Google Authenticator 转移：将双重验证迁移到新手机

如果丢失了存储验证码的手机，Coinbase 会将你放入身份验证队列，等待 48 到 72 小时才能重新访问你的账户。Binance 可能需要一周时间。小型交易所甚至可能需要一个月。这就是未迁移验证码的代价，也是本指南存在的唯一原因。

本指南涵盖了如何在 iOS 或 Android 设备上使用 Google Authenticator 进行双向迁移，并介绍了两种切实可行的方法：一种是自 2020 年 5 月起手机自带的二维码导出功能，另一种是 2023 年 4 月推出的 Google 帐户云同步功能（需要注意的安全隐患）。此外，本指南还涵盖了旧手机丢失或被盗等紧急情况下的应对措施、将双重验证码转移到新手机时可能遇到的问题，以及对于无法恢复的高价值在线帐户应该如何处理。本指南的目标是：在不丢失帐户访问权限的情况下迁移 Google Authenticator，并确保您的 Google Authenticator 验证码安全无虞。

为什么在更换手机前转移 Google Authenticator 很重要

短信双因素认证会随着SIM卡的更换而失效。无论是携号转网攻击、运营商更换，还是eSIM卡转移失败，验证码都会被发送到他人的手机上。FBI发布的2024年互联网犯罪报告记录了982起SIM卡交换投诉，直接损失高达2598万美元（虽然低于2022年的7265万美元，但同样的骗局仍然是身份盗窃和加密货币钱包资金被盗的途径）。身份验证器应用程序发送的一次性验证码存储在设备的安全存储空间中，而不是运营商网络上，这就是为什么微软多年来一直声称启用双因素认证可以阻止超过99.9%的自动化账户入侵尝试。

权衡取舍显而易见。每个激活码都保存在一部手机上。如果手机掉进河里、不小心恢复了出厂设置、或者交给孩子“玩五分钟”，你就无法访问你的账户，直到你完成每个服务的恢复流程。所以，务必保存好你的激活码，只在你控制的设备上生成激活码，并将更换手机视为例行维护。

开始之前：请在两部手机上都准备好 Google Authenticator 应用。

令人惊讶的是，很多数据传输失败并非软件故障，而是因为缺少准备工作。以下三点是导致传输失败的最常见原因：应用版本过旧、未设置生物识别信息、Wi-Fi 连接不稳定。在旧手机上打开 Google Authenticator 应用，检查其是否能够正常启动并显示最新的滚动验证码。通过 Google Play（Android 版本 7.0 或更高版本，发布于 2024 年 11 月 14 日）或 App Store 更新应用。在新手机上安装相同的 Google Authenticator 应用，使用您常用的 Google 帐户登录，并启用生物识别功能——导出提示需要指纹或面部解锁才能显示二维码。将两台设备连接电源，连接到同一个可信 Wi-Fi 网络，并关闭所有 VPN。

手机更新期间，请列出所有绑定到身份验证器应用的服务。大多数人可能在不知不觉中拥有十个或更多身份验证器帐户：每个 Google 帐户、GitHub、每个交易所、密码管理器、AWS 控制台、CMS 等。下表列出了最常导致用户被锁定的服务的备份代码存放位置。请妥善保管此列表以及每个服务的强密码——某些恢复流程需要这两项信息才能解除旧设备的绑定。

导出和导入：通过二维码传输您的 Google Authenticator 信息

二维码导出功能于 2020 年 5 月推出。它仍然是谷歌 iOS 帮助页面推荐的方法，可以将每个选定帐户的种子文件从一部手机传输到另一部手机，无需任何中间服务器。无需云端，也无需谷歌帐户。

首先在旧手机上操作。打开应用并找到菜单——Android 系统在左上角显示三条横线；iPhone 系统通常在右上角显示三个点，但有些机型会将其放在底部。点击菜单，选择“转移帐户”，然后选择“导出帐户”。应用会要求您输入指纹、面容 ID 或设备密码。完成生物识别验证后，您将看到设备上所有 Google Authenticator 帐户的列表。勾选您想要转移的帐户（支持多选），然后点击“下一步”。现在，应用会生成一个包含最多十个帐户加密种子信息的二维码。如果超过十个帐户，您会看到一个编号的二维码队列，应用会告诉您当前正在查看哪个二维码。

现在使用新手机。打开 Google Authenticator，点击“开始使用”，或者如果应用已初始化，请点击右下角的加号图标。选择“扫描二维码”。如果导入步骤询问您是否要从现有帐户导入，请选择“是”。将新手机对准旧手机屏幕，让摄像头锁定二维码。新设备会列出每个已导入的帐户。点击“下一步”以扫描其他二维码。

