两步登录现场指南
两步登录(也称为双因素验证或 2FA)是一种越来越常见的安全技术,被网站和应用程序用来保护您的敏感数据。使用两步登录的网站会要求您除了输入用户名和密码外,还要输入一个额外的「令牌」(也称为验证码或一次性密码 (OTP))来验证您的身份,该令牌通常从不同的设备上获取。
如果他们无法从您的辅助设备上访问令牌,恶意行为者即使知道了您的用户名和密码,他们也无法访问网站:
基本两步登录流程
通常情况下,拥有敏感数据的网站或应用程序(例如,您的在线银行账户)会试图在登录屏幕之外验证您的身份,比如使用如下方式之一:
- 将包含令牌的 SMS/文本信息发送到移动设备上
- 要求提供由移动设备上的验证器应用程序(例如 Authy)生成的令牌
- 从物理安全钥匙(例如 YubiKey)中查找令牌
安全性通常需要在保护和便利之间进行权衡,因此最终取决于您!通常,使用两步登录的两个最重要的用途:
Bitwarden 支持多种两步登录方式,您可以使用这些方式来保护密码库数据的安全。启用两步登录后,将要求您在每次登录时,除了输入主密码外,还要完成第二步。
通过在登录时要求使用临时一次性密码 (TOTP) 来保护单个网站。您可以使用 Bitwarden 存储和生成 TOTP。
由于您的密码管理器存储了您的所有登录信息,我们强烈建议您使用两步登录来保护它。这样做可以保护您的所有登录信息,以防止恶意行为者访问您的密码库,即使他��们获取了您的主密码。
启用两步登录将要求您在每次登录时,除了输入您的主密码外,还要完成第二步。解锁密码库时您无需完成第二步,仅登录时需要。
两步登录访问 Bitwarden
Bitwarden 为免费账户提供了好几种两步登录方式,包括:
对于高级会员账户,Bitwarden 还提供了好几种高级两步登录方式:
- Duo Security 的 Duo Push、短信、电话和安全钥匙
- YubiKey(任何 4/5 系列设备或 YubiKey NEO/NFC)
由于 SIM 劫持等漏洞,Bitwarden 不支持 SMS 2FA。我们不建议对其他账户使用 SMS 2FA,除非它是唯一可用的方法。建议使用任何一种第二个因素而不是不使用,但多数替代方案比 SMS 2FA 更安全。
Bitwarden 可能不是你使用的唯一一个具有两步登录选项的网站或应用,两步登录选项对于存储敏感信息(例如,信用卡或银行账号)的网站特别有用。可以在大多数具有两步登录选项的网站的设置、安全或隐私菜单中找到它。
激活两步登录时,通常会打开一个二维�码,比如 Reddit 的这个:
2FA 二维码
使用验证器应用程序扫描这个代码后,就能使程序生成轮换的 6 位数令牌,你可以用此令牌来验证你的身份,比如这个由 Authy 生成的令牌:
TOTP 令牌
要使用 Authy 设置 Reddit 的两步登录,请点击添加账户按钮,并扫描您的网站或应用程序呈现的二维码。扫描二维码将生成你的 6 位数令牌。在验证码输入框中输入此代码,即可完成使用 Authy 的两步登录设置。
使用 Authy 的两步登录
通常,你会得到下载恢复代码的选项。下载恢复代码对于防止你失去对两步登录令牌的访问至关重要,即使你丢失安装了 Authy 的设备。
下次登录 Reddit 时,你会被要求输入来自 Authy 的验证码来验证身份。验证码每 30 秒轮换一次,所以恶意行为者在无法访问你的物理设备的情况下,将无法获取你的代码。
Authy 是 Bitwarden 推荐的验证器应用程序,因为它拥有任一设备的备份功能。即使您丢失了安装 Authy 的设备,备份功能也能防止您失去对两步登录令牌的访问。在 Authy 程序的 Accounts 界面打开 Authenticator Backups 开关,即可使用该功能。
其他验证器应用程序包括 Google Authenticator 和 FreeOTP,从 2020 年 5 月 7 日起,Google Authenticator 包含了验证码在跨 Android 设备上的可移植性功能。
作为 Authy 的替代方案,Bitwarden 为包括付费组织(家庭、团队或企业)成员在内的高级用户提供了一个内置的验证器。
与其他验证器应用一样,iOS 版和 Android 版的 Bitwarden 可以扫描二维码并生成 6 位数的令牌。使用 Bitwarden 验证器来保护网站的安全时,将保存一个与该登录项目一起轮换的 6 位数令牌。您也可以手动从任何 Bitwarden 应用中将您的验证码加密保存到密码库项目中。
使用 Bitwarden 的两步登录
可以理解的是,一些用户对使用 Bitwarden 进行令牌认证持怀疑态度。请记住,安全往往涉及到保护和便利之间的权衡,所以最好的解决方案取决于你自己。一般来说,使用 Bitwarden 验证器有两个原因:
1、便利性
Bitwarden 移动应用和浏览器扩展提供自动填写验证码的功能。当您使用 Bitwarden 自动填写用户名和密码时,它会自动将验证码复制到您的剪贴板上,以方便粘贴。
如果您使用的是浏览器扩展,您可以将登录键盘快捷键(Windows:
Ctrl + Shift + L / macOS:Cmd + Shift + L)和粘贴快捷键(Windows:Ctrl + V / macOS:Cmd + V)连在一起,实现快速登录。2、共享
对于组织来说,使用 Bitwarden 验证器进行令牌验证的一大好处是能够在团队成员之间共享生成的令牌。这使得组织可以通过两步登录保护他们的账户,而不会牺牲多个用户访问该账户的能力,也不需要两个员工之间协调以不安全的方式共享令牌。
YubiKey 设备是一种与 FIDO 身份验证协议配合使用的安全钥匙,并且可以有多种用例。两种用途是作为 2FA 安全钥匙或通行密钥。
- 2FA 安全钥匙:使用 YubiKey 作为 2FA 安全钥匙将充当身份验证过程中的附加设备。这将伴随另一种主要的身份验证方法(例如主密码)。YubiKey 安全钥匙必须物理插入才能提供身份验证凭据。
- 通行密钥:通行密钥是一对或公私密钥,用于验证登录。使用单一通行密钥,而不是创建用户名、密码并向账户添加 2FA。在创建通行密钥期间,YubiKey 能够作为通行密钥生成器来创建通行密钥登录所需的公钥和私钥。在此处了解有关使用 YubiKey 作为通行密钥的更多信息。
对于 Bitwarden,YubiKey 设备等安全钥匙的主要用途是提供 2FA 身份验证。
现在您已经是两步登录的专家了,我们建议你: