其连接到手机、平板电脑或计算机，以验证登录者是否是您本人。它们非常适合保护关键帐户（主要电子邮件、银行帐户、管理面板、加密货币帐户），因为…… 它们几乎不可能被远程窃取。.

如果发生黑客攻击，试图窃取您的密码或其他个人数据， 访问密钥和实体钥匙是抵御网络钓鱼最有效的防御手段。即使你被带到一个虚假网站并意外输入了你的凭据，如果域名不是真实的，密钥也不会对登录进行签名。

作为第二重因素的谷歌通知

如果你暂时还不想获取密钥， 谷歌官方推荐使用谷歌通知功能。 为了进一步平衡安全性和便利性，您将不会收到验证码，而是会在手机上收到一条通知，询问您是否是本人正在尝试登录。

这些通知会以如下方式送达： 向您已登录 Google 帐户的 Android 手机发送推送通知 它也适用于已登录 Google 帐户的 iPhone，例如 Gmail、Google Photos、YouTube 或 Google 应用。您无需记住任何代码，只需勾选并轻点即可。

收到此类警报时，通常可以： 如果您是登录者，请点击“是”；如果您不认识该登录尝试，请点击“否”。在某些情况下，谷歌会向您显示额外信息，例如您尝试访问时使用的设备或大致位置。

为了进一步加强安全性，谷歌可能会询问您 您的 PIN 码或其他生物识别验证 通过批准通知。这样，即使有人拿起你未锁定的手机几秒钟，也无法轻易登录。

通知相对于短信的一个主要优势是： 它们并不依赖于你的电话号码因此，它们能更好地防止 SIM 卡复制等利用传统移动网络的攻击和其他滥用行为。

身份验证应用程序：它们的工作原理以及为何如此安全

身份验证应用是安卓系统上现代双因素身份验证的另一支柱。它们基于…… 基于时间的一次性密码（TOTP） 这些文件按照开放标准在您的设备本地生成。其中最常用的包括： Google Authenticator, 权威 o 微软身份验证器以及其他许多方面。

所有服务的操作流程基本相同： 您可以在所需的网站或应用程序上激活两步身份验证，扫描二维码，或在身份验证器应用程序中输入文本密钥。 从那一刻起，该应用程序将只为您的帐户生成有效代码。

从技术上讲，该在线服务会为您提供一个与您的帐户关联的唯一密钥，以及身份验证应用程序。 将该密钥与当前时间和已知的数学算法结合起来。由于服务服务器也拥有算法的“另一部分”，因此两者可以在几秒钟内计算出相同的代码，而无需相互连接。

所以你会看到…… 该应用程序的代码大约每 30 秒更改一次。每种组合的有效期都很短，所以即使有人在你的屏幕上看到了代码，他们也只有非常有限的时间使用它。

由于这些应用程序已经保存了密钥，并且使用系统时间进行计算， 它们无需网络连接即可工作。这有两个非常明显的优点：你可以在没有移动数据或 WiFi 的设备上使用它们，而且它们也更难受到远程攻击，因为设备在生成代码时甚至不会与服务通信。

在日常生活中，这个过程很简单： 打开身份验证应用程序，查看与相关服务关联的代码，然后将其输入到网站或应用程序中。这样就克服了第二个障碍。即使攻击者获得了你的用户名和密码，如果没有修改后的验证码，他们仍然无法登录。

Android 版 Google Authenticator：设置、使用和同步

Google Authenticator 是 Google 提供的用于生成身份验证器的解决方案。 一次性验证码，兼容大多数支持 TOTP 类型双因素身份验证的服务。虽然它广泛用于谷歌账户，但也适用于 Facebook、Instagram、亚马逊、GitHub、VPN、银行等等。

即使您的手机没有数据流量或信号覆盖，该应用程序也能生成代码： 它只需要系统时间和您设置时提供的密钥。如果你经常旅行、在信号覆盖不佳的地区工作，或者不想依赖短信，那么这是一种非常可靠的方法。

要在安卓设备上使用谷歌身份验证器，您需要 运行 Android 5.0 或更高版本的设备在最新版本中，该应用程序还允许您将代码与您的 Google 帐户同步，以便 可同时在多个设备上使用无论是在传输过程中还是在谷歌服务器上存储时，数据始终加密。

使用 Google 帐户开始使用该服务的典型步骤如下： 在安卓设备上，进入谷歌账号的两步验证设置，点击“设置身份验证器”，然后按照说明操作。在某些设备上，您会先看到“开始”按钮，然后才能扫描二维码。

如果您想在不关联 Google 帐户的情况下使用身份验证器，也是可以的： 首次打开应用时，您可以选择“无需账号即可使用”。如果您已经将兑换码同步到您的帐户，您可以从应用程序中的个人资料切换到无帐户模式，但这会将所有兑换码移动到设备的本地存储中，并且它们将无法在其他手机上使用。

如果你没有云同步功能，并且更换了手机， 您可以手动转移您的代码。要做到这一点，你需要一台装有身份验证器的旧设备，一台已安装并更新应用程序的新设备，然后按照“转移帐户”流程操作，从旧设备导出帐户，并通过新设备上的二维码导入帐户。

