Google Authenticator、Authy、Microsoft Authenticator 怎么选？

为什么不用短信验证码？

短信容易被 SIM 卡劫持，而且海外号码收不到。TOTP（基于时间的一次性密码）更安全，而且不需要联网。

Google Authenticator

最经典，但缺点也明显：不支持云端同步，换手机必须手动迁移每个账号。之前很多人因为这个丢了账号。虽然最近加入了 Google 账户同步，但体验一般。

Authy

Authy 支持多设备同步和加密备份，换手机时只需在新设备登录，所有令牌自动恢复。还支持桌面版和浏览器插件，用起来很方便。缺点是要求手机号验证，而且曾经被攻击过（但未泄露数据）。

Microsoft Authenticator

微软的 2FA 工具，除了 TOTP 还支持无密码登录（配合微软账户）。备份功能需要登录微软账户，比 Google Authenticator 好，但不如 Authy 灵活。

我的选择

• 日常用 Authy，因为跨平台方便
• 重要账号（如 Google、GitHub）额外用 YubiKey 做硬件备份
• 如果只用 iPhone，也可以选苹果自带密码管理器（iOS 15+）

不管用哪个，记得把恢复码打印出来，锁在抽屉里。