账号安全别只靠密码：重要账户必须开启 MFA

很多人以为密码足够复杂就安全。问题是，密码可能因为钓鱼网站、数据泄露、重复使用、恶意软件、公共 Wi-Fi、假客服或社交工程而被盗。一旦邮箱密码被盗，攻击者可能重置你的银行、电商、社交平台、云盘和投资账户。邮箱往往是所有账号的“总钥匙”。

CISA 将多因素认证 MFA 定义为一种分层保护方式：系统要求用户提供两种或更多凭据来验证身份。即使一个凭据被泄露，攻击者仍需要通过第二层验证。来源：CISA Multifactor Authentication

MFA 常见形式包括短信验证码、邮箱验证码、验证器 App、推送确认、生物识别、安全密钥等。不是所有 MFA 安全性都一样。短信验证码比没有 MFA 好，但可能受到 SIM swap、短信拦截或运营商账户被盗影响。验证器 App 通常更稳；硬件安全密钥对高风险用户更强。

普通人最该优先开启 MFA 的账户有七类：邮箱、银行、投资账户、手机运营商账户、支付平台、云盘、社交媒体。手机运营商账户尤其容易被忽略，如果攻击者控制你的手机号，可能进一步接收短信验证码，重置其他账户。

开启 MFA 后，还要保存恢复码。很多平台会提供 backup codes，建议打印或离线保存，不要只放在同一个手机里。否则手机丢失、损坏或换机时，可能自己也进不去账户。

实操清单

第一，先给主邮箱开启 MFA。

第二，银行、投资、支付账户全部开启 MFA。

第三，优先使用验证器 App 或安全密钥。

第四，保存恢复码，放在安全位置。

第五，每个重要账户使用不同密码。

第六，用密码管理器保存复杂密码。

第七，定期检查登录设备和恢复邮箱、手机号。

本文仅供一般网络安全信息参考，不构成企业安全、法律或技术审计建议。对于高价值账户或企业账户，应咨询专业网络安全人员。