Authy vs Aegis vs Google Authenticator 二步驗證 App 對比:邊款最安全?港人海外華人私隱終極指南
深度比較 Authy、Aegis 與 Google Authenticator 三款 2FA 驗證 App 的安全性、隱私政策、備份機制與易用性。為香港及海外華人提供實際數據與明確立場,幫助你揀選最適合保護 VPN 及網上帳戶的二步驗證工具。
Authy vs Aegis vs Google Authenticator 二步驗證 App 對比:邊款最安全?港人海外華人私隱終極指南
當你認真看待網絡私隱,訂閱咗 VPN、用上加密電郵,但偏偏喺二步驗證(2FA)App 嘅選擇上求其裝個就算,咁成個安全體系就好似裝咗鋼門但用條鞋帶鎖住一樣。一次帳戶被盜,足以令你嘅密碼管理器、加密貨幣交易所、甚至 VPN 帳戶全部淪陷。今次我哋唔講虛嘅,直接將市面上最主流嘅三款 2FA App —— Authy、Aegis 同 Google Authenticator —— 擺上枱,由私隱、資料主權、備份機制、跨平台表現到實際應對失機場景,逐項拆解,畀香港人同海外華人一個斬釘截鐵嘅立場判斷。
點解二步驗證 App 對 VPN 用戶同海外華人咁關鍵?
海外華人同香港用戶經常面對跨地區登入、公共 Wi-Fi 以及屢見不鮮嘅帳戶奪取攻擊。根據 Google 安全研究,單純啟用 SMS 二步驗證可以阻擋 100% 自動化機械人攻擊、96% 嘅批量釣魚攻擊,但 SMS 驗證碼可以被 SIM 卡騎劫(SIM Swap)輕鬆繞過,2022 年 FBI 互聯網犯罪投訴中心錄得超過 2,000 宗 SIM Swap 案件,損失超過 7,200 萬美元。因此,用軟件生成嘅 TOTP(基於時間嘅一次性密碼)先係真正嘅第一道防線。
VPN 用戶嘅心態本身就係追求匿名同防監控,但你個 2FA App 會唔會反過嚟將你嘅手機號碼、裝置資訊上傳雲端成為追蹤線索?以下對比就係要搵出邊款 App 唔會「食兩家茶禮」。
三大 2FA App 基本背景速覽
Authy(由 Twilio 擁有)
Authy 最早以「跨平台雲端同步 2FA」打響名堂,2022 年 Twilio 遭受網絡攻擊,Authy 部分用戶數據受到影響,涉及約 93 個 Authy 帳戶被未經授權存取。其後 Authy 大幅收緊安全,但「中心化雲端備份」呢個特性本身就係雙面刃。Authy 支援 Android、iOS、桌面版(Windows、macOS、Linux),並設有加密備份密碼保護同步資料。
Aegis Authenticator(開源、離線優先)
Aegis 係一款完全開源、喺 F-Droid 同 Google Play 都可以下載嘅 Android 專用 2FA App。佢嘅設計哲學極度透明:資料庫默認以 AES-256-GCM 加密儲存在本地,可以匯出加密備份檔案,完全唔依賴任何雲端伺服器。因為冇營運方嘅伺服器,所以理論上冇人可以遠端癱瘓或者洩漏你嘅令牌。Aegis 喺私隱社群同開源界口碑極高,但缺點係只有 Android 版,iOS 用戶要另覓出路。
Google Authenticator(終於有雲端同步)
Google Authenticator 多年嚟被批評「換機噩夢」—— 冇備份、冇匯出功能,一壞機就全部 2FA 令牌煙消雲散。直至 2023 年 4 月,Google 終於加入可以綁定 Google 帳戶嘅雲端同步功能,並且聲稱採用端對端加密(E2EE)。不過,呢個 E2EE 嘅實作細節一直冇全面公開審計,令進階用戶心存疑慮。好處係幾乎人人都有 Google 帳戶,入門零成本。
安全性深度對比:加密、備份與攻擊面
呢一節我哋用實際嘅技術標準同事件歷史,將三款 App 嘅安全設計攤出嚟。
資料靜態加密(At Rest Encryption)
- Aegis:資料庫使用 AES-256-GCM,密鑰由用戶設定嘅密碼派生(PBKDF2),加密完全在本地進行。即使手機被惡意軟件取得資料庫檔案,冇密碼即係一堆亂碼。
- Authy:Authy 聲稱所有 2FA 令牌都經過客戶端加密後先上傳至 Twilio 伺服器,備份解鎖密碼唔會儲存在伺服器端。但應注意,Twilio 可以控制客戶端代碼更新,理論上存在供應鏈風險。
