超越密码：通过多因素认证（MFA）保护您的加密财富

让我们坦诚一点。你用来登录加密货币交易所账户的密码？那个包含你狗的名字和出生年份的密码？它并不是保护你数字财富的坚固大门，而是一扇纱窗。一个决心坚定的攻击者，只需一个键盘记录器、一封网络钓鱼邮件，或者一份从其他网站泄露的密码列表，就能轻易突破这道防线。

漏洞，可能会直接穿透它。

在传统金融中，你有保险、欺诈部门和撤销交易的能力。在加密货币中，你就是银行、安全负责人和保险公司。口号“不是你的密钥，就不是你的加密货币”让人感到振奋，但它也带来了一个可怕的附带条件：“你的密钥，你的责任。”

这就是 希望与行动相遇的地方。在这里，您超越了密码，接受了任何拥有数字资产的人都可以使用的最有效的安全升级：多因素认证（MFA）。

多因素认证到底是什么？
想象一下，您正在进入一栋高安全性的建筑。

您知道的东西（密码）：您告诉保安您的名字（用户名）和一个 秘密代码（您的密码）。这是因素1。

您所拥有的东西（MFA代码）：保安会要求查看您的身份证明，或者拨打您的电话进行验证。这是因素2。

MFA要求两个或更多不同的“因素”来授予访问权限。即使黑客窃取了您的密码（您所知道的东西），他们也会完全被阻止，因为他们没有您的 电话或安全密钥（你拥有的东西）。

这些因素分为三个类别：

知识：你知道的东西（密码、PIN码、安全问题）。

拥有：你拥有的东西（你的智能手机、物理安全密钥）。

固有：你本身的特征（指纹、面部识别、视网膜扫描）。

为了保护你的加密交易所账户，我们 主要专注于将知识（您的密码）与拥有（身份验证应用程序或安全密钥）结合起来。

为什么多重身份验证对加密货币至关重要
在没有多重身份验证的情况下使用交易所，就像把您的全部积蓄放在门口的纸箱里。攻击者的诱惑极其巨大。

不可逆转的交易：一旦加密货币从您的交易所钱包发送到 攻击者的地址，一旦丢失，便再也无法找回。没有CEO可以打电话让它回到你手中。

全球化的匿名目标：你不仅仅是家乡那个小孩的对手；你可能成为来自世界各地的复杂国际犯罪团伙的目标。

复杂性的错觉：许多人认为他们的密码是“强大”的。 “足够”或“目标不够大”。这是一个危险的谬论。攻击者使用自动化机器人，每秒不知疲倦地尝试登录成千上万的账户。只要你有账户，你就是一个目标。

在你的交易账户上启用多因素认证（MFA）就像为它建立了一道防护屏障。这是希望自己不会被黑客攻击与实际采取防护措施之间的区别。 知道你已经尽一切可能去防止它。

MFA工具箱：从好到无懈可击
并非所有的MFA都是平等的。让我们按安全性从低到高对常见方法进行排名。

1. 基于短信的身份验证（“比什么都没有好”选项）
工作原理：在输入密码后，交易所会向你注册的手机发送一次性代码。 电话号码。

优点：它无处不在，设置简单，绝对比没有多因素认证要好。它增加了至关重要的第二层保护。

缺点（而且真的很糟糕）：这是针对高价值目标的最弱多因素认证形式。它容易受到SIM卡交换攻击的威胁，这是一种欺诈者通过社交工程手段说服你的移动运营商转移你的手机号码的毁灭性攻击。

号码到他们控制的SIM卡。一旦他们这样做，所有的验证短信都会发送给他们，而不是你。对于加密货币持有者来说，这是一个灾难性的风险。

裁决：避免将此用于你的主要交易账户。如果这是你唯一的选择，暂时使用它，但立即寻求升级。不要依赖SMS认证来保护你的主要加密资产。

2. 认证器应用程序（The 大多数人的黄金标准)
它是如何工作的：您在智能手机上安装一个应用程序，如 Google Authenticator、Authy 或 Microsoft Authenticator。当您在交易所上启用它时，网站会显示一个二维码。您用应用程序扫描它，应用程序随后与交易所分享一个秘密密钥。然后，应用程序每 30 秒生成一个新的基于时间的六位数代码。要登录，您需要输入您的密码和 当前应用程序的代码。

