什么是加密货币交易所的双因素身份验证 (2FA)？

定义及核心机制

1. 双因素身份验证 (2FA) 是一种安全协议，要求用户在访问加密货币交易所的帐户之前提供两种不同形式的身份验证。

2. 第一个因素通常是用户知道的内容，例如密码或口令。

3. 第二个因素是用户拥有的东西，例如由身份验证器应用程序生成的基于时间的一次性密码 (TOTP) 或硬件安全密钥。

4. 与单因素登录不同，2FA 可以防止未经授权的访问，即使登录凭据因网络钓鱼或数据泄露而受到损害。

5. 大多数主要交易所都通过 Google Authenticator、Authy 或 Microsoft Authenticator 等应用程序以及基于 SMS 的代码支持 TOTP，但由于 SIM 交换漏洞而广泛不鼓励使用 SMS。

跨主要平台实施

1. 币安在账户设置过程中强制执行可选但强烈建议的 2FA，并允许用户单独启用它进行登录、提款和 API 密钥管理。

2. Coinbase 在多个层面集成了 2FA：对于 2021 年之后创建的所有账户都是强制性的，并通过 WebAuthn 支持身份验证器应用程序和硬件密钥。

3. Kraken 要求每次提款都进行 2FA，并允许离线存储备份代码，强调恢复准备，而不依赖电子邮件或短信。

4. Bybit 通过 Google Authenticator 启用 2FA，并且还支持移动客户端上的生物识别验证，作为 TOTP 的补充层（而不是替代层）。

5. OKX 允许绑定多个身份验证器设备，并提供登录过程中出现的“反网络钓鱼代码”，以帮助用户验证他们是否在合法域中。

禁用或忽视 2FA 的风险

1. 没有 2FA 的帐户更容易受到撞库攻击，在这种攻击中，重复使用来自其他被破坏网站的密码可以立即进行访问。

2. 针对加密货币用户的网络钓鱼工具通常会模仿交易所登录页面；如果没有 2FA，输入凭据会直接将控制权转移给攻击者。

3. 通过电子邮件或安全问题进行的恢复通常会被社会工程或受损的第三方服务绕过，从而使不安全的帐户暴露在外。

4. Exchange 支持团队无法覆盖 2FA 保护 — 一旦不正确禁用或在没有备份的情况下丢失，则可能无法恢复完整帐户。

5. 与没有 2FA 的交易所关联的高价值钱包成为自动僵尸网络扫描薄弱身份验证配置的主要目标。

硬件密钥和高级替代方案

1. 符合 FIDO2 标准的安全密钥（例如 YubiKey 5 系列）通过对与特定域相关的身份验证请求进行加密签名来提供防网络钓鱼 2FA。

2. Ledger Live 在交易所链接操作期间集成了硬件钱包证明，从而实现了超出标准 TOTP 的设备绑定会话验证。

3.一些去中心化交易所（DEX）完全避免传统的2FA，而是依赖钱包签名挑战——一种将验证责任转移到用户私钥管理的模型。

4. 本机交换应用程序中的生物识别身份验证仅在设备上起作用，并且不会取代服务器端 2FA - 它只是解锁本地应用程序会话。

5. 由于遗留基础设施的限制，WebAuthn 在中心化交易所中的采用仍然受到限制，尽管新兴平台在初始架构设计期间优先考虑它。

常见问题解答

问：我可以对多个交易账户使用同一个验证器应用程序吗？是的。身份验证器应用程序为每个帐户生成独立的 TOTP 机密。每个交易所在设置过程中都会分配一个唯一的二维码或密钥。

问：如果我丢失了安装了身份验证器应用程序的手机，会发生什么情况？您必须使用预先保存的备份代码或遵循交易所经过验证的恢复流程。如果没有原始种子，仅恢复应用程序将无法恢复 TOTP 令牌。

问：启用 2FA 是否会阻止我使用 API 密钥？不需要。但是，许多交易所需要单独的 2FA 激活才能创建 API 密钥或限制权限，除非在父帐户上启用了 2FA。

问：基于电子邮件的验证链接是否被视为 2FA？不会。电子邮件验证是一种单因素机制，因为电子邮件帐户本身通常缺乏强大的身份验证，并且无需实际拥有即可远程访问。