- Google Authenticator:雲端同步使用 Google 帳戶嘅標準加密機制,數據在傳輸及儲存時加密。但因為同步到 Google 帳戶,一旦 Google 帳戶本身被攻破(例如冇開 2FA 或者弱密碼),同步嘅所有 2FA 令牌就會一次過暴露,形成單點失效(Single Point of Failure)。
備份與災難恢復
實戰層面,備份機制直接決定你失機後能否 10 分鐘內恢復所有帳戶存取權。
- Aegis:可手動或自動(需設定)匯出加密備份檔案到本地或雲端空間(例如自己嘅 Nextcloud、或經 Syncthing 同步)。重點係備份完全自主,你唔使信任何第三方。
- Authy:必須綁定手機號碼,用備份密碼恢復。呢個設計令手機號碼成為必要條件,而手機號碼正正係 SIM Swap 攻擊嘅目標。2022 年 Twilio 事件雖然規模細,但證明中心化備份目標明確。
- Google Authenticator:依賴 Google 帳戶同步。冇咗手機都可以經 Google 帳戶恢復,但如前所述,Google 帳戶被盜等於全軍覆沒。
程式碼透明度與審計
- Aegis:完全開源(GPLv3),代碼喺 GitHub 公開,任何人可以審計,冇隱藏後門。
- Authy:閉源。用戶只能信賴 Twilio 嘅安全聲明。
- Google Authenticator:2023 年已經開源,但其雲端同步部分涉及伺服器端代碼,並非全棧開源,社群難以全面驗證端對端加密承諾。
從安全角度,Aegis 嘅零信任架構(唔需要信任何伺服器)毫無疑問最強。但現實係,好多用戶需要跨平台,咁就要睇下一節。
隱私與資料主權:你嘅令牌會唔會變成追蹤器?
VPN 用戶對 IP、裝置識別碼、使用習慣特別敏感。三款 App 在私隱政策上有巨大差異。
- Aegis:完全無網絡權限(除非你手動俾佢用雲端備份上傳至自己選擇嘅儲存空間)。App 本身唔收集任何數據,無廣告、無分析工具。F-Droid 版本更係完全剝離 Google Play 服務依賴,真正「離線工具」。
- Authy:必須用手機號碼註冊,呢樣已經係一個極大嘅私隱代價。Twilio 會收集裝置資訊、IP 位址、使用數據。雖然 2FA 令牌內容聲稱唔會被存取,但元數據本身已經可以勾勒出你嘅活動模式。對於身處敏感地區或極度重視匿名嘅用戶,呢個係致命傷。
- Google Authenticator:當你綁定 Google 帳戶後,Google 毫無疑問會有你嘅使用記錄。如果你本身已經用緊 Google 服務,可能覺得「冇所謂」,但將安全令牌同大數據收集巨頭嘅生態系統捆綁,私隱風險隨之擴大。
對香港人同海外華人嚟講,跨邊境流動時,如果一個 2FA App 強制綁手機號碼,而呢個號碼又關聯到你嘅真實身份,咁就會形成一個明顯嘅追蹤向量。Aegis 無疑係私隱首選;如果必須用跨平台,至少要認清 Authy 同 Google Authenticator 嘅私隱代價。
易用性與跨平台實戰:換機、多裝置、桌面支援
三款 App 嘅使用場景差距好大,揀邊款好睇你嘅生活型態。
| 功能 | Authy | Aegis | Google Authenticator |
|---|---|---|---|
| Android | ✅ | ✅ | ✅ |
| iOS | ✅ | ❌ | ✅ |
| 桌面版 (Win/Mac/Linux) | ✅ | ❌ | ❌(無官方) |
| 多裝置同步 | ✅(雲端) | ❌(手動同步備份) | ✅(經 Google 帳戶) |
| 換機恢復 | 用手機號碼+備份密碼 | 匯入加密備份檔案 | 用 Google 帳戶自動恢復 |
| 離線生成 TOTP | ✅ | ✅ | ✅ |
| 生物辨識鎖 | ✅(指紋/PIN) | ✅(指紋/PIN) | ✅(指紋/PIN) |
實際案例:如果你係一個海外華人,同時用緊一部 Android 手機、一部 iPad 同一部 Windows 手提電腦,Authy 幾乎係唯一可以原生覆蓋晒所有裝置嘅選擇。但如果你願意接受「手機為主,平板同電腦用瀏覽器擴展或 KeePassXC 等離線工具搭配」,Aegis 嘅安全性絕對值得取捨。
Google Authenticator 換機痛苦嘅問題已經大幅改善,但佢冇桌面版,對於需要喺電腦快速填入驗證碼嘅用戶稍為不便。好多人會用密碼管理器如 Bitwarden 嘅內建 TOTP 來彌補,但咁樣又將二步驗證同密碼放埋一齊,違反安全隔離原則——呢個係進階話題,我哋之後再講。
失機、被盜、跨國旅行:邊款 App 喺極端情況最可靠?
