区块链世界中的双因素认证

版权声明

本文首发自微信公众号：行知记录本

无需授权即可转载，甚至无需保留以上版权声明

转载时请务必注明作者

双因素认证

双因素认证（2FA）在区块链中应用场景很多，最常见的就是交易所了，例如登陆币安时不止需要输入用户名和密码，同时也需输入Google身份验证器中的验证码。双因素意味着用户需要提供如下内容：

Knowledge（用户知道的），例如密码或身份证

Possession（用户拥有的），例如Google身份验证器中的验证码或银行提供的U盾

目前区块链交易所中普遍应用的是密码和验证码的组合，务必记住的事情有如下两点：

密码和其保护的明文（区块链资产）是等价的。假如保护的资产是一个亿，那么保护它的密码的价值就是一个亿

机密性需依赖于妥善保管的密码

显然，双因素认证要起作用，投资者需谨慎考虑其使用的密码保管机制。

用户知道的

密码需使用只有自己知道的信息是一大原则，按照《图解密码技术》中的建议，具体的原则如下：

不要使用对自己重要的事物的名字，例如孩子的名字、偶像的名字等

不要使用关于自己的信息，例如名字、生日等

不要使用别人见过的信息，例如星座、月份等

生成这样的密码并不容易，而且用户可能同时要维护几十个交易所的密码（例如搬砖党），所以需使用专门的密码生成器，例如Keepass、Lastpass和1Password，这些密码管理器使得用户在只记住一个主密码的情况下管理成百上千个不同的复杂密码。

用户需充分认识到，此密码与其保护的所有信息的价值总和是一样的，务必非常谨慎地设置主密码。

Keepass的数据库存放于本地，而Lastpass和1Password是本地和云端皆有，用户体验比Keepass会好很多，安全性也相当的好。个人建议在后两者间选择。

用户拥有的

目前多数情况下交易所推荐的是Google身份验证器，我想提示的是：

在没有备份码的情况下，丢失Google身份验证器是非常麻烦的

开启双因素认证时，页面上提供的备份码一定要记下来。Google身份验证器是很容易丢失的，比如系统升级、手机丢失以及不小心的删除了（我的情况，还好有备份码）。

其实Lastpass和1Password都提供了与Google身份验证器类似的功能，而且能备份到远程，但为什么我不推荐使用这个功能呢？因为用户知道的和拥有的需要分离开。远程密码库固然安全性非常高（不记录主密码），黑客攻破后也只能拿到加密后的数据，但总归备份到远程后，两者没法实现真正的分离。

所以我的建议是：

不要把Google验证器的信息备份到远程，包括双因素认证的备份码

总结

使用Keepass/Lastpass/1Password等密码管理器生成高强度随机密码

主密码一定要符合上面的三点原则

开启双因素认证，使用Google验证器

双因素认证的备份码记录在专用的U盘上