很多人觉得开了 2FA 就万事大吉了。技术上说2FA 确实能阻止 99% 的自动化攻击。但安全是链条——最薄弱的环节决定整体强度。而这五个漏洞在大多数人的安全设置中都存在却很少有人注意到。漏洞一主邮箱没开 2FA这是最致命的一个。几乎所有平台的密码重置流程都是点击忘记密码→ 向绑定邮箱发送重置链接 → 重置密码 → 登录。如果攻击者拿到了你的主邮箱密码他可以绕过你给任何平台开的 2FA——直接用邮箱重置密码然后用新密码登录。2FA 保护的登入门但邮箱是登入门的备用钥匙。门锁了备用钥匙挂在门外。修法主邮箱Gmail/Outlook/QQ 邮箱必须开 2FA。推荐用微信小程序「二次验证码Free2FA」统一管理所有平台的 TOTP——包括主邮箱、GitHub、云平台——换手机一键全恢复不用担心恢复码丢失。漏洞二恢复码只存在一个地方大多数人的恢复码存储方式开 2FA 时截个图存手机相册。手机丢的那天——恢复码跟着手机一起丢了。修法恢复码至少存两个物理位置。密码管理器存一份打印一份放抽屉。或者加密云盘一份手机加密相册一份。两个同时丢失的概率极低。漏洞三短信备用验证还开着很多平台允许你同时设置验证器应用主通道 短信备用通道。这个设计的初衷是好的——万一验证器不可用短信兜底。但短信备份通道本身就是最容易被攻击的通道SIM Swap。攻击者只要劫持了你的手机号就可以绕过 TOTP直接用短信验证码登录。修法如果平台允许关掉短信备用通道。只保留 TOTP 恢复码两个因素。如果必须保留短信至少要确保你的运营商提供了 SIM Swap 保护如设置 PIN 码、限制换卡。漏洞四第三方应用授权没清理GitHub、Google、Facebook、Dropbox——你的账号可能挂了几十个第三方应用授权。每个授权了的 App 都是一个潜在的入口。你三年前为了测试某个工具授权的 App现在那个工具可能已经被收购或者停更了——但授权还在。修法每季度花 10 分钟去各平台安全设置里清理已授权应用。GitHub Settings → Applications、Google Security → Third-party apps、Facebook Settings → Apps and Websites。不认识的和不用的全部撤销。漏洞五同一个密码在多个平台重复使用这点确实很少有人能做到。你可以使用密码管理器Bitwarden、1Password帮你给每个平台生成唯一密码。设置密码管理器的主密码足够强16 位以上含大小写数字符号然后给密码管理器本身也开 2FA。安全是习惯不是一次性操作上面五条没有一条是技术难题。每条都是习惯问题。每月花半小时检查邮箱 2FA 状态、轮换恢复码备份、清理授权应用。半小时的维护换来的是一整年的安心。