幣安安全頁面選單逐項是什麼?2FA 防釣魚白名單完整對照
幣安賬戶安全頁面包含 2FA 雙重驗證、防釣魚碼、提幣地址白名單、裝置管理、API 管理等十幾項功能。本篇按頁面順序逐項說明每個安全設定的用途、推薦配置和典型踩坑。
幣安安全設定頁面是新手最容易忽略的"賬戶體檢表"。一個賬戶開通後,至少有 8 項安全設定需要逐一配置,否則就像沒裝防盜門的家。我們這次在 幣安官網 把安全頁面的每一項選單從上到下逐個解釋,配置和不配置的差異都說清楚。結論先放:必開的 4 項是 2FA、防釣魚碼、提幣白名單、登入裝置管理;可選 3 項是 API 管理、登入密碼改、應急聯絡人;偶用 2 項是賬戶凍結、登出賬戶。
安全頁面在哪裡
開啟幣安官方App:
- 底部最右"賬戶"圖示
- 頂部賬號下方的"安全"圖示(盾牌形狀)
- 進入安全設定主頁
或者從"賬戶"選單點"賬戶與安全"也能進。
安全主頁的整體結構
安全主頁通常按重要程度從上到下排列:
| 排序 | 專案 | 重要程度 |
|---|---|---|
| 1 | 2FA 雙重驗證 | 必開 |
| 2 | 防釣魚碼 | 必開 |
| 3 | 提幣地址白名單 | 必開 |
| 4 | 裝置管理 | 必開 |
| 5 | 登入密碼 | 必改 |
| 6 | 資金密碼 | 部分使用者 |
| 7 | API 管理 | 選開 |
| 8 | 應急聯絡人 | 選開 |
| 9 | 賬戶凍結 | 應急用 |
| 10 | 登出賬戶 | 退出用 |
每一項都有"開啟"或"未開啟"的狀態標識。
2FA 雙重驗證
最重要的安全功能,沒有之一。
2FA 是什麼
2FA(Two-Factor Authentication)就是登入或敏感操作時需要"密碼 + 第二個驗證因子"。第二因子常見有:
- Google Authenticator(基於時間的一次性密碼 TOTP)
- 簡訊驗證碼
- 郵箱驗證碼
- 硬體金鑰(YubiKey)
幣安支援上述全部 4 種。
推薦配置
首選 Google Authenticator。原因:
- 離線生成,不依賴網路
- 不會被 SIM 卡劫持
- 30 秒一變,截圖失效快
次選硬體金鑰(YubiKey)。最高安全級別,但對普通使用者來說成本高門檻高。
簡訊和郵箱作為備份。SIM 卡劫持是真實威脅,不要把簡訊作為唯一 2FA。
具體的 Google Authenticator 配置可以看分類安全設定裡的相關筆記。
實測:開 2FA 後的體驗
我們這次新開了一個測試賬號,配置了 Google Authenticator 後:
| 操作 | 是否需要 2FA |
|---|---|
| 登入 | 是 |
| 修改提幣地址 | 是 |
| 鏈上提幣 | 是(每筆) |
| 劃轉 | 否 |
| 現貨下單 | 否 |
| 修改 API 許可權 | 是 |
| 關閉 2FA | 是(且需郵箱二次確認) |
可以看到 2FA 在所有"可能涉及資金外流"的操作都會攔截。日常下單不影響。
防釣魚碼(Anti-Phishing Code)
防釣魚碼是幣安獨有的反釣魚機制。原理簡單但有效。
防釣魚碼是什麼
你設定一段 4-20 個字元的字串(例如 BabianLab2026),幣安發給你的所有官方郵件、簡訊都會帶上這個字串。
如果你收到一封"幣安"郵件,裡面沒有這個字串,那就是釣魚郵件。
配置流程
- 安全頁面 → 防釣魚碼 → 啟用
- 輸入 4-20 字元(建議混合字母數字,但不要包含密碼相關資訊)
- 簡訊 + 郵箱 + 2FA 三驗證
- 啟用成功
啟用後每封幣安郵件都會在標題欄或正文顯示這串字元。
實測:釣魚郵件被識破
我們故意用一個第三方郵件服務偽造一封"幣安賬戶異常"郵件,發到測試郵箱。這封郵件設計得非常逼真——logo、字型、用詞都像真的,但沒有防釣魚碼。一眼就能識破。
如果不開防釣魚碼,新手很可能點進去釣魚連結,輸入賬號密碼就被偷了。
提幣地址白名單(Withdrawal Address Whitelist)
最被新手低估的功能。
白名單是什麼
啟用白名單後,只能提幣到事先新增過的地址。其他陌生地址無法發起提幣。
為什麼這個功能重要
假設你的賬戶密碼 + 2FA 都被攻擊者拿到了(撞庫 + 簡訊劫持),他們想偷你的幣——但如果你開了白名單,他們必須先新增新地址,新增新地址需要等待 24 小時(幣安的安全延遲),同時會發郵件通知你。這給了你攔截時間。
