Pengesahan Dua Faktor Dijelaskan: Pertahanan Terbaik Anda Terhadap Pengambilalihan Akaun

Semua yang perlu anda ketahui tentang pengesahan dua faktor (2FA): cara ia berfungsi, kaedah mana yang paling selamat, cara menyediakannya, dan mengapa ia adalah perlindungan paling berkesan terhadap pengambilalihan akaun.

· Truvizy Research Team · 8 min read

TL;DR

Pengesahan dua faktor (2FA) menyekat lebih 99% serangan pengambilalihan akaun automatik dengan memerlukan langkah pengesahan kedua melebihi kata laluan anda. Aplikasi pengesah dan kunci perkakasan adalah pilihan terkuat, tetapi malah 2FA berasaskan SMS jauh lebih baik daripada tiada langsung. Aktifkannya pada setiap akaun yang menawarkannya, bermula dengan e-mel dan perbankan.

Telefon pintar menunjukkan kod pengesahan dua faktor di sebelah skrin log masuk komputer riba
Telefon pintar menunjukkan kod pengesahan dua faktor di sebelah skrin log masuk komputer riba

Pada 2025, Google melaporkan bahawa akaun dengan pengesahan dua faktor diaktifkan adalah 99.9 peratus kurang berkemungkinan terjejas berbanding yang bergantung pada kata laluan sahaja. Microsoft menerbitkan penemuan yang serupa. Namun walaupun nombor yang mengejutkan ini, kadar penggunaan kekal rendah secara mengejutkan. Tinjauan industri mencadangkan bahawa kurang daripada 30 peratus pengguna telah mengaktifkan 2FA pada akaun paling penting mereka, dan jurangnya lebih besar di kalangan orang dewasa yang lebih tua dan pengguna yang kurang celik teknologi.

Sebab-sebab jurang ini boleh difahami. Pengesahan dua faktor kedengaran teknikal, proses persediaan berbeza merentas platform, dan terdapat kekeliruan nyata tentang kaedah mana yang terbaik. Panduan ini menghapuskan kekeliruan tentang 2FA sepenuhnya: apa itu, cara setiap jenis berfungsi, cara menyediakannya langkah demi langkah, dan cara menangani senario "bagaimana jika saya kehilangan telefon" yang menghalang ramai orang daripada mengaktifkannya pada mulanya.

Apakah Pengesahan Dua Faktor dan Mengapa Ia Penting

Faktor pengesahan terbahagi kepada tiga kategori: sesuatu yang anda tahu (kata laluan atau PIN), sesuatu yang anda miliki (telefon anda, kunci perkakasan), dan sesuatu yang anda adalah (imbasan cap jari atau muka). Log masuk tradisional hanya menggunakan faktor pertama. Pengesahan dua faktor memerlukan dua faktor yang berbeza, paling biasa kata laluan ditambah kod yang dijana oleh atau dihantar ke telefon anda.

Nilai 2FA terletak pada pertahanan yang mendalam. Walaupun penyerang mencuri atau meneka kata laluan anda, sama ada melalui pelanggaran data, serangan phishing, atau manipulasi kejuruteraan sosial , mereka masih tidak dapat mengakses akaun anda tanpa faktor kedua. Langkah tambahan tunggal ini menyekat majoriti serangan pengambilalihan akaun, itulah sebabnya setiap organisasi keselamatan utama mengesyorkan mengaktifkannya pada semua akaun.

Cara Pengesahan Dua Faktor Berfungsi

Aliran asas adalah mudah. Anda masukkan nama pengguna dan kata laluan seperti biasa. Perkhidmatan kemudian meminta pengesahan kedua, yang mungkin merupakan kod enam digit dari aplikasi pengesah, mesej teks dengan kod sekali guna, ketukan pada kunci keselamatan perkakasan, atau pengesahan biometrik pada telefon anda. Setelah anda memberikan kedua-dua faktor, anda log masuk. Banyak perkhidmatan membolehkan anda menandai peranti yang dipercayai supaya anda hanya memerlukan faktor kedua pada peranti baru atau tidak dikenali, mengurangkan geseran untuk rutin harian anda.

