很多人会在第一次受惊之后才开始重视安全。
更好的做法,是从一开始就把账户设成让常见攻击更难得手的状态。
安全设置最有用的时候,往往是在你还没开始着急之前。
使用唯一密码
密码复用会把一个服务的问题,变成一串账户的问题。唯一密码的价值,就是把问题挡在原地。
密码复用最危险的地方,是它会把别的网站泄露,变成你这里的加密问题。只要撞库仍然有效,攻击者就不需要什么复杂技术。
密码管理器的价值,在于它让你不用再把“好记”当成唯一标准。只要邮箱、交易所和支付应用不再共用一个记忆型密码,安全性就已经明显提升。
开启双重验证
双重验证能在“密码泄露”和“账户真的被拿走”之间再加一道门槛。它最有价值的时候,是在资金进来之前,而不是出事之后。
双重验证不只是多一个验证码,它还包括恢复路径:备份码放哪了、换设备怎么办、你的二次验证会不会被 SIM 卡劫持或邮箱恢复流程反向绕开。
最好的设置时间,是大额资金进来之前。等到登录已经出问题时,人会本能地选择“先进去再说”的方案,而这个恢复路径本身,往往会变成新的弱点。
启用提现保护
地址白名单、设备确认和登录提醒,会让“趁你不注意赶紧转走”的路径变难。这些设置无聊得恰到好处,因为它们能让攻击者慢下来。
提现白名单、设备确认和登录提醒,本质上都是“摩擦工具”。它们的任务不是让界面更优雅,而是在对方已经拿到部分访问权时,把节奏拖慢到你有机会发现。
定期复查同样重要,因为账户失守在最开始看起来常常很小:多了一个新设备、一把新的 API key、一个被改过的提现地址,或者一个你不认识城市的登录记录。
定期复查账户
定期看看最近登录、已授权设备、API key 和提现设置。很多异常在还不算紧急的时候,其实就能先被看出来。
给自己设一个真的能坚持的复查节奏。对很多新手来说,一个月一次已经够用,前提是它是真复查:最近会话、已授权设备、旧白名单、备份码、没在用的 API 权限都要看。
把陈旧权限当成陈旧密码来处理。如果你说不清它为什么还在,就不要因为“暂时还没出事”而继续留着。
常见错误
-
等到第一次出事才开始设置
安全设置最强的时候,是它还是平时习惯,而不是应急反应。
-
反复用同一个好记密码
登录当天的方便,往往会变成泄露那天的风险。
-
忘了旧的访问路径还开着
旧设备、陈旧 API key 和被遗忘的白名单,都会制造安静但持续的暴露。
你接下来该怎么做
如果你已经觉得哪里不对,就直接从这篇设置指南跳到止损清单。
- 在余额变大之前,就先把唯一密码设好。
- 开启更稳的双重验证,并把备份路径也安排好。
- 按固定节奏复查旧设备、API key 和提现路径。