加密账户的两步验证正确姿势：最值得的五分钟升级

两步验证的逻辑：密码是『你知道的东西』，而知识会泄露——钓鱼、撞库、重复使用。第二因子加上『你拥有的东西』，于是单凭偷到的密码什么也打不开。每家交易所都提供它，开启它没有商量余地。陷阱在于：最常见的那种恰恰最弱，而加密账户正是攻击者愿意花功夫利用这一点的地方。

短信验证码败给 SIM 卡劫持：攻击者说服或买通运营商，把你的号码转移到他们的 SIM 卡上——用泄露的个人资料通过『身份核验』——你的安全验证码从此发到他们的手机上。这不是理论：它是无数交易所账户被掏空案件背后的标准剧本，而已知的持币者会被精准选中。修复成本为零：验证器 App（TOTP）用一个从不经过电话网络的本地密钥在你的设备上生成验证码。从设计上就免疫运营商这一环。

完整的强度阶梯：短信（聊胜于无，尽快退役）、验证器 App（务实的标准配置——绑定时记得备份它的密钥，否则手机丢了就是一场客服工单的苦旅）、硬件安全密钥（FIDO2/通行密钥）——后者还附带钓鱼免疫，因为密钥在密码学层面拒绝向假冒域名出示身份。五分钟行动清单：打开交易所的安全设置页，启用 App 或密钥型两步验证，把手机号从验证和找回方式中移除，再给那个锚定一切的邮箱账户来一遍同样的操作。