加密賬戶的兩步驗證正確姿勢：最值得的五分鐘升級

兩步驗證的邏輯：密碼是『你知道的東西』，而知識會洩露——釣魚、撞庫、重複使用。第二因子加上『你擁有的東西』，於是單憑偷到的密碼什麼也打不開。每家交易所都提供它，開啟它沒有商量餘地。陷阱在於：最常見的那種恰恰最弱，而加密賬戶正是攻擊者願意花功夫利用這一點的地方。

簡訊驗證碼敗給 SIM 卡劫持：攻擊者說服或買通運營商，把你的號碼轉移到他們的 SIM 卡上——用洩露的個人資料透過『身份核驗』——你的安全驗證碼從此發到他們的手機上。這不是理論：它是無數交易所賬戶被掏空案件背後的標準劇本，而已知的持幣者會被精準選中。修復成本為零：驗證器 App（TOTP）用一個從不經過電話網路的本地金鑰在你的裝置上生成驗證碼。從設計上就免疫運營商這一環。

完整的強度階梯：簡訊（聊勝於無，儘快退役）、驗證器 App（務實的標準配置——繫結時記得備份它的金鑰，否則手機丟了就是一場客服工單的苦旅）、硬體安全金鑰（FIDO2/通行金鑰）——後者還附帶釣魚免疫，因為金鑰在密碼學層面拒絕向假冒域名出示身份。五分鐘行動清單：開啟交易所的安全設定頁，啟用 App 或金鑰型兩步驗證，把手機號從驗證和找回方式中移除，再給那個錨定一切的郵箱賬戶來一遍同樣的操作。