密码密钥 vs 双因素认证:哪种方式更能保护您的加密货币安全?
你的密码在一次你毫不知情的泄露事件中泄露。几周后,有人试图用这个密码登录你的加密货币交易所,而唯一能阻止他们盗取你账户余额的,只有发送到你手机上的一个六位数验证码。这个验证码本应是一道安全屏障,多年来也确实足够可靠。Passkeys 与双因素认证 (2FA) 之争,正是围绕着这道屏障是否仍然值得信赖展开的。对于任何持有单向资金的人来说,诚实的答案至关重要。本指南将用通俗易懂的语言解释这两种方法,对它们进行直接比较,并阐明为什么即使采用传统的双因素认证,真正能盗空账户的攻击也几乎不会减缓。
什么是双因素认证(2FA)?
双因素认证(有时也写作“双因素”)是在密码之外增加第二重验证,其原理非常简单,以至于大多数人都在不假思索地使用它。即使有人窃取了第一重验证,他们仍然需要第二重验证才能登录。安全专家通常将这些验证因素大致分为三类:你知道的信息(例如密码或PIN码)、你拥有的东西(例如手机或硬件令牌)以及你自身的特征(例如指纹或面部扫描)。双因素认证设置就是将其中任意两种验证方式结合起来。
问题在于,并非所有双重验证因素都一样有效,“开启双重验证”开关悄然掩盖了这一点。短信验证码是最弱的常用选项,来自身份验证器应用(例如Google Authenticator)的验证码(通常是每 30 秒轮换一次的 TOTP)强度明显更高,而物理安全密钥则更强。 微软表示,启用多重验证 (MFA) 可以阻止约 99.9% 的自动化账户攻击,这表明基本机制能够有效抵御批量、低成本的攻击。而本文的核心问题是:如果攻击者并非低成本攻击者,又会发生什么?
以下是常见第二因素的比较情况。
| 双因素身份验证方法 | 工作原理 | 具备防钓鱼能力? | 主要弱点 |
|---|---|---|---|
| 短信代码 | 一次性验证码已发送至您的手机号码 | 不 | SIM卡交换,SS7拦截 |
| 身份验证器应用(TOTP) | 应用程序中的轮换代码 | 不 | 实时中继网络钓鱼 |
| 推送批准 | 在手机上点击“批准”。 | 不 | 多因素疲劳,迅速轰炸 |
| 硬件安全密钥 | 插入或轻触的实体钥匙 | 是的 | 成本,可能会损失 |
真正关键的跳板在于底部一行。短信验证码、应用验证码和推送提示都存在一个共同的弱点:人们可能会被诱导在错误的网站上填写验证码,而硬件安全密钥则完全不会被诱导。这也是密码密钥(Passkey)的设计理念,因此真正的区别在于易受钓鱼攻击的因素和防钓鱼因素,而不是密码和第二因素。
什么是通行密钥,以及通行密钥的工作原理
密码密钥并非更高级的代码;它是一对加密密钥,而理解这对密钥才是关键所在。当您为网站或应用程序创建密码密钥时,您的设备会悄悄生成两个关联的值:公钥和私钥。这基于苹果、谷歌和微软都已内置于各自系统中的 FIDO2 和 WebAuthn 标准,作为无密码身份验证的基石。
密码密钥发展迅速。FIDO 联盟报告称,截至2026年5月,活跃使用的密码密钥数量约为50亿个,其中75%的消费者至少在一个账户上启用了密码密钥。这已不再是小众功能。
公钥和私钥握手
密钥的分离正是确保密码安全的关键。你可以把公钥想象成网站保存的一把挂锁,而私钥则是唯一能打开这把锁的东西,它被封存在你的手机里。当你登录时,网站会给你的设备一个一次性的谜题进行签名。你的设备用私钥对谜题进行签名,并将答案发送回服务器,服务器会将答案与它已有的公钥进行比对,然后你就登录成功了。任何秘密信息都不会在网络上传输,因此即使有人监听网络,也无法窃取信息并进行后续的重放攻击。
生物识别验证或设备 PIN 码会在本地解锁私钥,以便进行签名。指纹信息也不会传输到服务器。相比之下,密码每次登录时都需要完整地提供,您只能信任另一端的人会安全地存储它。
您的通行密钥存储位置:同步存储还是设备绑定存储
密码密钥有两种类型。同步密码密钥存储在密码管理器或平台钥匙串(例如 Apple 的、Google 的,或者像 1Password 或 Bitwarden 这样的工具)中,可以随您在不同设备间同步。设备绑定密码密钥(包括硬件安全密钥)则始终绑定在生成它们的硬件设备上。同步密码密钥更方便,即使手机丢失也能保留;设备绑定密钥提供最强的物理安全性,因为加密密钥绑定在您可以锁在抽屉里的设备上。
