使用 TOTP 进行两步验证 它已成为保护您帐户的重要屏障:除了密码之外,您还必须输入定期更改的第二个代码。在本文中,我将为您带来一份全面的指南,其中包含应用程序比较、配置技巧和实际使用案例,所有这些都将以用户友好的方式进行详细解释,确保您不会迷失方向。
除了简单的列表之外,您还可以在这里找到 实用信息 要选择最佳的 TOTP 应用,请学习如何在热门服务(GitHub、Bitwarden、Nextcloud 等)上进行设置,了解如何使用 Node.js 在后端实现它,并避免可能导致账户被锁定的常见错误。让我们开始吧。
什么是 TOTP 以及为什么您应该立即激活它
TOTP(基于时间的一次性密码) 这是一种生成基于时间的一次性密码的算法。您的应用和服务器共享一个密钥;它们使用系统时钟计算相同的代码,该代码通常每 30 秒更新一次。由于它可以离线工作, 它快速、可靠且非常舒适,并增加了第二层保护,即使您的密码泄露也能阻止攻击。
2FA 中有多种方法(短信、电子邮件、生物识别、物理密钥、推送通知......),但 TOTP 应用程序通常是最平衡的选择 为了保护隐私、可用性和控制力。注意:短信虽然可以作为救援手段,但功能不够强大可靠,尤其是在美国境外。
开始之前的重要提示
首先, 不要从您的应用中删除 2FA 帐户。 无需先从服务网站停用即可。很容易被永久封禁。其次,生成并保存 恢复代码 只要它们可用。第三,规划你的备份:选择具有加密云备份的应用程序,导出到加密文件,或使用帐户同步,以避免在切换手机时丢失令牌。
现实情况: 每 39 秒就会发生一次网络攻击 全球任何地方均可使用。使用 TOTP 激活双重身份验证只需不到两分钟,即可提升您的安全性。如果您还添加物理安全密钥作为替代方法,那就更完美了。
如何选择 TOTP 应用:要注意什么以及避免什么
最佳应用程序组合 安全、便捷、导出/备份 以及跨平台兼容性。关键在于它们能够通过生物识别或 PIN 码进行保护,隐藏屏幕代码,并提供加密备份或安全导出。如果您使用多个操作系统,请寻找 Android、iOS 和桌面之间的同步.
远离什么?没有备份或导出功能的应用程序, 平台之间不兼容的副本 (如果您在 iOS 和 Android 之间切换),或者如果您不需要电话号码,则需要输入电话号码。在危机时刻,这些细微的细节至关重要。
TOTP 身份验证应用程序的完整比较
以下是概述 具有在最佳指南、文档和专业分析中最常出现的工具的最相关功能和细微差别。
Google 身份验证器(Android、iOS)
这是经典的参考: 免费、简单、无需账户使用单个二维码一次性导出所有令牌,并迁移到另一部手机。在 iOS 上,您可以使用 Face ID/Touch ID 保护访问权限并搜索令牌。它缺乏原生云备份,并且无法始终隐藏代码,这在公共场合可能会很尴尬。 如果您不想使用云,那么这是理想之选 并且您优先考虑简单性。
Microsoft Authenticator(Android、iOS)
将密码管理器和 TOTP 结合起来 生物识别/PIN 保护、代码隐藏 以及云备份。弱点:iOS 和 Android 备份 彼此不相容,不导出令牌,占用大量空间(150-200 MB)。如果您使用 Microsoft 生态系统,它会让登录更加便捷。
Twilio Authy(Android、iOS、Windows、macOS、Linux)
多平台明星: 完美同步 移动设备和桌面设备均可使用,并具有云备份和 PIN 码/生物识别保护。需要使用电话号码创建账户,移动界面显示 一次一个令牌,在账户数量较多的情况下,灵活性较差。它不支持导出/导入令牌,但作为 Google/Microsoft 的替代方案,它是最好的方案之一。
Duo Mobile(安卓、iOS)
在公司中很受欢迎, 简洁的界面,隐藏代码,无需创建新账户即可备份到 Google Cloud(Android 版)或 iCloud(iOS 版)。应用本身没有访问保护, 不支持 iOS/Android 副本 彼此。如果你不打算更换平台,它可以完美地为你服务。
FreeOTP(安卓、iOS)
开源项目, 极简主义,非常轻便 (2-3 MB)。不支持云存储或令牌导出;在 iOS 上,它不允许您使用手动密钥创建令牌(仅支持二维码)。在 iOS 上,您可以使用 Face ID/Touch ID 保护令牌,令牌默认隐藏,并且在 30 秒不活动后也会隐藏。 对于那些注重极简主义和隐私的人来说.