原有的验证码保留在旧手机上。先验证新设备，然后再进行清理。打开一个已绑定的服务，登录，并检查新验证码生成的六位验证码是否与该服务所需的验证码一致。确认两个服务都已成功登录后，从旧手机的应用程序中删除相关条目——或者，更好的办法是，将旧设备重置后再出售。

实际操作中可能会出现一些问题。Android 设备之间的数据传输几乎总是顺利的。Android 设备到 iPhone 的数据传输偶尔会在导入后无法显示某些账户，尤其是在扫描二维码步骤中编码超过五个条目时；请减少批量大小并重试。iPhone 设备到 Android 设备的数据传输有时会在导出界面卡住，因为 Google 的 iOS 系统实现滞后于 Android 系统；如果发生这种情况，请强制关闭应用，重新打开并再次尝试导出。任何设备上的 VPN 都可能导致扫描失败，因为某些 VPN 客户端会限制摄像头速度。传输过程中请禁用 VPN。二维码中包含的传输代码是有时间限制的，因此如果新手机的时钟不准，导入后可能会出现无效代码——打开应用菜单，点击“代码时间校正”以重新同步设备时钟。

将 Google Authenticator 代码与您的 Google 帐户同步

云同步功能于 2023 年 4 月 24 日随 Android 6.0 版本和 iOS 4.0 版本一同推出，是一种便捷的同步方式。启用后，您添加或删除的每个代码都会同步到登录同一 Google 帐户的所有手机上，无需扫描二维码。对于大多数日常登录用户来说，这正是他们所需要的。

安全隐患值得关注。在2023年4月发布后的48小时内，Mysk公司的安全研究人员就证明，传输TOTP种子到谷歌服务器的流量并非端到端加密。谷歌公开承诺“未来”会添加端到端加密，但截至撰写本文时，同步过程仅由谷歌自身的服务器端加密保护，这意味着谷歌理论上可以读取种子。对于Spotify或Twitter账户而言，这可以接受，毕竟还有可能失去访问权限。但对于主密码管理器或托管加密货币交易所，我更倾向于使用二维码方式，并能接受由此带来的不便。

要启用同步功能，请在旧手机上打开 Google Authenticator，点击右上角的头像或个人资料图标，然后使用您要用作备份的 Google 帐户登录。每个已同步的条目旁边都会显示一个绿色云朵图标。在新手机上打开相同的应用，使用相同的 Google 帐户登录，几秒钟内即可看到验证码。无需扫描二维码，也无需进行生物识别验证。

如果您想要几乎零摩擦地转移 Google Authenticator 帐户，同步功能是最佳选择——但如果您不信任其非端到端加密 (no-E2EE) 设计，则仅将其用于低价值帐户。对于高价值的种子帐户（例如银行帐户、加密货币帐户、重要的 GitHub 帐户），请通过二维码导出将其绑定到同一设备，或者将其完全转移到密码密钥或硬件密钥。美国网络安全和基础设施安全局 (CISA) 于 2022 年发布的防钓鱼多因素身份验证 (MFA) 情况说明书（2024 年再次确认）将 FIDO2 硬件密钥的安全性排在任何 TOTP 方法之上。

在新设备上设置 Google Authenticator，无需使用旧手机

如果旧手机已经丢失、被盗或变砖，以上方法均无效，因为它们都需要原设备。除非您在丢失前开启了同步功能，否则无法通过“云端恢复”的方式恢复。以下方法是唯一的选择，但速度较慢。

对于每个已绑定的服务，您需要使用其他方式登录，并单独将双重验证 (2FA) 重新绑定到新手机。备份代码是恢复帐户的最快方法：Google 会在设置 2FA 时从您的 Google 帐户发放 10 个一次性备份代码，GitHub 会发放 16 个，大多数交易所会发放 8 到 12 个。如果您已将这些代码保存在密码管理器中或打印出来，请使用其中一个登录，然后直接进入“安全设置”，从其他设备移除旧的身份验证器绑定，并通过扫描新的二维码将代码重新推送到您的 Google 帐户，从而将新手机与帐户配对。

如果没有备用验证码，你的账户恢复速度就会很慢。Coinbase 帮助文档显示，双重验证重置需要 48 到 72 小时，如果启用身份验证，时间会更长。有些银行甚至要求到网点办理。因此，建议在首次启用 Google Authenticator 时，就将备用验证码绑定到密码管理器，并打印一份纸质副本，存放在手机无法触及的地方。无论如何，都应该为每个使用 Authenticator 的在线账户准备一份用户名和恢复邮箱的清单。

