⚡ 站長快讀:核心重點
- 文章屬性:選購比較
- 核心結論:TOTP 驗證 App 怎麼選沒有單一正解:圖方便選 Google、重 Microsoft 帳號生態選官方 App、重開源與備份自主權選 Aegis(僅限 Android)
- 適用對象:想幫帳號加開兩步驟驗證,但不知道該裝哪一款驗證 App 的人
- 本文比較範圍:2026 年中 Google Authenticator / Microsoft Authenticator / Aegis Authenticator 三款免費 TOTP 驗證 App(不含硬體金鑰、不含簡訊驗證)
📌 快速答案
一句話答案:TOTP 驗證 App 怎麼選?求方便選 Google、常用 Microsoft 帳號選官方 App、重開源與備份自主選 Aegis(僅限 Android)。
🔍 為什麼這個選擇很重要?
很多人設定兩步驟驗證的順序是:先隨便選一款 App、掃完 QR Code 就沒再想過它。等到真正出事——手機摔壞、換新機忘記轉移、或不小心刪掉 App——才發現自己被鎖在帳號外面,連救援信箱都收不到驗證碼的窘境屢見不鮮。三款主流 TOTP App 的差異,其實不在「產生六位數字」這個表面功能(三款都做得到、也都遵守同一套 RFC 6238 標準),而在你看不到的地方:雲端備份是不是連官方都讀不到內容、換手機救援有多順、要不要綁定特定帳號、原始碼公不公開讓人檢查。這篇已經把 Google、Microsoft、Aegis 官方文件與近期政策異動(例如 Microsoft Authenticator 在 2025 年中已取消密碼自動填入功能)整理好,你只要對照自己的使用情境選就好。已經設定過兩步驟驗證的讀者,可參考〈雙重驗證 2FA 完整設定教學 2026〉;若還在用簡訊驗證碼,建議先看〈簡訊驗證碼還安全嗎?NIST 已把 SMS 列「受限」〉了解為什麼該升級。
📊 關鍵規格快速比較
| 項目 | Google Authenticator | Microsoft Authenticator | Aegis Authenticator |
|---|---|---|---|
| 平台 | Android / iOS | Android / iOS | 僅 Android(官方無 iOS 版) |
| 雲端備份 | 可選,同步到 Google 帳號 | Android 走 Microsoft 帳號;iOS 自 2025-09 起改用 iCloud + 鑰匙圈 | 無內建雲端同步,自行加密匯出或自訂備份位置 |
| 備份加密方式 | 非端對端加密(Google 技術上可讀取) | AES-256(Android);iOS 依 iCloud 加密機制 | 使用者自訂密碼加密匯出檔 |
| 開放原始碼 | 否 | 否 | 是(GPL-3.0) |
| 站長推薦度 | ⭐⭐⭐⭐ | ⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐(限 Android) |
⚠️ 三款皆為免費工具,沒有價格比較的必要;本文以備份安全模型、開放程度與平台支援作為選擇依據,細節均以下方官方來源查證日為準。
📋 重點摘要(行動版精簡版)
- 最單純:Google Authenticator,跨平台、一鍵同步,適合不想研究細節的人
- 最適合 Microsoft 生態圈:Microsoft Authenticator,可做 Entra/Microsoft 帳號無密碼登入與推播核准
- 最適合開源派:Aegis Authenticator,原始碼公開、備份完全自己掌控,但僅限 Android
🔎 逐項深入解析
Google Authenticator
