幣安防釣魚碼是一段由使用者自行定義的短字串,每封來自幣安官方的郵件、站內信或推送都會帶上這段字串,用來證明訊息的真實來源。設定入口位於幣安官網的賬戶安全中心,移動端使用者可以在幣安官方APP的「安全」模組內找到開關,首次啟用前建議先參考iOS安裝教程完成裝置驗證。首段直接回答:防釣魚碼的作用是讓使用者在收到郵件的第一眼就能判斷真偽,只要郵件頭部帶有你自己設定的獨特字串,就能大幅降低被仿冒域名和偽裝發件人騙取驗證碼的機率。
一、防釣魚碼的基本定義與執行機制
第 1 步:理解字串的作用
防釣魚碼英文全稱為 Anti-Phishing Code,是一種由使用者控制、由平臺在傳送訊息時自動插入的「自證標識」。當使用者在賬戶裡設定了這段字串後,幣安的所有郵件系統、站內信模組和瀏覽器彈窗都會將其注入到正文頂部或底部。因為只有使用者本人和幣安伺服器知道這段字串,攻擊者偽造的郵件無論做得多像官方,都無法猜中這段隨機文字。
第 2 步:識別真假郵件
普通使用者在收到疑似幣安發來的郵件時,只需先掃一眼郵件最上方或最下方,如果能看到自己預設的那段字串,就基本可以認定郵件來自官方;反之,若郵件標題帶有「安全警告」「賬戶異常」等緊迫字眼,卻完全沒有防釣魚碼,就應當立即關閉郵件並舉報,不要點選任何連結或下載任何附件。
第 3 步:明白它不是萬能盾
需要強調的是,防釣魚碼只能解決「郵件來源真實性」這一個問題,它不能替代二次驗證,也不能保護你的提幣密碼。它只是賬戶安全體系中的第一道關卡,後續還需要搭配 2FA、白名單和裝置管理共同構成完整的防禦。
二、核心設定步驟與字串選擇建議
在網頁端登入幣安賬戶後,點選右上角的頭像,進入「賬戶安全」或「安全中心」選單,找到「防釣魚碼」一欄,點選「啟用」按鈕,系統會要求輸入當前的登入密碼與 2FA 驗證碼,隨後就會彈出輸入框讓你填寫自定義字串。建議按以下原則設計:
- 長度控制在 8 到 20 位 之間,不要短於 8 位,也不要長到自己記不住。
- 同時包含大小寫字母、數字、符號三種以上字元。
- 避免使用生日、手機號後四位、姓名拼音等可被社工的內容。
- 不要使用與郵箱密碼、登入密碼相同的字串。
- 設定後可每 90 天更換一次,減少長期暴露風險。
填寫完畢後,系統會要求再次輸入郵箱驗證碼和 2FA 驗證碼進行二次確認。提交成功後,官方會立刻向你的郵箱傳送一封測試郵件,內容裡就會包含你剛剛設定的字串,此時應當仔細核對,確認與填寫內容完全一致,才算真正啟用完成。
三、字串長度與強度對比
下表列出了不同防釣魚碼長度在面對暴力猜測與偶然碰撞時的差異,幫助使用者理解為什麼 8 位以下不被建議使用。
| 字串長度 | 組合空間(含大小寫數字) | 暴力碰撞難度 | 推薦程度 |
|---|---|---|---|
| 4 位 | 約 1480 萬 | 極低 | 不推薦 |
| 6 位 | 約 568 億 | 較低 | 勉強可用 |
| 8 位 | 約 218 萬億 | 較高 | 推薦起步 |
| 12 位 | 約 3.2 × 10²¹ | 極高 | 長期使用 |
| 16 位 | 約 4.7 × 10²⁸ | 極高 | 企業級 |
| 20 位 | 約 7.0 × 10³⁵ | 天文數量級 | 上限建議 |
從表中可以看到,8 位是安全的最低門檻,12 位以上基本可以認為不可暴力猜中。企業賬戶、OTC 商戶、大額長期持幣使用者建議直接使用 16 位以上。
四、常見場景與潛在風險
第一個典型場景是釣魚郵件偽裝:攻擊者會群發「賬戶出現異常登入,請點選以下連結驗證」的郵件,並使用與 binance.com 形似的域名如 blnance.com、binnance.com。如果你已啟用防釣魚碼,僅需瞄一眼郵件頭部,就能看到偽造郵件根本沒有你設定的字串,從而識破騙局。
第二個場景是社交工程電話。詐騙者可能冒充客服撥打電話,聲稱郵件裡提示賬戶凍結,讓你提供驗證碼。此時你應當反問:「剛才的郵件頭部寫的防釣魚碼是什麼?」因為真實客服無法也無權知道你的防釣魚碼,對方必然答不上來。
第三個場景是賬戶接管後:如果攻擊者透過其它方式拿到了登入許可權,他們可能會悄悄修改或關閉防釣魚碼,以便後續傳送偽造通知。因此建議在每次登入時順便檢查一下防釣魚碼是否仍保持啟用狀態,一旦發現字串被改為空或變成陌生文字,必須立即重置密碼並聯系客服。
第四個風險點是跨平臺複用。如果你把幣安的防釣魚碼同樣用在其他交易所、郵箱簽名或聊天工具,一旦這些平臺資料洩露,攻擊者就可能利用這段字串偽造幣安郵件。最佳做法是:每家交易所、每個需要設定防釣魚碼的服務都使用獨立的字串。
五、FAQ 常見問題
問:防釣魚碼設定後多久生效? 答:提交後通常在 60 秒內全部生效,覆蓋郵件、站內信、推送和部分 API 回執。若 5 分鐘後仍未在測試郵件中看到,可先清空瀏覽器快取重新登入,若仍無效則聯絡官方客服。
問:忘記自己設定過的防釣魚碼怎麼辦? 答:直接登入賬戶安全頁即可檢視當前字串,系統允許明文顯示。如果擔心被旁人窺視,可以先登出該字串再重新設定一個新的。
問:防釣魚碼是否可以關閉? 答:技術上可以關閉,但強烈不建議。關閉意味著你將失去識別官方郵件的第一道防線,建議至少保持最低 8 位的字串常年啟用。
問:2FA、白名單和防釣魚碼有什麼順序上的優先順序? 答:建議註冊後 24 小時內先繫結手機號,之後 72 小時內完成 2FA、防釣魚碼和白名單三項設定。防釣魚碼相對最簡單,可放在最先完成。
問:防釣魚碼能否防止 SIM 卡劫持? 答:不能。防釣魚碼只解決「郵件真偽」問題,SIM 卡劫持屬於通訊層攻擊,需要透過升級到 APP 型 2FA(如 Google Authenticator 或 Yubikey)來應對。