海外華人成日飛,手機唔見咗或者被偷嘅風險唔低。我哋模擬三個場景逐一睇。
場景一:手機喺外地被盜,手上只有後備裝置
- Authy:如果你記得備份密碼,而又能夠收到 SMS 確認(但你可能連 SIM 卡都冇埋),恢復會極度困難。Authy 官方要求你喺新裝置上驗證手機號碼,但 SIM 卡已失,你可能要長途聯絡電訊商補卡,或者啟動 Authy 嘅多裝置功能(前提係你之前已喺另一裝置授權)。網上唔少用戶報告過被鎖死嘅地獄經歷。
- Aegis:只要你事前有將加密備份檔案放喺 USB 手指、雲端硬碟或者親友嘅電郵附件,你可以喺任何新 Android 手機安裝 Aegis,用密碼解密備份,即時恢復所有令牌。無需 SMS、無需任何伺服器批准。呢種「自給自足」嘅恢復能力,對於經常唔同國家走動嘅人係救命稻草。
- Google Authenticator:只要你嘅 Google 帳戶冇開 SMS 2FA 死循環,而你又記得 Google 密碼同有後備驗證方式(例如備用碼、安全金鑰),就可以安裝 App 後登入 Google 帳戶同步恢復。風險係如果你用咗 Google 進階保護計劃,恢復過程更有保障但亦更複雜。
場景二:準備長期旅行,冇固定電話號碼
Authy 強制綁定電話號碼,一旦你要換當地 SIM 卡,需要更新 Authy 嘅號碼,過程可能觸發安全鎖定。Aegis 完全唔理你電話號碼,Google Authenticator 同步亦唔認號碼。就旅行靈活性嚟講,Aegis 同 Google Authenticator 勝出。
場景三:政府或網絡攻擊針對雲端服務
當 Twilio 或 Google 遭受國家級攻擊或用戶資料庫外洩,Authy 同 Google Authenticator 嘅中心化風險即時浮現。Aegis 因為冇中心伺服器,攻擊者只能針對你個人裝置,難度幾何級上升。
立場判斷:邊款最啱你?香港人同海外華人嘅終極推薦
我哋唔會講「各有各好」呢啲廢話。以下係根據唔同需求嘅硬淨立場。
如果你的優先考慮係絕對私隱同安全(特別係 VPN 用家、記者、加密貨幣用戶)
請直接用 Aegis Authenticator,冇第二個選擇。 犧牲 iOS 同桌面端,換嚟係零追蹤、全加密備份、開源透明。你嘅 2FA 令牌永遠唔離開你控制範圍。iOS 用戶可以考慮用 Raivo OTP(但已出售,需觀察)或者直接用 YubiKey 硬件金鑰做 TOTP,但純軟體方案 Aegis 係 Android 陣營嘅金標準。
如果你必須跨平台、多裝置同步,而且願意接受合理私隱代價
Authy 仍然係最成熟嘅跨平台選擇,但請嚴格遵守以下操作:務必設定高強度「Backups Password」,並啟用指紋鎖;絕對唔好喺來歷不明嘅裝置登入 Authy;同時將手機號碼保護到極致(電訊商加 PIN 碼防 SIM Swap)。記住,你嘅安全等於「手機號碼安全 × 備份密碼強度」。
如果你已經完全沉浸在 Google 生態,而且懶得學新嘢
Google Authenticator 可以一用,但一定要幫 Google 帳戶加裝硬件安全金鑰(例如 YubiKey 或 Titan Security Key)做二步驗證,避免 Google 帳戶變成單點死穴。另外,定期去 Google 帳戶安全檢查頁面確認恢復選項有效。
