你的Instagram账号，可能比你想象的更脆弱

前两天有个朋友突然给我发消息，说她登录不上Instagram了，发出去的照片全部消失，账号头像被改成了一个完全陌生的人。她急得团团转，问我有没有办法找回来。这种情况其实比我预想的要普遍得多——Instagram账号被盗的情况每天都在发生，只不过很少有人会主动公开说自己的账号被黑了。

我写这篇文章，就是想用最实在的话，把Instagram账号安全这件事讲清楚。不讲那些玄之又玄的技术概念，就说说我们普通人日常生活中能做些什么。毕竟，账号安全这件事，预防永远比补救重要。

那些常见的账号风险，你可能都没意识到

在说怎么保护之前，我们先得弄清楚敌人是谁。Instagram账号面临的威胁主要有这么几类，了解清楚之后你就会发现，很多被盗号的情况其实都是可以避免的。

密码泄露是最老套但也最有效的方式。很多人习惯在多个平台用同一个密码，或者用生日、手机号这类容易猜到的组合。一旦其中一个平台泄露，黑客就会用同样的密码去尝试登录你的Instagram。我朋友后来回忆，她的密码确实在某个小网站的注册信息里出现过，只是她早就忘了那回事。

钓鱼攻击则是另一个重灾区。你可能会收到一条私信或者邮件，说你的账号涉嫌违规，需要点击链接验证身份。那些链接做得和Instagram的登录页面几乎一模一样，很多人稀里糊涂就输入了自己的账号密码。我见过最夸张的案例，有人连着收了三封”官方”邮件，每一封都像真的，结果账号就这样没了。

还有一种情况容易被忽视——第三方授权。你可能用过一些声称能分析粉丝数据、批量管理互动的小工具，这些工具通常会请求访问你的Instagram账号。一旦这些工具本身不安全，或者被黑客盯上，你的账号也就跟着遭殃了。

密码这件事，真的不能偷懒

说到密码，我知道很多人会翻白眼，觉得我说的是废话。但的现实是，依然有大把的人在用”123456″或者”password”这种密码。根据我的观察，账号被盗的人里面，至少有六成是因为密码太简单。

一个真正安全的密码应该是什么样的？长度至少12位以上，包含大小写字母、数字和特殊符号的组合，而且绝对不能在其他任何平台重复使用。我知道这很难记，我的建议是找个可靠的密码管理工具来帮忙，别高估自己的记忆力。

如果你觉得记不住，可以试着用一个句子来改造。比如”我2018年在北京故宫吃了一只冰激凌！”这句话看起来很随意，把它改成密码可以是这样的：W2018nZJGChYZhiBingJiling! 这样既有规律，又不容易被猜到，而且你自己能记住。

另外，Instagram有个功能叫”密码检查”，你可以在设置里找到它，让系统帮你看看密码是否安全。这个功能是免费的，不用白不用。

双重验证，这个人人都应该开启的功能

如果说密码是第一道门锁，那双重验证就是第二道保险。我必须说一句掏心窝的话：双重验证是防止账号被盗最有效的手段，没有之一。

Instagram支持好几种双重验证方式，我推荐你用认证器应用（比如Google Authenticator或者Authy），而不是短信验证。为什么？因为短信有可能被拦截或者被复刻，之前发生过很多起SIM卡被冒名补办然后重置密码的案例。认证器应用生成的动态验证码是每30秒就换一次的，而且只在你的手机本地生成，安全性高得多。

开启的方式很简单：设置→安全→双重验证→选择认证器应用。按照提示走一遍，整个过程不超过五分钟。这五分钟花得绝对值得，因为一旦开启，即使有人知道了你的密码，没有验证码也登录不进去。

对了，开启双重验证后，Instagram会给你一组恢复码。这组东西一定要截图保存或者抄下来，放到一个安全的地方，比如你从来不用的邮箱或者云盘里。万一哪天你手机丢了，这些恢复码是唯一能帮你重新登录的东西。

那些钓鱼手段，你要学会识别

前面提到钓鱼攻击，这里展开说说，因为骗子现在的手段真的越来越高明了。最常见的有这么几种：

• 冒充官方邮件：说你账号有风险、违规操作、或者有人尝试登录，让你点击链接。这种邮件往往会做成和Instagram官方邮件一个配色，但仔细看发件地址就能露馅。正规邮件的发件地址通常是@instagram.com或者@facebook.com，那些奇怪的域名就要警惕了。
• 私信钓鱼：有人会私信你说”你的照片被举报了”或者”你获得了蓝V认证资格”，然后给你发一个链接。这种情况尤其多出现在粉丝数比较多的账号上，因为骗子知道这类人更在意账号状态。
• 仿冒登录页面：有些网站会把登录页面做得和Instagram一模一样，甚至URL都会用一些近似字符来迷惑人。记住，Instagram的官方地址永远是instagram.com，任何其他域名都是假的。

一个简单的判断方法是：任何情况下，都不要点击陌生链接去登录账号。如果你真的担心账号有问题，直接打开Instagram应用或者在浏览器里手动输入instagram.com登录去看。官方真的有事要通知你，会在应用内通知你，而不是通过邮件或者私信让你去点链接。

第三方应用和授权管理

这个点很多人会忽略，但真的很重要。你在Instagram设置里可以看到”授权的应用”这一项，里面列出了所有你曾经授权过的第三方工具。定期去翻一翻，把那些你早就已经不用的、或者看起来不太靠谱的应用取消授权。

我的建议是，尽量不要用那些需要你Instagram账号密码的第三方工具。正规的辅助工具通常只需要很有限的权限，而且会明确告诉你它要做什么。那些一上来就要你账号密码的，多半有鬼。

如果你不确定某个应用靠不靠谱，可以先去搜一下这个应用的名字，看看别人的评价。名声不好的应用，哪怕功能再吸引人，也别轻易尝试。

账号恢复选项，先设置好

很多人从来没想过设置账号恢复选项，直到账号真的出了事才开始着急。我建议你先把这一步做了，反正花不了多少时间。

在设置的安全选项里，你可以添加一个备用邮箱和备用手机号。这样万一主邮箱或者主手机号出问题，你还有办法找回账号。另外，确认你的生日信息是准确的——这个信息在找回账号的时候有时候会用来验证身份。

还有一个功能叫”登录提醒”，开启之后每次有新设备登录你的账号，Instagram会给你发通知。这样如果真的有人登录你的账号，你能第一时间知道然后采取行动。

日常生活中的小习惯

除了这些大的方面，还有一些日常习惯能帮你降低风险：

这些习惯看起来琐碎，但真的能帮你挡住大部分风险。我自己就曾经通过登录提醒发现过可疑的登录请求，及时改密码避免了麻烦。

写在最后

说实话，写这篇文章的时候我也一直在想，账号安全这件事，说再多可能还是有人觉得离自己很远。毕竟被盗号这种事儿，在发生之前大家都觉得是别人的故事。

但你想过没有，Instagram账号不仅仅是一堆照片和粉丝，它可能是你记录生活的空间，是你和朋友交流的渠道，甚至可能是你谋生的工具。被盗号的痛苦不仅仅是失去那些内容，更是有一种被侵犯的感觉。

所以哪怕你觉得我啰嗦，也花几分钟去设置一下双重验证，检查一下密码强度，把那些不必要的第三方授权取消。这些小事不会花你太多时间，但能让你安心不少。

如果你身边有朋友也在用Instagram，不妨把这篇文章转发给他们。有些人可能真的从来没想过这些事儿，你的提醒说不定就能帮他们躲过一劫。毕竟在安全这件事上，多一个人知道，就少一个受害者。