很多人觉得开了 2FA 就万事大吉了。技术上说,2FA 确实能阻止 99% 的自动化攻击。但安全是链条——最薄弱的环节决定整体强度。而这五个漏洞,在大多数人的安全设置中都存在,却很少有人注意到。
漏洞一:主邮箱没开 2FA
这是最致命的一个。几乎所有平台的密码重置流程都是:点击"忘记密码"→ 向绑定邮箱发送重置链接 → 重置密码 → 登录。如果攻击者拿到了你的主邮箱密码,他可以绕过你给任何平台开的 2FA——直接用邮箱重置密码,然后用新密码登录。
2FA 保护的登入门,但邮箱是登入门的备用钥匙。门锁了,备用钥匙挂在门外。
修法:主邮箱(Gmail/Outlook/QQ 邮箱)必须开 2FA。推荐用微信小程序「二次验证码Free2FA」统一管理所有平台的 TOTP——包括主邮箱、GitHub、云平台——换手机一键全恢复,不用担心恢复码丢失。
漏洞二:恢复码只存在一个地方
大多数人的恢复码存储方式:开 2FA 时截个图存手机相册。手机丢的那天——恢复码跟着手机一起丢了。
修法:恢复码至少存两个物理位置。密码管理器存一份,打印一份放抽屉。或者加密云盘一份,手机加密相册一份。两个同时丢失的概率极低。
漏洞三:短信备用验证还开着
很多平台允许你同时设置"验证器应用主通道 + 短信备用通道"。这个设计的初衷是好的——万一验证器不可用,短信兜底。但短信备份通道本身就是最容易被攻击的通道(SIM Swap)。攻击者只要劫持了你的手机号,就可以绕过 TOTP,直接用短信验证码登录。
修法:如果平台允许,关掉短信备用通道。只保留 TOTP + 恢复码两个因素。如果必须保留短信,至少要确保你的运营商提供了 SIM Swap 保护(如设置 PIN 码、限制换卡)。
漏洞四:第三方应用授权没清理
GitHub、Google、Facebook、Dropbox——你的账号可能挂了几十个第三方应用授权。每个授权了的 App 都是一个潜在的入口。你三年前为了测试某个工具授权的 App,现在那个工具可能已经被收购或者停更了——但授权还在。
修法:每季度花 10 分钟,去各平台安全设置里清理已授权应用。GitHub Settings → Applications、Google Security → Third-party apps、Facebook Settings → Apps and Websites。不认识的和不用的全部撤销。
漏洞五:同一个密码在多个平台重复使用
这点确实很少有人能做到。你可以使用密码管理器(Bitwarden、1Password)帮你给每个平台生成唯一密码。设置密码管理器的主密码足够强(16 位以上,含大小写数字符号),然后给密码管理器本身也开 2FA。
安全是习惯,不是一次性操作
上面五条没有一条是技术难题。每条都是习惯问题。每月花半小时:检查邮箱 2FA 状态、轮换恢复码备份、清理授权应用。半小时的维护,换来的是一整年的安心。