安全指南

MFA与强密码

了解多因素认证和强密码如何协同工作，以及为什么两者不能相互替代。

摘要

MFA和强密码解决不同的问题。强密码使猜测和重用攻击更难。MFA在密码被盗、被钓鱼或泄露时增加第二道屏障。对于重要账户，两者都应使用。

MFA类型

MFA可包括身份验证器应用、硬件安全密钥、通行密钥、推送批准、短信或电子邮件验证码。不同方法在抗钓鱼能力和恢复风险上有所差异。第二个密码不是真正的第二因素。

实用建议

• 为每个账户使用唯一的随机密码。
• 对电子邮件、银行、工作、云和密码管理器账户启用MFA。
• 优先选择抗钓鱼的方法（如果可用）。
• 安全保存恢复代码。
• 定期检查备份方法和受信任设备。

详细指南

本指南重点介绍MFA和强密码如何互补。它面向那些想知道MFA是否使密码强度不那么重要的用户，因此实际目标不是制造戏剧性的安全声明。目标是选择一种能在日常使用中生存的密码习惯：登录表单、密码管理器、移动键盘、账户恢复、共享设备以及偶尔有奇怪验证规则的服务。只有真实的人能够一致遵循的建议才是有用的。

最安全的起点是随机性加唯一性。随机性意味着值是从一个大空间中通过密码学合适的随机源选择的，而不是从生日、宠物名、键盘模式或最喜欢的名言中发明的。唯一性意味着同一密码不在其他地方使用。一个长但重用的密码在一次无关的泄露后可能迅速失效，而唯一的随机密码将损害限制在使用它的单个账户上。

对于这个主题，一个实用的预设是唯一的随机密码加上独立的第二因素。您可以通过电子邮件密码生成器应用该预设，然后将最终值存储在受信任的密码管理器中。PwdGen在浏览器中使用Web Crypto本地生成值；生成的密码不会发送到PwdGen服务器。这种本地设计减少了服务器端暴露，但不能防范所有威胁。恶意的浏览器扩展、受感染的设备、钓鱼页面或不安全的剪贴板处理仍然可能在生成后泄露秘密。

最常见的需要避免的问题是短信拦截、提示疲劳、弱恢复电子邮件、不安全存储的备份代码以及MFA背后的重用密码。这些问题很重要，因为当人类习惯给攻击者提供捷径时，攻击者很少需要暴力破解每个可能的密码。凭证填充、钓鱼、泄露的密码列表和账户恢复滥用通常比纯粹的数学搜索更现实。这就是为什么最佳建议将密码质量与账户级控制（如MFA、通行密钥、恢复代码存储以及定期检查恢复电子邮件或电话设置）相结合。

应用建议时请使用此清单：

• 尽可能使用基于应用、硬件或通行密钥的因素。
• 首先保护电子邮件。
• 安全保存恢复代码。
• 不要因为启用了MFA而削弱密码。

如果网站拒绝理想设置，不要手动将密码强制改为更弱的模式。一次调整一个变量。如果符号被拒绝，保持大写、小写和数字启用并增加长度。如果最大长度较低，使用允许的最大长度并确保值是唯一的。如果密码必须大声读出、打印或在电视或路由器屏幕上输入，考虑排除易混淆字符并增加长度以补偿较小的字符集。

最后，记住密码建议的边界。强密码是一层防御，而不是保证。它不能使钓鱼页面安全、修复恶意软件或补偿存储凭证不当的服务。有用的习惯是枯燥但持久的：生成唯一值，安全存储，保护恢复路径，并在怀疑泄露时迅速更换。

安全的下一步

阅读本指南后，做一次小账户审计，而不是试图一次性修复所有问题。选择如果被接管会造成最大麻烦的账户，确认其密码是唯一的，并检查恢复电子邮件、恢复电话、MFA方法和备份代码存储。如果该链条的任何部分薄弱，先改进该部分，然后再处理风险较低的账户。这个顺序使工作可控，并保护攻击者最可能用作跳板的账户。对于MFA与强密码，最好的结果是可重复的习惯：本地生成，小心存储，避免重用。

常见问题

MFA能替代强密码吗？

不能。MFA降低了账户被接管的风险，但密码仍应唯一且强。

短信MFA足够吗？

短信可能比没有MFA好，但身份验证器应用、通行密钥和安全密钥在可用时通常更强。

我应该首先保护什么？

首先保护电子邮件、密码管理器、银行、工作和云账户，因为它们可以解锁其他服务。