如何安全保存2FA恢复代码
了解双因素认证(2FA)恢复代码的重要性、危险的存储方式和安全的保管方法,以及如何与信任的人安全共享恢复代码。
如何安全保存2FA恢复代码
双因素认证(2FA)是保护在线账户最有效的方法之一。但如果设置2FA后没有妥善保管恢复代码,一旦手机丢失或验证器应用被重置,可能永远无法登录自己的账户。
本指南将说明2FA恢复代码是什么、为什么重要,以及如何安全保管和与信任的人共享。
什么是2FA和恢复代码
双因素认证(2FA)
仅靠密码无法完全保护账户。密码一旦泄露,任何人都能登录。2FA在密码之外增加了额外的验证步骤。
- 验证器应用 -- Google Authenticator、Authy等生成的6位数代码
- 短信验证 -- 发送到手机的验证码
- 硬件密钥 -- YubiKey等物理安全密钥
恢复(备份)代码
恢复代码是启用2FA时服务提供的一次性紧急代码。当验证器应用或手机不可用时,它是访问账户的唯一途径。
通常提供8至10个代码,每个代码只能使用一次。
丢失恢复代码会怎样
| 情况 | 有恢复代码 | 无恢复代码 |
|---|---|---|
| 手机丢失 | 用恢复代码登录后重设2FA | 账户无法访问 |
| 验证器应用被删 | 用恢复代码登录后重新配置 | 账户无法访问 |
| 更换设备 | 用恢复代码在新设备上验证 | 联系客服(数天至数周) |
| 更换手机号 | 用恢复代码登录后更新号码 | 账户无法访问或延迟 |
最坏的情况是永久失去对邮箱、云存储、金融账户等的访问权限。
危险的存储方式
截图保存在相册
相册会同步到云端,可从多个设备访问。设备丢失或云账户被攻破时,恢复代码直接暴露。
在备忘录应用中明文保存
大多数默认备忘录应用没有加密。任何能解锁设备的人都能看到代码。
保存在邮件草稿中
邮箱被黑客入侵后,恢复代码也一并泄露。尤其将邮箱本身的2FA恢复代码存在邮箱里,本身就是逻辑矛盾。
未加密的文本文件
电脑上的纯文本文件容易被恶意软件或未授权访问读取。
安全的保管方法
方法1:写在纸上,存入保险箱
最传统但依然有效的方法。不受数字攻击影响,只需放在物理安全的地方。
注意事项:
- 使用防水袋防火防水
- 存放在保险箱或上锁的抽屉中
- 不要复印
方法2:加密的密码管理器
利用1Password、Bitwarden等密码管理器的安全笔记功能。受主密码保护并强力加密。
注意事项:
- 为密码管理器本身准备单独的恢复方案
- 安全管理主密码
方法3:用密码保护备忘录与信任的人共享
为紧急情况下自己无法访问恢复代码做准备,可以提前将代码安全传递给家人或信任的人。
用LOCK.PUB安全共享恢复代码
向家人或信任的人发送恢复代码时,用聊天软件或邮件发送会永久留在聊天记录中。LOCK.PUB的秘密备忘录提供更安全的选择。
使用场景
场景1:向配偶传递紧急恢复代码
- 在LOCK.PUB创建秘密备忘录并输入恢复代码
- 设置较长的过期时间(如30天)
- 将备忘录链接发给配偶
- 密码通过其他渠道告知
- 配偶查看后,写在纸上存入保险箱
场景2:与团队共享企业账户恢复代码
- 为关键业务账户的恢复代码创建秘密备忘录
- 安全传递给IT管理员
- 管理员确认后存入密码管理器
何时应重新生成恢复代码
- 已使用过任何一个恢复代码
- 怀疑保管方式已不安全
- 设备丢失或被盗
- 与共享代码的人关系发生变化
大多数服务允许在账户安全设置中作废现有恢复代码并生成新的。
支持2FA恢复代码的主要服务
| 服务 | 2FA方式 | 恢复代码 | 设置位置 |
|---|---|---|---|
| 应用/短信/密钥 | 有(10个) | 账户设置 > 安全 > 两步验证 | |
| Apple | 应用/短信 | 有 | Apple ID设置 > 安全 |
| GitHub | 应用/短信/密钥 | 有(16个) | Settings > Password and authentication |
| Microsoft | 应用/短信 | 有 | 安全设置 > 两步验证 |
| Twitter/X | 应用/短信 | 有(1个) | 设置 > 安全 > 双因素认证 |
| 应用/短信 | 有(5个) | 设置 > 安全 > 双因素认证 |
立即开始
2FA恢复代码是数字生活的安全网。现在就检查您使用的各项服务的恢复代码,并以安全方式保管。如需向信任的人传递紧急访问方式,请使用密码保护备忘录。
在LOCK.PUB创建秘密备忘录,安全共享您的恢复代码。