Google Authenticator 長期以「開箱即用、介面極簡」著稱,新增帳號、掃 QR Code 幾乎零學習成本。2023 年 4 月起,Google 開放把驗證碼種子同步到你的 Google 帳號,換手機或多裝置使用時不用逐一重新綁定每個服務;這項備份功能是可選的,不同步也完全能用。2026 年新增的「Privacy Screen」功能,可要求裝置的螢幕鎖(PIN、圖形或生物辨識)才能打開 App,即使手機被拿走,驗證碼也不會被直接看光。要注意的是,Google 官方與多家媒體都指出,目前的雲端備份不是端對端加密——資料在 Google 端理論上可被讀取,這是為了「換裝置救援方便」所做的取捨,在意這一點的人可以不開啟同步,或改用 Aegis 這類自行掌控備份的方案。
Microsoft Authenticator
Microsoft Authenticator 除了標準 TOTP 驗證碼,還能作為 Microsoft/Entra 帳號的無密碼登入與推播核准工具,也是 Passkey(密碼金鑰)的官方提供者之一。備份機制依平台而不同:Android 版把資料以 AES-256 加密後存進你的 Microsoft 個人帳號;iOS 版則從 2025 年 9 月起改用 Apple iCloud 與 iCloud 鑰匙圈進行備份還原,不再要求綁定 Microsoft 個人帳號。要提醒的是,這款 App 原本內建的密碼管理與自動填入功能已在 2025 年年中(6 月起停止新增、7 月起停止自動填入、8 月中完全移除存取)分階段下架,官方建議改用 Microsoft Edge 管理密碼;但兩步驟驗證與 Passkey 功能不受影響。替其他服務(如 GitHub、Google 帳號)加驗證時,一樣是掃 QR Code 走標準 TOTP,不需要額外設定。
Aegis Authenticator
Aegis 是一款開放原始碼(GPL-3.0 授權)的驗證器 App,原始碼公開在 GitHub 上供任何人檢視,對「不想把安全交給看不到程式碼的黑盒子」的使用者很有吸引力。它從設計之初就把「加密與備份」當核心賣點:金鑰庫本身以密碼加密儲存、支援生物辨識或 PIN 解鎖 App,匯出備份時也要求另外設定加密密碼,還能設定自動把備份存到你自選的位置——若你的雲端硬碟(例如 Nextcloud)支援 Android 的儲存存取框架,甚至能自動備份上雲端。最大的限制是官方只有 Android 版,iPhone/iPad 用戶目前用不到;另外坊間 App 商店上有些同樣叫「Aegis」的 App 是完全不同的產品(例如企業資安品牌),下載前務必確認是 beemdevelopment 開發的官方版本,以免裝錯。
⚠️ 反向淘汰指標 / 極端缺點揭露
Google Authenticator — 這些情況請別買
- ❌ 致命缺點:雲端備份非端對端加密,官方與資安媒體都已明確指出這個取捨
- ❌ 使用場景排除:想要更細的分類、搜尋、多帳號管理介面的人,Google Authenticator 走極簡風格,功能相對陽春
Microsoft Authenticator — 這些情況請別買
- ❌ 致命缺點:曾內建的密碼管理與自動填入已於 2025 年下架,不能再指望它兼職密碼管理員
- ❌ 使用場景排除:排斥備份綁定特定帳號生態(Android 綁 Microsoft 帳號)的人,可能覺得不夠中立
Aegis Authenticator — 這些情況請別買
- ❌ 致命缺點:官方完全沒有 iOS 版本,iPhone 用戶無法使用
- ❌ 使用場景排除:想要「裝完就自動雲端同步、不用自己設定」的懶人選項,Aegis 備份要自己選位置、自己設密碼,新手門檻略高於前兩者
站長故意不推的選項
坊間偶爾會看到有人推薦用「純文字截圖存種子碼」或把 TOTP 密鑰直接貼在雲端筆記軟體當備份——這種做法完全繞過三款 App 的加密設計,等於把兩步驟驗證的安全性打回原形,不建議這樣做。
🏆 站長推薦:不同需求怎麼選
依需求分眾選擇,而非單一產品通吃:
- 只求方便、多裝置共用:Google Authenticator,跨平台同步最單純
- 本來就活在 Microsoft/Windows/Entra 生態圈:Microsoft Authenticator,能順便處理無密碼登入與推播核准