andOTP(安卓)
非常完整且开源: PIN/密码/指纹锁、标签、搜索、因不活动而自动隐藏和锁定、“紧急按钮”可删除所有内容以及导出到加密文件(例如 Google Drive)。虽然它已经停产,但仍然非常稳定。 Riesgo: : 恢复密钥的便利性需要非常好的访问保护。
Aegis Authenticator(安卓)
现代开源替代方案, 免费,加密,生物识别 以及良好的备份选项。它支持从 Authy/andOTP 以及几乎所有 2FA 格式导入。部分强大功能需要 root 权限,并非人人适用。 良好的平衡 安全性和可用性之间。
OTP 认证(iOS、macOS)
适用于 Apple: 整理文件夹、导出到文件、密钥/二维码读取、iCloud 同步以及 Face ID/Touch ID 或密码保护。它不会隐藏代码,部分功能在 macOS 上需要付费。对于 iPhone/Mac, 这是最完整的.
第二步(iOS、macOS)
极简主义, iCloud同步 以及 Apple Watch 支持。没有访问保护,没有代码隐藏,没有令牌导出/导入,免费版限制您最多使用 10 个令牌。在 macOS 上,需要屏幕截图权限才能读取二维码。 如果你想要一些非常简单的东西,那就完美了 在 Apple 生态系统中。
WinAuth(Windows)
面向玩家:支持代币 非标准 除了标准 TOTP 之外,它还支持 Steam、Battle.net 或 Trion/Gamigo。它允许您加密数据,并以纯文本或加密文件形式导出。 使用密码或 YubiKey 保护 并自动隐藏代码。它仅适用于 Windows,并且通常 不建议在 PC 上使用 2FA,但对于游戏来说,它是一颗宝石。
Authenticator App(Apple 生态系统)
带有适用于 iPhone、iPad、Mac 和 Apple Watch 的应用程序的 Checker,以及 适用于几乎所有浏览器的扩展 (Safari、Chrome、Brave、Tor、Vivaldi……)。它的免费版本功能非常有限;付费版本增加了备份和同步功能。它包含加密功能, 与家人分享 并使用 Face ID 进行锁定。如果你住在苹果城,这是一个值得考虑的选择。
2FAS(2FA 身份验证器)
简单的, 免费且具有 E2E 加密,可离线使用,并允许您通过密钥或二维码链接令牌并将其同步到 Google Drive。提供备份功能,确保您不会丢失令牌,此外还包含浏览器扩展程序、PIN 码/生物识别功能,并且没有广告。高级选项较少。 但非常可靠 日复一日。
1Password(内置 TOTP)
付费密码管理器 包括 2FA TOTP 集成。最大的优点是支持网站的代码自动填充和统一的凭证管理。它并非纯粹的双因素身份验证 (2FA) 应用,但如果你已经使用过 1Password, 它简化了你的生活 在移动设备、桌面设备和浏览器上。
Bitwarden(集成 TOTP)
开源且对单个用户免费;付费版本添加了 TOTP, 网站和应用程序上的自动完成功能它默认生成六位代码(SHA-1,30秒),并允许您通过编辑 TOTP URI 自定义参数。如果您启用该选项,浏览器扩展程序会在自动完成后将 TOTP 复制到剪贴板。 很圆 集中密码和 2FA。
TOTP 认证器(BinaryBoot)
界面简洁,全面支持 2FA 服务。它提供 云同步高级版 使用 Google Drive(您控制数据)、浏览器扩展程序(高级版)、深色主题, 标签和搜索、跨平台支持(Android/iOS)、多设备使用(加密备份)、多个小部件、图标自定义和 生物识别安全 可以选择阻止截图。免费版本功能有限。
Protectimus 智能 OTP
适用于 Android 和 iOS,兼容 Android 手表, 支持多种协议 并允许你使用 PIN 码保护应用。虽然不太知名,但如果你正在寻找各种标准和 用于可穿戴设备.
