Two-Factor Authentication (2FA)

雙因素驗證（2FA）是什麼、為什麼只有密碼不夠？2FA 是一種在登入時要求通過兩道獨立驗證才能進入的安全機制。「兩道獨立」意味著這兩個因素來自不同的類別：一是「你知道的東西」（Knowledge），例如密碼或 PIN；二是「你擁有的東西」（Possession），例如你手機上的驗證碼、或一支實體安全金鑰。只有密碼的問題在於：密碼可以被釣魚竊取、被資料庫外洩、被暴力破解，一旦洩漏，攻擊者就能完全存取你的帳號。2FA 的設計讓攻擊者即使取得你的密碼，也仍然缺少第二個因素而無法登入。在加密世界，一個被攻破的交易所帳號往往意味著資產直接被清空，而且沒有任何找回機制——這讓 2FA 從「可選」變成「必做」的安全習慣。

常見的 2FA 形式有哪幾種，哪種最安全？幾個主要類型由弱到強排列。第一，簡訊驗證碼（SMS OTP）：最常見、最方便，但也是最弱的。問題是手機號碼容易被「SIM 卡劫持（SIM Swap）」攻擊——攻擊者欺騙電信業者把你的號碼轉移到他的 SIM 卡，就能截收你的簡訊驗證碼。如果可以，避免只用 SMS 作為 2FA。第二，驗證器 App（Authenticator App）：如 Google Authenticator 或 Authy，會每 30 秒在你手機上生成一組新的 6 位數 OTP。沒有網路也能使用，比 SMS 安全得多，是目前對一般使用者最推薦的標準選擇。第三，實體安全金鑰（Hardware Security Key）：如 YubiKey，插入電腦 USB 或靠近手機 NFC 就能驗證。最安全的形式——就算有人複製你的密碼、甚至建了釣魚網站，沒有實體金鑰在手邊就無法通過驗證。

在加密世界，開了 2FA 還有哪些風險要特別留意？2FA 大幅提升安全性，但不是萬能的盾。幾個加密世界特有的 2FA 相關風險。第一，釣魚網站：如果你在一個假交易所網站上輸入了帳號、密碼、以及 OTP，攻擊者會即時把這三項資訊轉用在真正的交易所上登入——這稱為「實時釣魚（Real-Time Phishing）」。App 形式的 OTP 對普通釣魚沒什麼防護；實體安全金鑰因為會驗證網站域名，才能防止這類攻擊。第二，手機遺失或 App 資料遺失：驗證器 App 的備份碼（Backup Codes）和種子非常重要——如果換手機時沒有遷移，或 App 資料被清，就會被鎖在自己的帳號外面。請把備份碼離線儲存在安全的地方。第三，SIM 卡劫持針對 SMS 2FA：前面提過，電信詐騙可轉移你的號碼；帳號若設定 SMS 2FA，這是一個真實存在的攻擊面，應換成 App 或實體金鑰。

開 2FA 要怎麼做，有哪些操作建議？幾個務實的步驟。第一，優先順序：手上所有帳號裡，最先開的應該是電子信箱（因為其他帳號的密碼重置通常都發到信箱，信箱被攻破等於所有帳號被攻破）和交易所帳號（直接持有資產）。第二，App 優於 SMS：如果一個平台提供 App 2FA 和 SMS 2FA，選 App。下載 Google Authenticator 或 Authy，掃描 QR Code 設定完成。第三，備份碼離線儲存：設定 2FA 時，平台通常會給你一組「備份碼（Recovery Codes）」，把它抄寫或列印下來、放到安全的離線地方（不是存在手機或雲端），遺失手機時它就是你的救命繩。第四，有能力的話考慮硬體金鑰：YubiKey 等實體安全金鑰對防釣魚攻擊效果最好，尤其適合大額資產的管理帳號。