Instagram 双重验证，到底值不值得开？

前两天有个朋友突然问我，说他女朋友的 Instagram 账号被盗了，里面的照片全被删了，私信也全被看光了，搞得两人特别紧张。他问我这事儿能不能预防，我就问了一句——你开双重验证了吗？他说不知道是啥，从来没管过这个设置。

说实话，这个问题我被问过挺多次的。很多人觉得账号密码设复杂点就行了，或者觉得自己就是个普通人，谁会来盗我的号啊。但实际情况可能比想象的要严峻得多。今天咱们就聊聊这个话题，用最直白的话把双重验证讲清楚，看看它到底有没有必要开。

先搞清楚：双重验证到底是啥？

双重验证，英文叫 Two-Factor Authentication，简称 2FA。你可以把它理解成给账号加的第二把锁。

咱们平时用的传统登录方式是什么呢？就是账号加密码，这一样东西叫做「你知道的东西」。但问题在于，密码这东西太容易被偷了——你可能在好几个平台用了同一个密码，或者在不安全的地方登录过，或者点了什么钓鱼链接把密码泄露了，甚至可能你根本不知道什么时候就被人给猜出来了。

双重验证的逻辑是这样的：光知道密码还不够，我还得再证明「你是你」。这第二种证明方式通常有三种形式，看看下面的表格你就明白了：

对 Instagram 来说，最常见的就是第二种——你手机收到的验证码。别人就算拿到了你的密码，没有你的手机，他就登录不进去。这就是双重验证的核心思路。

为什么你的 Instagram 账号其实很「值钱」？

很多人觉得自己就几千粉丝，账号不值钱，盗了也没什么。这种想法其实挺危险的。

首先，账号本身就有价值。Instagram 的账号是可以交易的，虽然个人号不值什么钱，但如果你有个几千甚至几万粉丝的账号，在黑市上也能卖个几百到几千不等。盗号的人批量盗账号，然后打包卖掉，这是一条完整的产业链。

其次，你的个人信息很值钱。你的邮箱、手机号、绑定的社交账号、聊天记录、照片——这些信息在黑市上都能卖钱。有人买去做精准诈骗，有人买去做身份伪装，还有人专门挑那些有隐私内容的账号来敲诈。

再说了，就算你的账号本身不值钱，被人登录之后拿去做一些坏事也会给你带来麻烦。比如盗号者可能用你的账号去骗你的朋友借钱，或者发一些违规内容导致你的账号被封禁，又或者把你的账号改成完全不同的样子，让你拿回来之后发现好友全没了。

Instagram 官方曾经发过一份安全报告，里面提到账号被盗的情况其实相当普遍，只不过很多人没意识到自己被盗了，或者觉得不值得追究就算了。但真正发生在自己身上的时候，那种无力感真的很难受。

Instagram 双重验证的几种方式，哪种更适合你？

Instagram 提供了好几种开启双重验证的方式，不同方式的安全程度和使用便利性都不一样。

短信验证码

这是最基础的方式，也是大多数人正在用的。开启之后，每次在新设备登录 Instagram，系统会给你的手机号发一条短信，里面有六位数的验证码，输入正确才能登录。

这种方式的优点是门槛低，谁都能用。缺点是什么呢？如果你的手机丢了，或者SIM卡被人复制的，那你的账号就危险了。这种攻击方式叫 SIM 卡交换攻击，近几年越来越常见。

身份验证器应用

这是更安全的方式。原理是这样的：你用一个专门的 App（比如 Google Authenticator、Microsoft Authenticator 或者 Authy），它会每隔三十秒生成一个新的六位数验证码。这个验证码和 Instagram 的服务器同步，但只有你手机上的这个 App 能生成。

为什么更安全？因为这个验证码是在你手机本地生成的，不经过短信通道，黑客就算截获了你的短信也拿不到这个码。而且就算他拿到了你的密码，没有这个验证码还是登录不了。

唯一的麻烦是，换手机的时候需要重新设置，你得把那些验证器 App 里的账户信息转移过去，不然新手机就用不了了。

登录请求

这是 Instagram 自己推出的一种方式。开启后，如果你在一台新设备登录，系统会给你已登录的设备发一个确认请求。比如你手机已经登录了 Instagram，这时候用电脑登录，手机上会弹出一个窗口问你「是否允许这次登录」，你点允许，电脑才能登上去。