密码密钥与双因素认证:主要区别
理解两者区别的最简洁方法是这样的:双因素认证 (2FA) 在密码验证的基础上增加了一个步骤,而密钥则直接取代了密码。一旦你理解了这一点,其他的就都明白了。双因素认证仍然依赖于一个可知的秘密信息,而这个秘密信息可能会泄露。密钥则从一开始就不存在泄露的风险。
这一改变会产生连锁反应,影响到其他方方面面,从防范网络钓鱼到登录速度。推出密码密钥的服务提供商报告称,与密码加短信验证码的组合相比,密码密钥的登录速度更快、成功率更高,因为无需输入任何内容,也无需等待。下表列出了主要区别。
| 什么才是最重要的 | 双因素认证(密码+短信/TOTP) | 通行密钥 |
|---|---|---|
| 替换密码 | 不,它反而增加了它。 | 是的 |
| 防钓鱼 | 否(代码可以转发) | 是的(限定于实际领域) |
| 暴露于SIM卡交换风险 | 是的,通过短信 | 不 |
| 共同的秘密,用来窃取 | 是的 | 不 |
| 登录速度 | 速度较慢(输入代码) | 更快捷(点击或扫描) |
| 设备丢失后的恢复 | 备用代码/短信 | 同步或备份密钥 |
密码本身是否属于双因素认证 (2FA) 或多因素认证 (MFA) 的一种形式?
这里有个细微之处容易让人困惑。当你解锁密码密钥时,会同时进行两项验证。你需要证明你持有存储私钥的设备,同时指纹或面部扫描会验证设备确实在你手中。只需轻轻一点,即可完成两项验证,这使得密码密钥本身就具备了多因素认证的功能。如果在此基础上叠加传统的双因素认证(2FA),你只不过增加了一个验证提示,而不是一道额外的障碍。
这就是为什么美国网络安全和基础设施安全局只将FIDO2/WebAuthn和PKI智能卡列为真正防钓鱼的多因素身份验证(MFA)的原因。密码密钥并非弱化版的第二因素身份验证;它本身就是多因素身份验证,只是将验证步骤简化为一步。
为什么网络钓鱼可以破解双因素认证,但密码却不行?
网络钓鱼攻击是决定这场争论的关键所在。Verizon 发布的《2025 年数据泄露调查报告》发现,22% 的数据泄露事件是由被盗凭证造成的,另有 16% 的事件是由网络钓鱼造成的。因此,这些并非什么罕见的攻击手段,而是大多数入侵者实际使用的攻击途径。
想象一下常见的陷阱。一封邮件警告你的账户已被锁定,你点击链接进入一个看起来和你的交易所网站一模一样的页面,然后你乖乖地输入密码和验证器应用生成的六位验证码。在真正的网站上,这个验证码没问题。但在攻击者的复制品上,他们可以抓取这个验证码,并在几秒钟内将其用于真正的登录验证,而你信任的第二重验证却让他们轻易得逞。这就是人们低估的一点。双因素认证仍然需要人提供信息,而人很容易被说服。但私钥则不会泄露任何信息。私钥无法被输入、朗读或粘贴到伪造的表单中,而且它只能在你创建它的特定域名上使用,因此仿冒页面无法收集任何信息,也无法进行任何验证。
SIM卡交换和短信代码问题
短信是双因素认证的薄弱环节。在SIM卡交换攻击中,攻击者会诱使你的运营商将你的号码转移到他们的手机上,这样一来,所有原本发给你的验证码都会出现在他们的屏幕上。 美国联邦调查局互联网犯罪投诉中心在其2024年的报告中记录了982起SIM卡交换投诉,造成的损失接近2600万美元,而这仅仅是人们实际报案的案例。此外,由于老旧的SS7电信协议存在漏洞,短信也可能被直接拦截。这让我们不得不面对一个令人不安的事实:任何通过电话网络传输的验证码都可能被他人悄悄地重定向。
OTP钓鱼和MFA疲劳
即使是身份验证器应用也并非万无一失,因为攻击者会运行实时中继站点,这些站点位于你和真正的登录之间,能够捕获你的 TOTP 并在 30 秒的有效期内重放它。基于推送的双因素身份验证 (2FA) 也存在一种称为“多因素身份验证疲劳”的失效模式,攻击者会不断发送批准提示,直到疲惫的用户最终点击批准按钮以停止提示为止。所有这些伎俩对密码密钥都无效,因为密码密钥本身就没有代码可供拦截,也没有可能被误批准的提示。