Mekanisme teknikal berbeza mengikut kaedah, tetapi prinsip keselamatan adalah sama: faktor kedua membuktikan bahawa orang yang memasukkan kata laluan juga secara fizikal memiliki peranti pengesahan tertentu. Ini menjadikan serangan jauh jauh lebih sukar kerana penyerang memerlukan bukan sahaja kelayakan anda tetapi juga akses fizikal kepada peranti pengesahan anda.

Jenis 2FA: Dari SMS hingga Kunci Perkakasan

Kod SMS adalah bentuk 2FA yang paling banyak tersedia. Selepas memasukkan kata laluan anda, perkhidmatan menghantar kod sekali guna ke nombor telefon berdaftar anda. Kelebihan adalah kesederhanaan dan keserasian universal, kerana ia berfungsi dengan mana-mana telefon yang boleh menerima mesej teks. Kelemahannya adalah kerentanan terhadap pertukaran SIM, di mana penyerang meyakinkan pembawa anda untuk memindahkan nombor telefon anda ke peranti mereka, memintas kod anda.

Aplikasi pengesah seperti Google Authenticator, Authy, dan Microsoft Authenticator menjana kata laluan sekali guna berasaskan masa (TOTP) secara tempatan pada peranti anda. Kod ini berubah setiap 30 saat dan tidak dihantar melalui rangkaian selular, menjadikannya kebal terhadap pertukaran SIM. Authy menambah sandaran awan dan penyegerakan berbilang peranti, menangani kebimbangan pemulihan yang menghalang ramai orang daripada menggunakan aplikasi pengesah.

Carta perbandingan kaedah 2FA yang berbeza menunjukkan tahap keselamatan, kemudahan penggunaan, dan pilihan pemulihan
Carta perbandingan kaedah 2FA yang berbeza menunjukkan tahap keselamatan, kemudahan penggunaan, dan pilihan pemulihan

Kunci keselamatan perkakasan seperti YubiKey dan Google Titan adalah peranti fizikal yang disambung ke port USB anda atau disentuh melalui NFC. Mereka menggunakan protokol cabaran-tindak balas kriptografi yang kebal terhadap phishing, pertukaran SIM, dan pemintasan masa nyata. Kunci perkakasan dianggap sebagai kaedah pengesahan pengguna terkuat yang tersedia, tetapi kos (sekitar $25 hingga $50 setiap kunci) dan keperluan membawa peranti fizikal mengehadkan penggunaan.

Kunci laluan, dibina berdasarkan standard FIDO2 yang sama seperti kunci perkakasan, semakin muncul sebagai imbangan terbaik keselamatan dan kemudahan. Disimpan pada telefon atau komputer anda dan dibuka kunci dengan biometrik, kunci laluan menawarkan keselamatan peringkat kunci perkakasan tanpa peranti berasingan. Untuk menyelami lebih dalam tentang kunci laluan dan hubungannya dengan kata laluan, lihat panduan kami tentang keselamatan kata laluan pada 2026 .

Menyediakan 2FA pada Akaun Paling Penting Anda

Mulakan dengan akaun e-mel anda. E-mel anda adalah kunci induk kepada kehidupan digital anda kerana ia digunakan untuk menetapkan semula kata laluan untuk hampir setiap perkhidmatan lain. Menjejaskan e-mel anda memberi penyerang keupayaan untuk menetapkan semula dan mengambil alih semua yang lain. Dalam Gmail, pergi ke tetapan Akaun Google anda, pilih Keselamatan, kemudian Pengesahan 2-Langkah, dan ikuti wizard persediaan. Untuk Outlook dan akaun Microsoft lain, lawati account.microsoft.com, pilih Keselamatan, kemudian pilihan keselamatan Lanjutan.