优点：

无网络漏洞：它不依赖于您的手机信号或短信，因此对SIM卡交换免疫。

离线功能：代码在您的设备上使用秘密密钥和当前时间本地生成。即使您的手机处于飞行模式，它也能正常工作。

广泛支持：几乎所有主要的加密货币交易所都支持。 网络服务支持身份验证器应用程序。

坏处：如果您丢失了手机或手机在没有备份的情况下死机，您可能会被锁定在账户之外。不过，大多数应用程序和交易所都有强大的恢复流程（我们稍后会讨论）。

结论：这是您应该使用的最低标准。它完美结合了高安全性和用户友好的便利性。

3. 物理安全密钥（福特诺克斯选项）
它的工作原理：您购买一个小型硬件设备，如 YubiKey 或 Google Titan Key。您将其注册到您的交易所。当登录时，在输入密码后，系统会提示您物理接触密钥（该密钥插入您的 USB 端口或通过 NFC 连接到您的手机）。

优点：

防钓鱼：这是它的 超级力量。如果您不小心将密码输入到一个假冒的钓鱼网站，攻击将失败。密钥会加密地检查网站的域名；如果它不是正规的交易所，它将拒绝认证。它在物理上无法被欺骗。

终极安全：这是一个专用设备，没有其他软件，使其免受可能的恶意软件或远程攻击。 目标是智能手机应用。

缺点：

成本：您需要购买密钥（通常为25美元至70美元）。

便携性：您需要随身携带密钥才能登录。最好用于您主要在家使用的设备（台式机）或安全携带以便移动访问。

设置：设置稍微需要一些技术，但仍然非常简单。

裁决：这是最高 零售加密投资者的安全级别。如果您持有大量加密货币，YubiKey 的成本是您能买到的最佳保险。

加强您的交易所账户的逐步指南
步骤 1：下载身份验证器应用
前往您手机的应用商店，下载 Google Authenticator（简单，由 Google 拥有）或 Authy（功能丰富，支持云端） 备份）。对于大多数人来说，Authy 的备份功能使其成为赢家，降低了“手机丢失”的风险。

步骤 2：深入了解您的交易所安全设置
登录到您的交易所（例如，Binance、Coinbase、Kraken）。导航到设置 > 安全 > 双重身份验证 (2FA)。措辞会略有不同，但位置始终在安全部分。

步骤 3：启用身份验证器应用程序 MFA
您可能会看到 SMS 和“身份验证器应用程序”或“TOTP”的选项。选择身份验证器应用程序选项。网站将显示一个二维码。

步骤 4：扫描并保护
打开您的身份验证器应用程序，点击“+”按钮，然后扫描二维码。该应用程序将立即开始为您的交易所生成代码。

**第5步：备份您的恢复代码！！！
** 这是每个人都跳过的最关键一步。交易所现在会显示一组16位的备份或恢复代码。请将这些写下来，保存在纸上。将它们存放在安全、可靠的地方，比如防火保险箱或安全存款箱。这些代码是您失去访问身份验证器应用程序时的生命线。请像对待您家门钥匙一样对待它们。 vault。

步骤 6：确认和测试
交易所会要求您输入应用程序中的一个代码以确认设置是否正常。请这样做。恭喜您！您的账户现在安全性大大提高。

（对于安全密钥）过程类似：您需要进入安全设置，选择“安全密钥”或“U2F”，插入您的密钥，然后按照 提示以注册它。

如果……？处理常见的 MFA 难题
我丢了手机 / 手机坏了！这就是为什么你需要那些纸质备份代码！使用其中一个代码登录并立即禁用旧的 MFA。然后，设置一个新的。如果你使用 Authy，你可以预先配置一个备份密码，并轻松在新设备上恢复你的代码。

我的代码不起作用！这就是 几乎总是因为你手机上的时钟不同步。进入你的身份验证器应用的设置，启用“代码时间校正”或检查你手机的设置，以确保它设置为自动更新时间。

我正在旅行，没带我的密钥。这就是为什么拥有多种方法是明智的。你可以有一个身份验证器 应用程序作为您的安全密钥的备份，或者确保您将备份代码安全地存储在密码管理器中（尽管纸质备份是最好的）。

超越交换：安全文化
MFA 不仅仅是为了您的交换。将这种思维方式应用到各个地方：

您的电子邮件账户：这是您数字生活的主密钥。如果黑客获取了您的电子邮件，他们可以重置几乎所有的密码。 每个其他账户。用身份验证器应用或安全密钥保护它。

您的密码管理器：存放您所有密钥的保险库应当配备最强的锁。

社交媒体：尤其是与您在加密领域的公开身份相关联的任何账户。

最后的话：您的主权，您的责任
加密革命是关于重新获得金融主权的。但 拥有强大权力就意味着承担重大责任。花五分钟启用强大的多因素身份验证是履行这一责任的最简单、最有效的方法。这是成为这个新金融世界中认真参与者的基本要求。

不要成为统计数据。不要让一个可避免的错误抹去多年的投资和信任。超越密码。 锁定它。