操作指南:如何在热门服务上激活 TOTP
让我们按照具体的指示去做, 从官方文件中提炼 这样您就可以配置 TOTP 而不会迷失。
在 GitHub 上配置 TOTP(TOTP 应用程序或短信,以及其他方法)
GitHub 建议使用 基于云的 TOTP 应用程序和安全密钥 作为备用方式,而非短信。激活 2FA 后,您的帐户将进入 28 天的验证期:如果您未通过身份验证,系统将在第 28 天提示您进行 2FA,并在出现问题时重新配置。
- 逐步 TOTP:用户设置 → 密码和身份验证 → 启用 2FA → 使用 TOTP 应用程序扫描二维码或使用手动设置键(输入 TOTP,GitHub 标签: ,GitHub 发行者,SHA1,6 位数字,30 秒)。使用当前代码验证并下载 恢复代码.
- 短信作为替代方案:通过验证码后添加您的号码,输入通过短信收到的验证码,并保存恢复码。仅在您无法使用 TOTP 时才使用此方法。
- 密钥如果您已经通过 TOTP 应用程序或短信拥有 2FA,请添加密钥以无需密码登录,同时仍然满足 2FA 要求。
- 安全密钥(WebAuthn)激活 2FA 后,请注册一个兼容的密钥。它算作第二个身份验证因素,需要您的密码;如果您丢失了密码,可以使用短信或 TOTP 应用。
- GitHub 移动版:有了 TOTP 或短信后,您可以使用移动应用程序 推送通知;不依赖 TOTP 并使用公钥加密。
如果 TOTP 应用不适合您, 注册短信作为 B 计划 然后添加安全密钥来提高安全性,而不会使事情变得复杂。
Bitwarden Authenticator:生成、自动填充和技巧
Bitwarden 生成 6 位 TOTP 使用 SHA-1 和 30 秒旋转您可以通过浏览器扩展程序(相机图标)扫描二维码,或在 iOS/Android 设备上手动输入代码。配置完成后,您会在项目内部看到旋转的 TOTP 图标,并且可以像密码一样复制它。
自动完成如果您启用“页面加载时自动填充”,浏览器扩展程序会在自动填充后自动填写 TOTP 或将其复制到剪贴板。在移动设备上,自动填充登录信息后,代码会被复制到剪贴板。
如果你的代码不起作用, 同步设备时钟 (在 Android/iOS 上打开/关闭自动时间;在 macOS 上,日期/时间和时区也一样。)如果服务需要不同的设置,请编辑 URI otpauth 在项目中手动调整数字、周期或算法。
在 iOS 16+ 上,您可以将 Bitwarden 设置为 默认应用验证 从相机扫描代码时:设置 → 密码 → 密码选项 → 使用以下方式设置验证码 → Bitwarden。扫描完成后,点击“在 Bitwarden 中打开”即可保存。
对于 Microsoft Azure/Office 365 帐户:在 2FA 设置期间,选择“另一个身份验证器应用程序”而不是 Microsoft Authenticator,并使用 Bitwarden 扫描二维码。对于 Steam,请使用带前缀的 URI。 steam:// 然后是你的密钥;代码将是 5 个字母数字字符.
