用于加密安全的多因素身份验证

最后修订日期：2025年10月20日

多因素身份验证 (MFA) 要求用户在访问帐户之前使用两个或多个不同的凭据验证身份。这种安全方法结合了您知道的信息（密码）、您拥有的物品（手机或安全密钥）以及您自身的特征（指纹或面部扫描）。即使密码落入不法分子手中，这种分层方法也能阻止未经授权的访问。

黑客不断攻击加密货币交易所和持有数字资产的钱包。2022年，加密货币平台因安全漏洞损失了3.8亿美元，2024年降至2.2亿美元。然而，2025年出现了反弹，仅上半年就损失了超过2.17亿美元，这主要是由于一些重大事件，例如1.5亿美元的损失。 ByBit 黑客攻击按照目前的速度，到年底被盗资金可能超过 4 亿美元，其中很大一部分事件是由于用户凭证泄露造成的。

为什么加密货币账户需要多重身份验证？

仅靠密码保护账户，会使账户容易受到多种攻击。黑客会利用钓鱼邮件、键盘记录器、数据库入侵和社会工程手段窃取登录凭证。一旦获得密码，攻击者就能完全控制未受保护的账户。

加密货币账户尤其容易成为攻击目标。与具有防欺诈保护和交易撤销功能的传统银行账户不同，加密货币交易是永久性的。黑客一旦入侵加密货币交易所账户或钱包，就能在几分钟内盗走资金，而受害者几乎没有办法追回被盗资产。

多因素身份验证 (MFA) 通过要求攻击者同时攻破多个身份验证因素，从而阻止大多数未经授权的访问尝试。如果没有受害者的手机、安全密钥或生物识别数据，被盗密码将毫无用处。

多因素身份验证的工作原理是什么？

多因素身份验证 (MFA) 通过三种不同的身份验证方式构建安全性。每种方式都提供对用户身份的独立验证。

知识因素 包括密码、PIN码和安全问题。只有合法用户才能知道这些信息。

占有因素 涉及智能手机、硬件安全密钥或一次性密码生成器等实体物品。用户必须持有特定设备才能进行身份验证。

发现有前途的项目...

有前景的项目...

（广告）

文章继续...

固有因素 依赖于指纹、面部识别或虹膜扫描等生物识别数据。这些方法可以验证某人的生理特征。

有效的MFA（多因素身份验证）方案至少需要两种不同类别的因素。使用密码和安全问题都属于知识因素，其安全性低于密码与硬件密钥结合使用。

有哪些类型的双因素身份验证？

双因素认证（2FA）是多因素认证（MFA）中最常见的形式。不同的方法提供的安全性和便捷性各不相同。

短信和语音验证

短信验证会向已注册的手机号码发送一次性验证码。用户输入用户名和密码后，会收到包含验证码的短信，并将其输入到网站或应用程序中。

语音验证的工作原理类似。系统会自动拨打已注册的号码，并大声朗读验证码。这种方法主要应用于手机信号较差或智能手机价格昂贵的国家。

基于短信的双因素认证虽然提供基本保护，但也存在安全风险。攻击者可以通过SIM卡交换拦截短信，即诱使移动运营商将手机号码转移到他们控制的新SIM卡上。一些备受瞩目的加密货币盗窃案就曾多次使用这种技术。

安全专家建议，如果存在更强大的替代方案，则应避免使用短信双重验证，尤其是对于持有大量加密资产的账户。

身份验证器应用

身份验证器应用程序会生成基于时间的一次性密码 (TOTP)，每 30 秒刷新一次。常用的选项包括 Google Authenticator、Authy 和 Microsoft Authenticator。这些应用程序可以离线工作，并直接在用户设备上生成验证码。

设置过程包括扫描二维码，该二维码会将应用程序与特定帐户关联起来。配置完成后，应用程序会生成唯一的六位数代码，用户在登录时需要输入这些代码。

身份验证器应用比短信提供更强的安全性，因为验证码是在设备本地生成的。攻击者需要物理接触手机或获取恢复种子才能破解身份验证。

硬件安全密钥

硬件安全密钥是可插入电脑USB端口或通过NFC或蓝牙无线连接的物理设备。热门型号包括YubiKey、Titan Security Key和Trezor。

这些设备使用加密协议来验证用户身份。登录时，用户插入密钥并按下按钮以确认登录。密钥通过加密通道与网站通信，因此拦截或复制极其困难。

硬件密钥提供目前最高级别的双因素身份验证 (2FA) 安全性。它们能够抵御网络钓鱼攻击，因为加密响应与合法网站域名绑定。即使用户在虚假网站上输入密码，硬件密钥也无法通过身份验证。

