什么是两步验证

说到帐号安全，大家都知道国内很多网络服务 (如淘宝、银行)，除了正确的帐号密码之外，常常还需要额外给你发一条手机短信验证码，以此进一步确认你是帐号的真正主人。

这其实就是「两步验证」或者叫做「双因素验证」的一种实现方式，它这里第二步验证是靠手机短信来发送验证码的。而国外更多的网站/网络服务还会使用一种叫“身份验证器”或叫“虚拟 MFA”的二步验证方式，它是利用一种“随时间变化的验证码”来取代手机短信，不仅更安全，而且可离线使用，通用性也更强……

开启两步验证有什么好处？

和短信验证码一样道理，这里的两步验证也是相当于给帐号多加一把“锁”(多一步的验证)，在输入正确的账号密码之后，用户同样还需要额外输入一个每 30 秒自动变化一次的 6 位数字「二步验证码」才能完成登录。

所以即使你的帐号和密码不慎泄露了，别人在没有这个数字验证码也是无法登录你的账号的，这可以大大提高破解的难度和帐号的安全性。所以建议所有能开启二步验证的重要网络帐号都要全部开启。

我们常常会见到“两步验证”、“二步验证”、“双因素验证”、“多因素验证”、“虚拟 MFA”、“动态令牌”、“双重验证”、“2FA”、“Two-Factor Authentication”、“Multi-Factor Authentication”、“OTP”、“TOTP”等等词语，不过你完全不需要被吓到。

因为其实它们都是在说同一个意思，就是除帐号密码这一个因素以外，再多增加一个要验证的因素。实现形式可以是用手机短信、邮件来发送验证码，也可以是本文所述的基于时间生成“不断变化”的一次性数字验证码。