在日常管理方面，该应用程序允许 编辑每个代码的名称，通过拖动重新排列它们，并通过滑动删除它们。如果启用了同步功能，任何更改都会影响您的所有设备。此外，您还可以启用“隐私屏幕”来…… 该应用程序会要求您输入 PIN 码、图案或生物识别信息。 每次你想查看验证码时，这都能增加一层保护，以防手机丢失或借出。

通过短信、电子邮件和二维码进行双因素身份验证：优缺点

第二因素分析中最常用的方法之一是 通过短信发送六位数验证码它简单易用，通用性强（任何带SIM卡的手机都能接收），无需安装。您只需输入用户名和密码，接收短信，将验证码复制到网站上，就完成了。

最大的问题是…… 短信正日益受到质疑 作为一种安全方法。诸如 SIM 卡交换之类的技术允许攻击者通过社会工程手段，说服运营商将您的号码分配给另一张 SIM 卡。此后，所有短信，包括双因素认证验证码，都会发送到这张 SIM 卡上。

还有一些恶意软件能够 直接在手机上拦截短信 并将验证码转发给攻击者的服务器。这一点，再加上账户恢复流程中的漏洞，促使西班牙数据保护局 (AEPD) 等机构建议尽可能优先使用 TOTP 应用，而不是基于短信的双因素身份验证 (2FA)。

电子邮件验证的概念与之类似： 您将在收件箱中收到一个临时密钥或确认链接。它很方便，而且不依赖于你的手机号码，但是如果你的主要邮箱保护措施不好或者没有启用双因素身份验证，它就会成为攻击者的主要目标。

在某些 Google 流程和其他高级服务中，使用 扫描二维码以验证您的身份或电话号码其原理是，用户用手机扫描电脑上的二维码，在手机上完成安全验证流程，然后再回到电脑继续操作。由于这种方法不使用短信网络，因此不易被滥用手机号码。

安卓系统上双因素认证对用户和企业的实际优势

在安卓设备上使用两步验证的主要优势显而易见： 它能大大提高您账户的安全性。即使你的密码强度很弱，或者在数据泄露事件中被泄露，如果没有你的第二重验证，攻击者仍然无法进入你的系统。

该系统还起到以下作用： 有效抵御传统网络钓鱼在许多攻击中，用户会在虚假网站上输入密码，该网站会将密码发送给网络犯罪分子。如果正确配置了双因素身份验证（尤其是使用访问密钥或 TOTP 应用），仅凭密码无法打开系统，从而显著降低损失。

另一个非常有用的好处是： 如果有人试图入侵你的账户，你会立即发现。如果您在未登录的情况下收到短信、推送通知或双重验证应用中的提醒，这表明有人正在测试您的电子邮件地址和密码。这种早期预警可以让您有时间更改密码并检查您的访问设置。

在企业环境中，双重身份验证也能简化流程。 密码恢复流程并减少对技术支持的呼叫如果员工可以使用移动双因素身份验证安全地重置密码，则可以为各方节省时间、金钱和避免麻烦。

此外，移动端双因素认证允许这样做。 员工可以从办公室外访问公司文件、应用程序和数据。 在尽可能减少内部网络暴露的情况下，结合 VPN 和严格的安全策略，它是任何企业移动战略的关键组成部分。

局限性、高级风险和用户疲劳

双因素认证并非全是优点。它最大的缺点之一是： 用户感受到的不适感登录过程需要额外几秒钟，在手机上查找验证码，或者等待短信到达，这可能会很麻烦，很多人最终因为懒惰而将其停用。

此外，还存在明显的依赖关系 以移动电话为中心设备如果您的电池没电、失去保障、设备丢失或被盗，您可能会暂时无法访问您的帐户，尤其是在您没有设置其他恢复方法（例如物理钥匙、备份电子邮件或恢复代码）的情况下。

在采用短信认证的服务中， 覆盖范围问题或送货延迟 这是个典型的问题：你申请验证码，没收到，你再次申请，结果输入了过期的验证码，最终可能因为尝试次数过多而被暂时锁定。这会让人感到沮丧，并增加人们放弃双因素认证的可能性。

在高级威胁层面，我们已经提到了SIM卡交换和实时双因素身份验证网络钓鱼（AITM攻击，“中间人攻击”）。在后者中，攻击者会建立一个克隆网站，充当用户和真实服务之间的中介。 同时捕获密码和一次性代码 并立即使用它们。

还有 专门用于拦截短信代码的恶意软件 或者通过手机推送通知，以及利用帐户恢复流程中的漏洞，在公司没有正确修复所有漏洞的情况下，攻击者可以绕过一些安全措施。

最后，电话 MFA疲劳 这种情况越来越普遍：如果用户收到大量登录推送通知（例如，有人强迫其登录），他们可能会因为沮丧或疏忽而接受其中一条。因此，对于企业而言，监控请求模式并在发现任何可疑情况时实施额外的控制措施至关重要。

综合考虑以上因素，Android 上的两步验证成为保护帐户安全的强大工具： 通过将强密码与访问密钥、安全通知、TOTP应用程序和管理良好的备份相结合你让窃取你的访问权限所需的努力远远超出了大多数攻击者愿意投入的程度。