Seterusnya, selamatkan akaun perbankan dan kewangan anda. Kebanyakan bank dan platform pelaburan kini menawarkan 2FA melalui aplikasi mudah alih mereka, menggunakan pemberitahuan tolak atau kod pengesah. Untuk media sosial, aktifkan 2FA dalam tetapan keselamatan setiap platform: Tetapan dan Privasi di X, Keselamatan dan Log masuk di Facebook, Keselamatan di Instagram, dan Privasi dan Keselamatan di TikTok. Laluan menu yang tepat berbeza, tetapi mencari "dua faktor" atau "2FA" dalam tetapan platform biasanya membawa anda terus ke halaman yang betul.

Mendapat gesaan 2FA yang mencurigakan yang tidak anda minta? Seseorang mungkin mempunyai kata laluan anda, imbas sebarang mesej berkaitan dengan Truvizy.

Sandaran dan Pemulihan: Bersedia untuk Perkara Terburuk

Kebimbangan nombor satu yang menghalang orang daripada mengaktifkan 2FA adalah takut terkunci jika mereka kehilangan telefon. Ini adalah kebimbangan yang sah, tetapi ia mempunyai penyelesaian yang mudah. Apabila anda mengaktifkan 2FA pada mana-mana akaun, perkhidmatan akan menawarkan kod pemulihan, biasanya satu set 8 hingga 10 kod sekali guna yang berfungsi walaupun tanpa telefon anda. Simpan kod ini dalam pengurus kata laluan anda atau cetaknya dan simpan di lokasi fizikal yang selamat.

Jika anda menggunakan aplikasi pengesah, pilih yang menyokong sandaran dan penyegerakan. Authy menyulitkan dan menyegerakkan token anda merentas berbilang peranti, jadi kehilangan satu telefon tidak mengunci anda keluar. Untuk kunci perkakasan, beli dua dan daftarkan kedua-duanya dengan akaun anda. Simpan kunci kedua di lokasi yang selamat sebagai sandaran. Langkah berjaga-jaga ini mengambil masa beberapa minit untuk disediakan dan menghapuskan risiko terkunci sepenuhnya.

Cara Penyerang Cuba Memintas 2FA

Memahami cara penyerang menyasarkan 2FA membantu anda memilih kaedah yang betul dan kekal berjaga-jaga terhadap ancaman yang berkembang. Serangan pertukaran SIM menyasarkan 2FA berasaskan SMS dengan melakukan kejuruteraan sosial terhadap kakitangan sokongan pembawa mudah alih untuk memindahkan nombor telefon anda. Proksi phishing masa nyata mempersembahkan halaman log masuk palsu yang menangkap kata laluan dan kod 2FA anda secara serentak, menyampaikannya ke laman sebenar sebelum kod tamat tempoh.

Serangan keletihan pemberitahuan tolak membombardir aplikasi pengesah anda dengan permintaan kelulusan log masuk sehingga anda secara tidak sengaja meluluskan satu. Jika anda menerima gesaan 2FA yang tidak dijangka, jangan sekali-kali meluluskannya dan tukar kata laluan anda dengan serta-merta. Kunci perkakasan dan kunci laluan adalah tahan terhadap semua serangan ini kerana mereka mengesahkan domain secara kriptografi, menjadikan proksi phishing tidak berkesan. Mereka mewakili piawaian emas semasa untuk keselamatan pengesahan pengguna.

Kaedah 2FA mana yang memberikan perlindungan TERKUAT terhadap semua jenis serangan yang diketahui?

  1. Kod mesej teks SMS
  2. Aplikasi pengesah (Google Authenticator, Authy)
  3. Kunci keselamatan perkakasan atau kunci laluan
  4. Kod pengesahan berasaskan e-mel

Answer: Kunci keselamatan perkakasan dan kunci laluan adalah tahan terhadap phishing, pertukaran SIM, dan pemintasan masa nyata kerana mereka mengesahkan domain secara kriptografi. Tiada kaedah serangan jauh yang boleh memintas mereka.