这种方式用户体验挺好的，安全性也不错，前提是你至少有一个常用设备保持登录状态。

硬件安全密钥

这是最高级别的防护了。你需要一个专门的硬件设备（比如 YubiKey），把它插到电脑或手机上才能完成验证。这东西就算别人拿到了你的密码和手机，没有这个硬件钥匙也登录不了。

对普通人来说可能有点 overkill，但如果你是个大V，或者账号对你特别重要，这确实是最稳妥的方式。

不开双重验证，可能遇到什么情况？

咱们来设想几个常见的账号被盗场景，看看不开双重验证会有多危险。

第一种情况，密码泄露。你在某一个小网站注册账号，用了和 Instagram 一样的密码。结果这个网站被黑了，黑客拿着这一套账号密码来试 Instagram，一试就进去了。这种事情每天都在发生，撞库攻击的效率比你想象的高得多。

第二种情况，公共网络风险。你在咖啡店连了 WiFi 登录 Instagram，这个 WiFi 可能是黑客架的，他截获了你的流量，把你的密码看个一清二楚。没有双重验证的话，他直接就能登录。

第三种情况，钓鱼攻击。你收到一条私信或者邮件，说「你的 Instagram 账号有异常，点击这里处理」，你点进去发现是个和 Instagram 长得很像的页面，你输入了账号密码——完了，密码没了。如果没有双重验证，对方立刻就能登录你的账号。

第四种情况，身边人作案。这个听起来有点吓人，但现实中真的不少。分手的情侣、闹翻的朋友、对你有意见的熟人，他们可能正好知道你的密码，或者趁你不注意的时候记下来了。没有双重验证，他们分分钟就能改掉你的密码，把你踢出自己的账号。

在所有这些场景里，双重验证就是最后一道防线。密码被偷了？没关系，对方没有验证码还是登录不了。你的账号就保住了。

关于双重验证的几个常见担忧

我知道有些朋友对双重验证有顾虑，咱们一个个来说。

「每次登录都要输验证码，好麻烦啊。」这个问题确实存在，但 Instagram 有一个「记住设备」的功能。你在一台设备上成功验证之后，这台设备以后登录就不需要再输验证码了。你只需要在新设备上验证一次，平时用着自己的手机电脑根本不影响体验。

「我手机收不到短信怎么办？」这种情况确实可能发生，比如你出国旅游换了SIM卡，或者手机欠费了。这时候双重验证的恢复码就派上用场了。开启双重验证的时候，Instagram 会给你一组恢复码，大概有十个左右，你把它们记下来或者截图保存，哪天真的收不到短信，用这些恢复码也能登录。记住，这组码很重要，别存在手机相册里，最好存在另一个安全的地方。

「我怕自己忘了把恢复码存哪儿。」除了恢复码之外，你还可以设置一个备用的手机号。或者干脆用身份验证器 App，它不存在短信延迟的问题，也不依赖运营商。

我的建议

说了这么多，最后给个实在的建议。

如果你只是一个普通用户，Instagram 里面都是分享生活的照片和视频，那我建议直接开双重验证，选身份验证器应用或者短信验证码都行。身份验证器更安全一点，但短信验证码对大多数人来说够用了。

如果你是个内容创作者，或者你的 Instagram 账号对你来说有商业价值，那一定要认真对待这件事。优先选身份验证器应用，然后把恢复码保存好，最好再下一个 Authy 之类的 App 来备份，这样换手机的时候也不会太麻烦。

如果你是个公众人物或者大V，那别犹豫，把能开的验证方式全开上。硬件密钥可能有点夸张，但身份验证器加登录请求这个组合已经相当稳妥了。

说到底，双重验证麻烦吗？有一点点。但比起账号被盗之后那些麻烦——找回账号的漫长过程、被删掉的回忆、被看光的私信——那一点点麻烦真的不算什么。

我那个朋友的女朋友最后花了将近两周才把账号找回来，中间发了好几条申诉邮件，还要提供各种身份证明。最后账号是回来了，但之前发的内容少了一大半，好几千粉丝也掉了。她说早知道这么麻烦，当初花一分钟把双重验证开了多好。

所以你看，很多安全问题就是这样，事前预防比事后补救重要得多。保护好自己的账号，其实就是保护自己的生活和回忆。