推送通知

推送通知认证会在有人尝试登录时向已注册的移动设备发送提醒。用户只需轻点即可批准或拒绝访问请求。此方法需要互联网连接，但无需手动输入验证码。

推送通知与其他安全措施结合使用效果最佳。某些推送通知会显示登录尝试的相关信息，例如位置和设备类型，帮助用户识别可疑活动。

生物特征认证

指纹扫描仪和面部识别系统利用独特的生理特征来验证身份。现代智能手机内置生物识别传感器，许多加密货币应用和交易所都支持这些传感器。

生物识别认证虽然方便，但最好与其他认证方式结合使用，而不是单独使用。与密码或安全密钥不同，生物识别数据一旦泄露就无法更改。

加密平台如何实现多因素身份验证？

主流加密货币交易所要求或强烈建议所有用户账户启用多因素身份验证 (MFA)。例如 Coinbase。 BinanceKraken 和其他平台支持多种 2FA 方法，通常提供身份验证器应用程序和硬件密钥作为主要选项。

用户在交易所启用多因素身份验证 (MFA) 时，通常需要完成以下步骤：

1. 导航至安全设置。
2. 选择首选的双因素身份验证方法。
3. 完成设置过程（扫描二维码或注册硬件密钥）。
4. 输入验证码以确认设置。
5. 保存备份代码以备账户恢复之用。

许多交易所还实施了提现白名单机制，要求在添加新的提现地址时进行多因素身份验证 (MFA)。即使账户被攻破，这也能防止攻击者转移资金。

非托管钱包应用程序处理多因素身份验证 (MFA) 的方式有所不同。由于这些钱包将私钥存储在用户设备本地，MFA 通常用于保护应用程序访问权限，而非交易签名。一些硬件钱包内置了 MFA 功能，需要用户按下物理按钮来确认交易。

多因素身份验证 (MFA) 的常见漏洞有哪些？

多因素身份验证 (MFA) 能显著提升账户安全性，但仍易受特定攻击。了解这些弱点有助于用户选择合适的保护级别。

• 中间人攻击 拦截用户在钓鱼网站上输入的验证码。攻击者创建虚假登录页面，窃取密码和双因素身份验证码，然后立即利用这些信息访问真实账户。硬件安全密钥通过域名验证来阻止此类攻击。
• SIM交换 攻击者通过劫持受害者的​​手机号码来攻击基于短信的双因素身份验证 (2FA)。攻击者通过社交工程或数据泄露收集个人信息，然后说服移动运营商将该号码转移到新的 SIM 卡上。这样一来，攻击者就能获取短信验证码。
• 恶意软件感染 同一设备上的双因素身份验证 (2FA) 也可能被破解。如果计算机或手机中安装了键盘记录软件或远程访问木马，攻击者可能会在身份验证码生成或输入时将其截获。
• 社会工程学 攻击者会诱骗用户绕过自身的安全措施。他们可能会冒充客服人员，索要双因素身份验证码或恢复信息。正规平台绝不会要求用户分享身份验证码。
• MFA疲劳发作 （也称为推送轰炸）是指攻击者向用户发送大量重复的身份验证请求，直到用户因误操作或无奈而批准为止。攻击者会发送数十条甚至数百条推送通知，以淹没目标系统。近年来，包括 Uber 和 Cisco 在内的多家大型企业都曾成功遭受此类攻击，并且在 2024 年和 2025 年变得越来越普遍。
• 账户恢复弱点 有时，攻击者可以通过被盗用的电子邮件帐户或设置过于简单的安全问题来重置多因素身份验证 (MFA) 设置。因此，使用强大的 MFA 保护恢复电子邮件地址至关重要，同时避免使用容易被猜到的安全问题答案也同样重要。

用户应如何配置 MFA 以获得最高安全性？

最佳 MFA 配置取决于资产价值和技术舒适度。

硬件安全密钥为持有大量加密资产的高价值账户提供最强大的保护。注册多个密钥作为备份，并将它们存储在不同的安全位置。

身份验证器应用提供了一种实用的折衷方案，既能提供强大的安全性，又无需额外购买硬件。启用设备备份功能（如有），并将恢复代码安全地离线存储。

用于加密货币平台注册的电子邮件账户需要同等或更强的多因素身份验证 (MFA) 保护。许多账户被盗事件都始于攻击者利用被入侵的电子邮件账户重置密码并禁用安全功能。

如果存在其他选择，请避免使用短信双重验证，尤其是在持有贵重资产的账户上。如果短信验证是唯一选择，请考虑使用一个与您的主要身份信息无关的专用电话号码。

定期进行安全审计有助于维护安全防护。定期审查活动会话、移除未使用的双因素身份验证方法并更新恢复信息。

多因素身份验证失败或丢失会发生什么？

账户恢复机制存在着根本性的安全权衡。简单的恢复流程会造成安全漏洞，容易被攻击者利用；而严格的要求则可能导致合法用户永久无法登录。

大多数加密货币平台在设置多因素身份验证 (MFA) 时都会提供备用验证码。这些一次性验证码允许在主要身份验证方式失效时访问帐户。请打印这些验证码并安全地离线存储，切勿将其以数字形式保存在用于访问加密货币的同一设备上。