Panduan visual langkah demi langkah menunjukkan cara mengaktifkan 2FA pada platform popular
Panduan visual langkah demi langkah menunjukkan cara mengaktifkan 2FA pada platform popular

Melebihi 2FA: Membina Postur Keselamatan yang Lengkap

Pengesahan dua faktor adalah pertahanan tunggal anda yang terkuat terhadap pengambilalihan akaun, tetapi ia berfungsi terbaik sebagai sebahagian daripada pendekatan keselamatan berlapis. Gabungkan 2FA dengan pengurus kata laluan untuk kelayakan unik, pemantauan pelanggaran untuk amaran awal, dan alat pengesanan penipuan untuk ancaman yang menyasarkan anda sebelum anda sampai ke halaman log masuk. Banyak kompromi akaun bermula bukan dengan serangan kata laluan langsung tetapi dengan video palsu yang meyakinkan atau mesej yang menipu anda untuk mendedahkan maklumat secara sukarela.

Key Takeaways

Alat seperti platform pengimbasan Truvizy membantu anda menangkap serangan kejuruteraan sosial dan penyamaran sebelum mereka dapat menjejaskan kelayakan anda. Untuk perlindungan komprehensif yang merangkumi seluruh keluarga anda, pelan Truvizy menggabungkan pengesanan penipuan berkuasa AI dengan keupayaan pengimbasan proaktif yang melengkapi amalan pengesahan yang kukuh. Bersama-sama, pengesahan yang kukuh dan pengesanan yang bijak mewujudkan pertahanan yang menangani dimensi teknikal dan manusia keselamatan dalam talian.

Lapisi 2FA dengan pengesanan penipuan berkuasa AI untuk perlindungan akaun yang lengkap.

Panduan Pengesanan E-mel Phishing — Tangkap e-mel pencurian kelayakan sebelum ia sampai kepada anda

Cara Mengesan Video Deepfake — Kesan kandungan penyamaran yang dijana AI

Pencegahan Kecurian Identiti — 15 langkah untuk melindungi maklumat peribadi anda

FAQ

Apakah perbezaan antara 2FA dan MFA?

Pengesahan dua faktor (2FA) memerlukan tepat dua faktor, seperti kata laluan ditambah kod dari telefon anda. Pengesahan berbilang faktor (MFA) adalah istilah yang lebih luas yang merangkumi dua atau lebih faktor. Dalam amalan, kebanyakan pelaksanaan pengguna menggunakan dua faktor, jadi istilah tersebut sering digunakan secara silih berganti.

Adakah 2FA berasaskan SMS masih selamat digunakan?

SMS 2FA jauh lebih selamat daripada tiada 2FA sama sekali dan menyekat sebahagian besar serangan automatik. Walau bagaimanapun, ia terdedah kepada serangan pertukaran SIM di mana penipu meyakinkan pembawa anda untuk memindahkan nombor anda. Untuk akaun bernilai tinggi, aplikasi pengesah atau kunci perkakasan memberikan perlindungan yang lebih kukuh.

Apa yang berlaku jika saya kehilangan telefon dengan aplikasi pengesah saya?

Kebanyakan aplikasi pengesah menawarkan pilihan sandaran dan pemulihan, termasuk penyegerakan awan dan kod pemulihan. Apabila anda menyediakan 2FA, sentiasa simpan kod pemulihan sandaran di lokasi yang selamat seperti pengurus kata laluan anda. Beberapa aplikasi seperti Authy juga menyokong penyegerakan berbilang peranti.

Bolehkah penggodam memintas pengesahan dua faktor?

Penyerang yang canggih boleh memintas 2FA berasaskan SMS melalui pertukaran SIM atau proksi phishing masa nyata. Kod aplikasi pengesah boleh dipintas oleh phishing masa nyata. Kunci keselamatan perkakasan dan kunci laluan adalah tahan terhadap semua kaedah serangan jauh yang diketahui, menjadikannya piawaian emas untuk 2FA.

Akaun mana yang perlu saya aktifkan 2FA dahulu?

Utamakan akaun e-mel anda (kerana ia digunakan untuk menetapkan semula kata laluan lain), akaun perbankan dan kewangan, akaun media sosial, dan mana-mana akaun yang mengandungi maklumat peribadi yang sensitif. Kemudian aktifkannya pada semua yang lain yang menyokongnya.