2FA 是什么？常见网站如何设置双因素认证

2FA 是 Two-Factor Authentication，中文通常叫“双因素认证”。它的目标是：即使密码泄露，攻击者也不能只靠密码登录你的账号。

“因素”通常分三类：

• 你知道的东西：密码、PIN。
• 你拥有的东西：手机、认证器 App、安全密钥、已登录的可信设备。
• 你自身的特征：指纹、面容等生物识别。

严格说，2FA 要求来自不同类别的两个因素。很多网站把“密码 + 一次性验证码”也称为 2FA 或 2-Step Verification。

方式	怎么工作	优点	注意点
认证器 App / TOTP	Google Authenticator、Microsoft Authenticator、1Password、Bitwarden 等生成 6 位动态码	离线可用，通用性强，比短信更稳	换手机前要迁移或保存恢复码
Passkey / 安全密钥	用设备密钥、指纹/面容、YubiKey 等硬件密钥完成验证	抗钓鱼能力强，适合重要账号	要准备备用设备或备用密钥
推送确认	在已登录手机或 App 中点击“是我”	体验好，适合日常登录	不要盲点同意；遇到陌生登录要拒绝
短信 / 邮箱验证码	网站发送一次性验证码到手机号或邮箱	门槛低，容易上手	可能受 SIM Swap、邮箱被盗、运营商延迟影响
恢复码 / 备用码	启用 2FA 后生成的一次性备用登录码	手机丢失时救命	必须离线保存，不能只存在同一个手机里
App 专用密码	给旧邮件客户端、旧应用生成单独密码	兼容不支持 2FA 的旧应用	不用时要撤销，避免长期暴露

Google / Gmail

路径：Google Account → Security → How you sign in to Google → 2-Step Verification。

常见方式：Google Prompt、Authenticator、Passkeys/security keys、备用码。建议先开启认证器 App 或 passkey，再保存 backup codes。

GitHub

路径：GitHub → Settings → Password and authentication → Two-factor authentication。

常见方式：TOTP 认证器 App、短信、GitHub Mobile、passkey/security key、恢复码。开发者账号建议优先用 TOTP 或安全密钥，不要只依赖短信。

Microsoft / Outlook / Xbox

路径：Microsoft account → Security → Advanced security options → Two-step verification。

常见方式：Microsoft Authenticator、邮箱、手机号、安全密钥。启用后，旧版邮件客户端可能需要 app password。

Apple Account / iCloud

路径：iPhone/iPad 设置 → 你的名字 → Sign-In & Security；Mac 系统设置 → Apple Account → Sign-In & Security。

常见方式：可信设备弹窗、可信手机号验证码、安全密钥。Apple 账号尤其要确保可信手机号仍可用。

Facebook / Instagram

路径通常在 Meta Accounts Center → Password and security → Two-factor authentication。也可以从 Facebook 或 Instagram 的 Settings 进入 Accounts Center。

常见方式：认证器 App、短信、WhatsApp/登录通知、恢复码、安全密钥（是否显示取决于账号、地区和客户端）。建议优先用认证器 App，并保存恢复码。

X / Twitter

路径：Settings and privacy → Security and account access → Security → Two-factor authentication。

常见方式：认证器 App、安全密钥、短信。短信 2FA 的可用性可能受账号类型、地区和平台政策影响，优先选择认证器 App 或安全密钥。

• 换手机前：先迁移认证器 App，确认新手机能生成验证码后，再清理旧手机。
• 手机已丢：用恢复码、备用手机号、备用安全密钥或已登录设备进入账号。
• 团队账号：给组织账号设置多个管理员，避免唯一管理员丢失 2FA 后全员受影响。
• 无法恢复：走平台账号恢复流程。重要账号建议提前补齐实名、备用邮箱、手机号和恢复码。