進階混合策略(推薦畀要求極高嘅用戶)
將帳戶分級:高價值帳戶(如域名註冊、主要電郵、加密貨幣交易所)嘅 2FA 只用 Aegis 或硬件金鑰,並將加密備份離線保存;日常社交、購物帳戶可以放喺 Authy 方便日常使用。咁樣即使 Authy 出事,你嘅核心資產仍然安全。
常見問題 FAQ
Authy 真係咁唔安全?我見好多人用緊
Authy 唔係唔安全,而係佢嘅安全模型依賴中心化信任——你要信 Twilio 唔會被入侵、信佢哋冇後門、信佢哋嘅備份加密冇漏洞。如果你嘅威脅模型唔包括國家級攻擊或者針對性黑客,Authy 已經好過 SMS 二步驗證 N 倍。但如果你係高價值目標(記者、異見人士、持大量加密資產者),請避開任何中心化方案。
Aegis 冇 iOS 版,iPhone 用戶點算?
iOS 用戶可以考慮開源方案如 FreeOTP+(App Store 有)或者使用 KeePassium 等密碼管理器嘅內建 TOTP,同時強烈建議購入 YubiKey 5Ci 等硬件金鑰做 FIDO2 / U2F 認證。不過呢個已經超出純 App 對比範圍。
我將 Google Authenticator 同步到 Google 帳戶,會唔會令黑客更容易偷晒所有 2FA?
絕對會。一旦你嘅 Google 帳戶被攻破,同步過嚟嘅所有令牌都會俾人睇晒。所以如果你要咁做,Google 帳戶一定要開二步驗證,而且最好係用硬件金鑰,絕對唔好用 SMS 做後備。另外可以考慮唔同步,只用 Authenticator 單機版並手動保留備用碼。
換新手機時,Aegis 點樣最安全搬過去?
喺舊手機用 Aegis 嘅「匯出」功能,選擇加密匯出,設定一個強密碼,將生成嘅 .json 檔案傳送到新手機(可用加密渠道如 Signal 嘅「Note to Self」或 SD 卡),然後喺新手機 Aegis 揀「匯入」,輸入密碼就得。搬完之後記得刪除傳送途中嘅暫存檔案。
二步驗證 App 會唔會同 VPN 衝突?
唔會。二步驗證 App 生成驗證碼係基於時間嘅數學算法,完全唔需要網絡連線。你開住 VPN 定唔開,對佢生成嘅六位數字完全冇影響。但有一點要留意:如果你用 Authy 嘅雲端同步,佢需要網絡,嗰陣就會行經你嘅 VPN 隧道,Twilio 伺服器會見到你嘅 VPN 出口 IP,屬於正常現象。
總結:將二步驗證融入你嘅私隱體系
二步驗證 App 只係你整體威脅模型嘅其中一塊拼圖。但呢塊拼圖如果揀錯,其他安全措施好大機會前功盡廢。對香港人同海外華人而言,經常面對跨境數據監控及網絡攻擊,揀 2FA App 嘅標準必須提升到同揀 VPN 一樣嘅嚴謹程度——睇佢點處理數據、有冇開源、備份機制係咪由你完全掌控。
Authy 係方便,但用自由換方便;Google Authenticator 係入門,但捆綁生態系統有隱憂;Aegis 係硬核,但真正將主權交返畀你。我嘅立場好清楚:如果只可以揀一款,Aegis 係最對得住「私隱」兩個字嘅選擇。 如果你需要平衡,就用混合分級法,將核心帳戶鎖喺 Aegis,其他放 Authy 或 Google Authenticator,並永遠為你嘅主密碼管理器和電郵帳戶配備硬件金鑰。
保護自己,由揀啱個 2FA App 開始。