- Android 重度使用者、在意開源與備份自主權:Aegis Authenticator,原始碼公開、備份完全自己掌控
- iPhone 用戶又想要開源方案:目前三款裡沒有完美選項,可先選 Google Authenticator 並關閉雲端同步,退而求其次換取跨平台相容性
💡 總結:選購眉角與踩雷經驗
站長我看過不少人在換手機那天才第一次認真面對「兩步驟驗證備份」這件事,而且幾乎都是壞消息:忘記備份、忘記存救援碼、甚至忘記自己當初到底裝了哪一款 App。我的建議是,選哪一款 App 其實沒有你想的那麼重要,真正決定你會不會被鎖在帳號外的,是有沒有先做好備份與救援碼這件事。三款 App 的官方文件都建議在剛設定完兩步驟驗證時,就把每個服務提供的一次性恢復碼(recovery code)另外存好——放進密碼管理器(參考〈密碼管理器怎麼選?2026 五款主流比較〉),或印出來鎖進抽屜,都比只依賴手機裡的一份資料安全。另外提醒一個常見誤解:很多人以為「有雲端同步」就等於「安全」,但看完前面 Google 備份非端對端加密的細節就知道,同步方便性與備份保密性其實是兩件要分開權衡的事,選之前先想清楚你比較在意哪一個。
❓ 常見問題
Q:換新手機時,TOTP 驗證碼要怎麼轉移過去?
看你原本有沒有開備份:Google 與 Microsoft 若有開雲端同步,登入新機的 App 選同一個帳號就能還原;Aegis 則是用你先前設定好的加密匯出檔匯入新機。如果三款都沒開備份,就只能回到每個服務(Google、GitHub…)的帳號安全設定,一個一個重新綁定,建議動手前先確認每個帳戶是否還留有當初產生的一次性恢復碼備用。
Q:這三款可以同時裝在同一支手機上用嗎?
可以,彼此不會衝突,但同一個帳號只需要一份驗證密鑰,重複替同一個服務設定並不會提高安全性,只是多一份備援;比較常見的用法是「主力用一款、少數重要帳號另外用一款備份」。
🔗 延伸閱讀
- 手機掉了怎麼辦?Google「尋找中心」教你定位、響鈴、遠端上鎖清資料
- 還在背密碼?2026 年了,教你用 Passkey 密碼金鑰一鍵登入全搞定
- 2FA 是什麼?要如何使用?有什麼優缺點?一文快速搞懂!
- Have I Been Pwned 密碼外洩檢查教學 2026 | 3 分鐘自我體檢
- 數位足跡全曝光?2025 年必學數位隱私保護術:推薦工具與實用習慣
📎 參考資料來源
📖 第一級|廠商官方:
- Google 線上安全部落格:Google Authenticator 現在支援 Google 帳號同步 — 2026-07-09 查證
- Google 說明中心:透過螢幕鎖定保護 Authenticator App — 2026-07-09 查證
- Microsoft 支援:備份 Microsoft Authenticator 帳號 — 2026-07-09 查證
- Microsoft 支援:Microsoft Authenticator 自動填入功能異動說明 — 2026-07-09 查證
- Aegis Authenticator 官方 GitHub 專案 — 2026-07-09 查證
- NIST SP 800-63B 數位身分準則:Authenticators 章節 — 2026-07-09 查證
📖 第二級|權威技術媒體:
- PCWorld:Google Authenticator 雲端備份的隱藏風險 — 2026-07-09 查證
- BleepingComputer:Google Authenticator 開始把兩步驟驗證碼備份上雲端 — 2026-07-09 查證
⚠️ 本文核心事實以第一級為準,第二級為補充;內容為一般性資安工具比較整理,非個別化資安顧問建議,帳號救援請以各服務官方管道為準。
📅 本文查證戳記:2026-07-09 依官方文件與公開技術報導整理撰寫,非站長實機測試。三款 App 功能會隨官方版本更新而變動,請以當下官方公告為準。