在加密货币交易所和钱包中使用密码
密码密钥与双因素认证的比较从此不再是纸上谈兵,大多数通用指南也在此戛然而止。银行可以撤销欺诈性交易,但区块链却无法做到。当攻击者通过SIM卡交换入侵你的交易所账户并盗取余额时,这笔交易就已完成。2025年FBI互联网犯罪报告统计,网络犯罪造成的总损失高达209亿美元,其中约114亿美元与加密货币欺诈有关,而账户盗用正是造成损失的主要原因之一。
包括 Coinbase、Binance 和 Kraken 在内的主要交易所现在允许您使用密码密钥保护您的登录信息。启用此功能后,SIM 卡诈骗团伙会利用短信验证码攻击您的账户,而该验证码会被替换为攻击者无法从其他国家/地区通过网络钓鱼获取的密钥。
有一点至关重要,因为很容易混淆。Passkey 用于保护您登录交易所托管账户的方式。它与您自行保管钱包的私钥或助记词不同,也不能取代它们。如果您持有自己的加密货币,助记词仍然是您资金的主钥匙;Passkey 保护的是交易所的入口,而不是您自己携带的金库。弄清这一点,是真正账户安全与虚假安全感之间的区别。
密码密钥还能与交易所已有的安全控制措施完美配合。启用密码密钥进行登录,然后添加提现地址白名单,这样即使账户被劫持,也无法在未经授权的情况下向未知钱包发送资金。密码密钥可以阻止入侵;白名单则可以在其他安全措施失效时最大限度地减少损失。密码密钥和双因素身份验证 (2FA) 结合使用,安全性远胜于单独使用任何一种,而且您的账户不再依赖于可能通过无线方式发送到陌生人手机上的验证码。
当您仍然需要传统的双因素身份验证时
密码密钥尚未普及,选择密码密钥还是双因素认证 (2FA) 通常取决于特定服务的支持情况,因此不要一开始就放弃你的第二重验证。FIDO 联盟统计,截至 2025 年,已有超过 150 亿个账户支持密码密钥,但小型网站的覆盖范围仍然参差不齐,许多你依赖的服务仍然只提供密码和验证码。对于这些服务,请保留你的 2FA,并选择更优的版本,例如身份验证器应用程序而不是短信验证码。恢复功能是 2FA 的另一个重要用途。如果存储设备绑定密码密钥的设备丢失,备用验证因素或已保存的恢复代码集可以帮助你重新登录。明智的做法是同时使用这两种方式:在可以使用密码密钥的地方使用密码密钥,在无法使用密码密钥的地方使用基于应用程序的 2FA,并在两者之下默默地设置恢复计划。
此外,过渡成本也值得一提。在网站支持密码密钥之前,您只能使用其目前最强大的安全选项,而对于许多服务来说,这仍然意味着一个普通的身份验证器应用。请将此视为一种过渡方案,而非最终目标。每隔几个月,请重新检查您的重要账户,因为密码密钥的支持范围不断扩大,您去年春天无法保护的账户现在可能已经支持了。
如何从双因素认证切换到密码验证
迁移是一个循序渐进的过程,而不是一步登天——而且唯一的原则就是在迁移过程中永远不要删除恢复路径。以下是一个合理的步骤:
1. 在所有仍然使用验证码的账户上,用身份验证器应用替换短信验证码。仅此一项就能彻底杜绝SIM卡被盗用的风险。
2. 在提供密码密钥的地方添加密码密钥,通常是在帐户安全或登录设置下。
3. 根据你想要的物理安全性,将密码存储在同步密码管理器或硬件安全密钥中。
4. 保留一种备用身份验证方法,并将恢复代码保存在离线位置。
5. 只有当密码密钥能够顺利登录后,才应取消短信验证。
先从存放资金或身份信息的账户入手:你的邮箱(重置密码的关键)、Exchange账户、密码管理器。然后逐步向下迁移。整个迁移过程可能需要一个下午,而且大部分时间都花在等待页面加载上。
最终结论:密码密钥、双因素认证,还是两者都用?
在密码验证与双因素认证之争中,密码验证在应对真正能清空账户的攻击方面更胜一筹。网络钓鱼和SIM卡交换攻击可以轻松绕过短信验证码,甚至通常也能绕过应用内验证码,但最终却会被密码验证所阻挡。尽可能使用密码验证,将其设为所有加密货币交易所的默认验证方式,并将基于应用的双因素认证作为尚未普及的账户的备用方案。真正的问题不在于信任哪一个,而在于如何快速转移那些最重要的账户。你会首先切换到哪一个?
