验证码

验证码是一种短期一次性代码（通常为6位数字），用于证明用户控制特定设备、电话号码或账户。加密货币交易所、钱包和矿池使用验证码作为密码之外的第二因素，称为2FA（双因素认证）。

验证码的类型

TOTP（身份验证器应用）

由Google Authenticator、Authy或硬件令牌等应用本地生成。基于TOTP标准（基于时间的一次性密码）——代码每30秒轮换一次，使用在设置时建立的共享密钥。

• 强大——代码生成在离线环境中进行；没有中介可以拦截
• 推荐作为大多数交易所的默认2FA方法

短信代码

通过短信发送到用户的电话号码。

• 弱——易受SIM卡交换攻击，攻击者说服运营商将受害者的号码转移到他们控制的SIM卡上，从而捕获所有传入代码
• 多起高调的加密货币损失始于SIM卡交换
• 如果有其他选择，避免使用短信2FA

电子邮件代码

发送到用户注册的电子邮件地址。

• 仅与电子邮件账户本身一样安全——如果电子邮件被攻破，代码也会被攻破
• 通常用于一次性操作（密码重置、新设备登录），而不是每次登录

硬件安全密钥（Passkeys, U2F, WebAuthn）

物理设备（如YubiKey, Titan）用于签署加密挑战。最强选项——根本不是代码，并且对钓鱼免疫。

防钓鱼代码

许多交易所提供防钓鱼代码——您配置的个人字符串，会出现在他们发送给您的每封合法电子邮件中。如果一封电子邮件声称来自交易所，但防钓鱼代码缺失或错误，则是钓鱼尝试。

经验法则

• 优先选择TOTP或硬件密钥而不是短信
• 永远不要与任何人分享验证码——客服人员永远不会要求提供
• 在设置TOTP时备份2FA种子（许多应用提供加密云备份）
• 在交易所启用提款白名单作为额外层保护

另见

• 钓鱼
• 种子短语
• 私钥
• SSL / TLS