当所有身份验证方式和备份代码均丢失时，恢复通常需要通过平台支持进行身份验证。此过程可能包括提供身份证明文件、回答详细的账户历史记录问题或完成视频验证通话。

一些平台实施了延迟恢复机制，允许用户在验证账户后等待一段时间（通常为 24-48 小时）才能访问账户。这种延迟机制让合法用户有时间发现并阻止未经授权的账户恢复尝试。

硬件钱包 用户如果丢失设备，可以使用助记词恢复资金，但前提是这些助记词在初始设置时已正确备份。如果助记词和硬件设备都丢失，则会导致资金永久丢失，无法恢复。

多因素身份验证 (MFA) 与其他加密安全实践有何关系？

多因素身份验证 (MFA) 是全面加密安全防护的一部分。结合多种保护方法可以构建最强大的防御体系。

• 冷藏 硬件钱包将私钥保存在从未连接互联网的设备上，从而消除了网络攻击的风险。硬件钱包提供了一种冷存储方式，同时仍然支持便捷的交易签名。
• 提款限额 限制账户在特定时间段内的转账金额。即使攻击者绕过了多因素身份验证 (MFA)，限额也能最大限度地减少潜在损失。
• IP白名单 仅允许从预先批准的 IP 地址访问帐户。这种地域限制为远程攻击者增加了一道障碍。
• 交易签署 在硬件设备上，私钥永远不会接触到联网的计算机，即使在发起传输时也是如此。
• 定期软件更新 修补钱包应用程序和操作系统中的安全漏洞，防止攻击者利用这些漏洞绕过安全措施。

最安全的方案是采用多层保护。用户可以将大部分资金存放在冷钱包中，对用于交易的小额资金交易所账户使用硬件密钥进行多因素身份验证，并对所有恢复方式实施严格的访问控制。

未来哪些发展可能会改变 MFA？

Passkeys 是一种新兴的身份验证标准，它结合了硬件密钥的安全性和生物识别身份验证的便捷性。该技术使用安全地存储在设备上的加密密钥对，私钥永远不会离开用户的设备。

苹果、谷歌和微软已在其平台上全面支持密码密钥。包括 Coinbase 和 Binance 在内的主要加密货币服务现在也提供密码密钥认证，作为传统双因素认证 (2FA) 方式的替代方案。密码密钥能够有效抵御网络钓鱼攻击，因为其认证过程通过加密技术与特定网站绑定，符合美国国家标准与技术研究院 (NIST) 于 2024 年发布的最新版 800-63-4 特别出版物中概述的防钓鱼标准。

去中心化身份解决方案可以减少对集中式身份验证系统的依赖。这些协议允许用户直接控制自己的身份凭证，从而实现更安全、更注重隐私的身份验证方法。

行为生物识别技术分析用户与设备交互的模式，例如打字节奏或鼠标移动。这些持续身份验证方法可以补充传统的多因素身份验证 (MFA)，即使在首次登录后也能检测到可疑活动。一些钱包应用程序已经开始集成人工智能驱动的行为分析，以标记可能表明账户被盗用的异常模式。

结语

多因素身份验证通过要求多种独立的验证方式来减少对加密账户的未经授权访问。基于短信的双因素身份验证 (2FA) 提供基本保护，而身份验证器应用程序和硬件安全密钥则提供更强大的安全性。持有贵重加密资产的用户应实施最强的多因素身份验证方法，离线安全地保存恢复凭证，并将身份验证保护与其他安全措施（例如冷存储和提现限额）相结合。硬件安全密钥目前为大多数用户提供最高级别的实用安全性，可以阻止网络钓鱼攻击和凭证窃取，而这些攻击和窃取行为会削弱单因素身份验证的安全性。

来源

• Chainalysis. (2025). “2025 年加密犯罪年中更新。”
• 国家标准与技术研究所. (2024). “数字身份指南：身份验证和身份验证器管理。” NIST 特别出版物 800-63-4
• Google Research. (2016). “安全密钥：现代网络实用的加密第二因素。” 
• 美国联邦贸易委员会“消费者警示和身份盗窃资源。” 
• FIDO联盟. (2023). “FIDO 用户认证规范。” FIDOalliance.org