Nextcloud:TOTP 和备份代码
如果您的实例启用了 2FA,您将在个人偏好设置中看到 密码和二维码 使用 TOTP 应用进行扫描。生成并保存 备用码 放在安全的地方(而不是手机本身),因为如果您丢失了第二个因素,他们会帮助您摆脱困境。
登录时,请在浏览器中输入 TOTP 密码,或者如果您已设置其他第二步,请选择其他步骤。如果您使用 WebAuthn, 不要重复使用相同的令牌 用于 2FA 和无密码登录,因为它不再是“双重”因素。
企业案例研究:专科药物门户网站(AEMPS)
典型流程示例:安装 TOTP 应用程序(Microsoft/Google Authenticator、FreeOTP、Authy……)并从浏览器 请求“重置验证码” 在凭证页面上。您将收到一封电子邮件,其中包含显示二维码的链接。
使用您的应用程序扫描二维码, 您将看到您的第一个代码 然后返回浏览器,在重置页面上输入验证码。然后,选择“验证码”方式登录:用户名、密码以及手机上显示的当前 TOTP 码。
硬件钥匙:YubiKey 作为奢华配件
为了最大程度地保证安全, Yubico 的 YubiKey 它堪称黄金标准:IP68 级物理密钥,无需电池,坚固耐用,并兼容 FIDO2、U2F、OTP、智能卡等技术。它们可与 Google、Facebook 和许多其他服务完美兼容。如果某项服务不支持硬件, 您可以使用他们的身份验证器应用程序 备份。甚至还有针对需要备份的环境的 FIPS 认证型号。
理想: TOTP 应用程序 + YubiKey当您想要最大限度地保护自己时,您总是可以使用第二个因素,并且可以使用另一个高度安全的因素。
在后端实现 TOTP(带有 otplib 的 Node.js)
如果您开发自己的应用程序,TOTP 很容易与 otplib 以及少量 Express.js。工作流程分为两个阶段:将 TOTP 密钥与用户关联,并在登录时验证代码。
- 协会:在服务器上生成一个密钥,创建 OTPauth URI,并将其显示为二维码(使用 QRcode 等库)。用户使用他们的应用程序扫描它并向您发送 TOTP。 验证并保存关联.
- 验证:每次正确密码登录时, 请求 TOTP 并根据保存的密钥检查其有效性。如果有效,则完成登录。
正如您所见,这是一个非常清晰的模式: 你同步一个秘密验证第一个代码,然后将轮换的 TOTP 代码与每次登录进行比较。简单、可靠,且兼容大多数身份验证器应用。
可以帮你省去麻烦的技巧和好做法
想想你的“B计划”: 恢复代码和替代方法 (安全密钥、短信、推送移动应用程序),如果您依赖云同步,请检查是否有 iOS 和 Android 之间的不兼容性 (Microsoft 和 Duo 案例)这样您在更换手机时就不会感到意外。
何时使用内置 TOTP 的密码管理器
如果您已经使用 Bitwarden 或 1Password, 激活 TOTP 模块 在同一工具中统一密码和双重身份验证,并实现自动填充。优点:速度快,减少摩擦。缺点:将更多敏感元素集中在一个地方,因此 使用强大的 2FA 进行保护 并检查安全导出/备份选项。
特色应用和兼容性摘要
安卓:Google Authenticator、Microsoft Authenticator、Authy、Duo、FreeOTP、Aegis、andOTP、2FAS、Protectimus、TOTP Authenticator、WinAuth(非移动)。在 iOS:Google Authenticator、Microsoft Authenticator、Authy、Duo、FreeOTP、OTP Auth、Step Two、Authenticator App、TOTP Authenticator。服务台: Authy(Win/macOS/Linux)、OTP Auth(macOS)、Step Two(macOS)、WinAuth(Windows)。
至 特殊电子游戏代币,WinAuth 在 Steam 和 Battle.net 上表现出色;Bitwarden 可以处理 Steam steam://在苹果公司, 集成身份验证器 在 iOS 15+ 和 Safari 15+ 上它很有用,但它的自动完成功能并不总是能达到目标,也不像专用应用程序那样敏捷。
选择 TOTP 应用程序的快速清单
- 需要 真正的跨平台 (移动端 + 桌面端)?Authy 是个不错的选择。
- 极简主义且无云? 谷歌身份验证 或 FreeOTP 是一个很好的基础。
- 开源且控制精细? 庇护 (Android)或 OTP Auth(iOS)脱颖而出。
- 一体化管理器 + TOTP? Bitwarden 或者 1Password 让它变得更简单。
- 遊戲世界? 验证 支持非标准令牌。
不管您选择什么 生成备份副本 并保存恢复代码。在情况最糟糕的时候,它简直就是救星。
激活 TOTP 可以让您以最少的时间成本获得巨大的安全性飞跃,并且通过您所看到的应用程序,您可以选择最适合您的应用程序:从简单的无云解决方案到跨所有设备的同步生态系统,包括为您自动完成代码的管理器或用于闭环的物理密钥。 高安全性场景通过几个正确的决定和一个备用计划, 你的账户将从“任人摆布”变为“无所畏惧”.
