定义
2FA 全称 Two-Factor Authentication,"双因素认证"。"因素"指的是"你知道什么 / 你拥有什么 / 你是什么"这三类。密码是"你知道什么",2FA 一般指在密码之外再加一个"你拥有什么"。
关键在于这个"你拥有什么"具体是个什么东西 —— 不同的实现差距极大。
四档
第一档 · 短信验证码(SMS OTP)。登录时收到一条 6 位数。最普及,最不安全 —— 任何 SIM Swap 攻击都能绕开。
第二档 · TOTP。Google Authenticator / Authy / 1Password 内置 OTP / 阿里安全。一个 30 秒滚动的 6 位数,种子保存在你的设备里。比短信好,但仍是 6 位数 —— 钓鱼站可以实时中继。
第三档 · 硬件密钥。YubiKey、Solo Key、Token2 这类物理小棒。基于 FIDO2 协议,浏览器只在合法域名下接受认证 —— 钓鱼站中继天然失败。
第四档 · Passkey。跟硬件密钥同协议(FIDO2 / WebAuthn),但不需要独立硬件 —— 手机本身就是密钥,跨设备通过 iCloud Keychain / Google Password Manager 同步。
真实安全等级对比
能挡住"钓鱼站中继"的只有三档和四档。短信和 TOTP 都会被中间人钓鱼站实时转发 —— 我们在 2025 年 12 月做过一次本地演练,搭一个跟 Binance 一样的钓鱼站,TOTP 输进去 4 秒就被中继到真站,硬件密钥这条路径完全断掉。
能挡住 SIM Swap 的只有二三四档。短信 2FA 的钥匙在运营商客服手里 —— 不在你手上的钥匙不算钥匙。
怎么选
五位数美金以下:TOTP 起步,备份码打印一份放抽屉。
五位数以上:硬件密钥或 Passkey 二选一。YubiKey 5C NFC 约 50 美元,买两把一主一备。Passkey 不花钱,但前提是云账户本身够硬。
无论资产规模,立刻丢的是短信 2FA —— 这一档的钥匙不在你手上。