在 Android 和 iPhone 之间转移双重验证码，而不会丢失访问权限

跨平台迁移是求助帖最集中的地方。Google Authenticator 的迁移在 iOS 和 Android 之间双向有效，但有两种常见的故障模式。第一种是导出二维码扫描成功，但新设备上只显示部分账户。这几乎总是由于每个二维码最多只能导出十个账户的限制造成的，尤其是在 iOS 应用生成二维码时。建议每次导出的账户数量减少到五个。第二种是 iOS 上的导出菜单显示“没有要导出的账户”，即使代码明明在运行。2026 版本中的解决方法是：更新到最新的 TestFlight 或 App Store 版本，强制退出应用，然后关闭并重新打开设备的生物识别设置一次。

在扫描之前，请务必先截取每个导出二维码的屏幕截图——可以用另一台设备，或者打印出来。任何设备都可以扫描二维码进行导入，但谷歌不允许您重新生成相同的导出文件，因此清晰的屏幕截图能让您省去五分钟的麻烦，避免上述的窘境。无论您是在 iOS 还是 Android 系统上迁移，将这些二维码屏幕截图安全地存储在加密的密码管理器笔记中，都是最经济实惠的保障措施。

将 Google Authenticator 帐户与加密货币交易所和 Web3 配合使用

加密货币交易所或钱包账户被盗用后，实际上是不可逆的：一旦资金转移，就无法挽回。身份验证器代码只是最低限度的安全措施，而微软报告称，到 2024 年，中间人攻击（AiTM）的数量将同比增长 146%，这意味着即使使用 TOTP 也远远不够。2026 年 5 月的“行为准则”AiTM 攻击活动影响了 26 个国家/地区 13,000 个组织机构的 35,000 多名用户——攻击者代理合法的登录页面，实时捕获 TOTP 代码，并在用户察觉之前窃取会话 cookie。建议先将硬件密钥（例如 YubiKey 或类似设备）绑定到主 Google 帐户，然后在交易所端启用身份验证器，并在确认身份验证器正常工作后立即禁用短信双因素身份验证。 FBI 2024 年 IC3 数据显示，网络犯罪造成的总损失将达到 166 亿美元，而且与加密货币相关的投诉每年都在持续攀升。

加密货币支付处理商应享有与交易所同等的待遇。例如，Plisio 支持商户账户的 TOTP 功能，通过 Google Authenticator（或任何兼容 TOTP 的应用）绑定 TOTP 可以保护控制对外交易的控制面板。迁移到新手机时，应将支付网关控制面板视为热钱包：仅导出二维码，不进行云同步，并在迁移后生成并存储新的备份代码。

值得考虑的 Google Authenticator 应用替代方案

Authy 的崩溃重塑了市场格局。2024 年 3 月 19 日，Twilio 提前数月关闭了 Authy 的桌面应用程序，比原定的 8 月日期提前了数月。随后在 2024 年 7 月，攻击者通过未经认证的 API 窃取了 33,420,546 个 Authy 电话号码，Twilio 也证实了此次数据泄露事件。短短四个月内，Authy 遭受了两次重创，用户纷纷流失。

苹果在 2024 年 9 月悄悄地做了一件值得关注的事情。iOS 18 将 iCloud 钥匙串拆分出来，推出了一款独立的密码应用，该应用可以原生生成 TOTP 验证码，在 Safari 浏览器中自动填充密码，并支持端到端加密同步。对于仅使用苹果设备的用户来说，这完全省去了单独安装身份验证器应用的麻烦。而对于其他用户，上表列出了可选的验证器应用。

转账后请妥善保管您的 Google Authenticator 代码。

导入完成后，立即检查以下列表。在新手机上登录至少三个最重要的已绑定服务，确认验证码有效，并且身份验证器应用的主屏幕显示所有预期帐户。为刚刚迁移的每个服务重新生成备份验证码；将它们分别存储在密码管理器和纸质文档中，并存放在不同的地方。在将旧手机交给他人之前，通过“查找我的iPhone”或“查找我的设备”清除旧手机上的所有数据。对于主Google帐户，最好再叠加一个密码密钥或硬件安全密钥，这样即使另一部手机上安装了您的身份验证器，也不足以单独使用。这种多层设置可以有效阻止微软追踪到2026年的AiTM攻击活动。更重要的是，它能让下一次Google身份验证器转移变成一个只需15分钟就能完成的任务，而不是一场恐慌。

Simon Chartan

A journalist with a strong technical background and a passion for decentralized finance. With degrees in MBA and Master of Engineering in Data Science, the author combines analytical expertise with a clear, engaging writing style. At Plisio, they cover topics such as cryptocurrency, blockchain, DeFi, and digital finance—helping readers make sense of a rapidly evolving fintech landscape.