我差点丢了整个 Google 账号,多亏 YubiKey 救了一命
✍️ 安全栏目🕒 2026年3月25日📖 5 分钟阅读🔥 热门
那天收到一条奇怪的短信验证码,我才意识到有人在试图登录我的 Google 账号。还好我提前绑了 YubiKey,硬生生挡住了这次钓鱼。今天分享我的亲身经历和安全建议。
那天下午,我收到一条莫名其妙的短信
“您的 Google 验证码:******”。我心想,我没登录啊?然后紧接着邮箱提示“有新的登录尝试”。赶紧打开 Google 账号安全页面,果然看到有人在尝试用我的密码登录,但被 2FA 拦住了。
为什么 YubiKey 比短信验证码更安全
短信验证码可以被 SIM 卡劫持,而且钓鱼网站也能骗你输入。但 YubiKey 基于 FIDO2 协议,只有真正的网站才能触发验证。那次攻击者就算拿到了我的密码,也过不了 YubiKey 这关。
我现在怎么保护账号
- 所有支持 FIDO2 的服务都绑了 YubiKey(Google、GitHub、Cloudflare、Bitwarden)
- 不支持的用 TOTP(比如 Authy),但短信验证码能关就关
- 备用码打印出来锁在抽屉里
关于 YubiKey 的误区
有人觉得硬件密钥麻烦,其实用起来很简单:登录时插上 USB 或者 NFC 碰一下,几秒钟的事。而且一个 YubiKey 可以存无限个账号,不像 TOTP 需要扫描二维码。
如果那次攻击得手,我的邮箱、网盘、甚至银行卡都会遭殃。现在想想都后怕。
💡
强烈建议买两个 YubiKey,一个随身带,一个放家里。万一丢了,用备用钥匙登录后立刻取消丢失的那把。