Cloudflare 如何开启 2FA(两步验证)
谁控制你的 Cloudflare 账户,谁就控制你的 DNS——意味着邮件路由、TLS 证书乃至整个域名。这里的 2FA 保护的是你运营的每一个网站,而不只是一个账号。
快捷路径: dash.cloudflare.com → My Profile → Authentication → Two-Factor Authentication
Cloudflare 2FA 设置步骤
- 1
打开 Cloudflare 个人资料
登录 https://dash.cloudflare.com,点击右上角头像 → 「My Profile」。
- 2
进入 Authentication 标签
打开「Authentication」标签,在「Two-Factor Authentication」下点击「Enable」。Cloudflare 会要求确认密码。
- 3
用 2FAA 扫描二维码
Cloudflare 显示二维码(含手动密钥选项)。打开 2FAA 扫描——6 位 Cloudflare 验证码立即出现。
- 4
输入当前验证码确认
输入 2FAA 的验证码完成开启。此后每次登录都需要 2FA。
- 5
下载备用码
Cloudflare 在设置完成后立即生成一组一次性备用码。下载并离线保存——之后可在同一 Authentication 标签里重新生成。
用 2FAA 生成 Cloudflare 的 2FA 验证码
无需单独安装验证器 App。2FAA 是免费的浏览器端 TOTP 工具——密钥不离开你的设备,作为 PWA 可离线使用。同一个密钥也可以同时添加到 Google Authenticator 或 Authy 做冗余备份。
常见问题
为什么 Cloudflare 的 2FA 格外重要?
DNS 控制权等于基础设施级的账号接管:攻击者可以把你的域名指向他们的服务器、改 MX 记录拦截邮件,还能通过各种「DNS 验证」冒充你。2FA 是对这一切最便宜的保险。
Cloudflare 也支持硬件安全密钥吗?
支持——可在同一 Authentication 标签添加 FIDO2/WebAuthn 密钥,与 TOTP 并存。在用不了硬件密钥的设备上,TOTP(2FAA)作兜底。
2FA 会影响 API Token 或 Wrangler 部署吗?
不会。API Token 和密钥直接认证,不经过 2FA。2FA 管的是交互式控制台登录——怀疑泄露时另行轮换 Token。
验证器和备用码都丢了还能恢复吗?
Cloudflare 在没有任何第二因素时的账户恢复刻意做得严格且缓慢。别走到那一步:导出 2FAA 备份,或把重新生成的备用码存放妥当。