如果沒開白名單,攻擊者拿到 2FA 後幾分鐘內就能把幣轉走,幾乎無法挽回。
配置流程
- 安全頁面 → 提幣白名單 → 啟用
- 新增常用地址(自己的硬體錢包、Trust Wallet 等)
- 新增時需要 2FA 驗證
- 新增後等待 24 小時新地址才能用
實測:白名單的延遲
我們新增了一個新地址:"冷卻期 24 小時"。這 24 小時內不能向這個地址提幣。24 小時後狀態變成"可用",可以發起提幣。
這 24 小時的冷卻是關鍵防線。如果發現新增了陌生地址,立刻去刪除即可。
裝置管理(Device Management)
顯示所有曾登入過你賬戶的裝置。
裝置列表顯示
| 欄位 | 內容 |
|---|---|
| 裝置名稱 | iPhone 15 Pro / MacBook Pro 等 |
| 瀏覽器 | Chrome / Safari / 幣安 App |
| IP 地址 | 登入 IP |
| 地理位置 | 解析自 IP |
| 最後登入時間 | 最近一次活動 |
操作
每個裝置旁邊有"移除"按鈕。如果發現陌生裝置:
- 立刻"移除"那個裝置(強制下線)
- 修改登入密碼
- 修改 2FA(舊金鑰可能洩漏)
- 檢查最近的提幣和交易記錄
實測:異地登入的告警
我們用一個新裝置登入測試賬戶。原賬戶立刻收到:
- 郵件通知(帶防釣魚碼)
- 簡訊通知
- App 推送(如果之前登入過)
並要求"郵箱驗證碼 + 2FA"雙驗證才能完成登入。這就是 2FA + 裝置管理的協同效果。
登入密碼(Login Password)
定期修改的好習慣。
推薦策略
- 至少 12 位
- 字母 + 數字 + 特殊符號混合
- 不和其他網站重複
- 每 3-6 個月修改一次
修改流程
- 安全頁面 → 登入密碼 → 修改
- 輸入舊密碼
- 輸入新密碼(兩次)
- 郵箱 + 2FA 驗證
- 修改成功後所有裝置需要重新登入
注意:修改密碼後 24 小時內有提幣限制(防止被攻擊者改密碼後立刻轉走資產)。
資金密碼(Withdrawal Password)
老版幣安用過的概念。新版幣安已經用 2FA 替代了資金密碼功能。如果你的賬戶裡有這個選項,可以保留也可以關閉,看習慣。
API 管理(API Management)
如果你做量化交易或者用第三方工具(如 TradingView 自動交易),需要 API。
API 的許可權分級
| 許可權 | 含義 |
|---|---|
| 讀取 | 只能查詢賬戶資料 |
| 現貨交易 | 可以下現貨單 |
| 合約交易 | 可以下合約單 |
| 提幣 | 可以發起提幣 |
嚴重警告:永遠不要給 API 開提幣許可權。絕大多數量化策略只需要"讀取 + 交易",不需要提幣。開了提幣許可權的 API key 一旦洩漏,資產分鐘級別被清空。
實測:API 建立流程
- 安全頁面 → API 管理 → 建立 API
- 命名(比如 "TradingView Bot")
- 完成 2FA 驗證
- 生成 API Key 和 Secret Key(Secret 只顯示一次!)
- 預設許可權只有"讀取",需要手動勾選"現貨交易"
- 限制 IP(強烈推薦)—— 只允許特定 IP 呼叫這個 API
API 設定好後,妥善保管 Secret Key。如果 Key 洩漏要立刻刪除並重建。
應急聯絡人(Emergency Contact)
新功能,部分使用者可見。設定一個緊急聯絡人郵箱,賬戶被凍結或長期不登入時,幣安可以透過這個郵箱聯絡到你。
普通新手用不上,重要資產賬戶建議設定。
賬戶凍結(Account Freeze)
如果你懷疑賬戶被攻破,可以緊急凍結賬戶。
凍結後的狀態
- 不能登入
- 不能交易
- 不能提幣
- 現有掛單保留但不能撤
- 資產保留
凍結期至少 24 小時,期間沒有任何操作能恢復。24 小時後可以申請解凍,需要客服核實身份。
應急凍結路徑
幣安登入頁有"緊急凍結賬戶"按鈕(需要郵箱 + 2FA 驗證)。如果連不上賬戶也可以聯絡客服凍結。具體客服路徑看分類客服申訴。
登出賬戶(Close Account)
不想再用幣安了,可以登出。
登出前提
- 所有幣種餘額為 0
- 沒有未完成的訂單
- 沒有未到期的賺幣產品
- 沒有正在處理的提幣
登出流程
- 安全頁面 → 登出賬戶
- 確認無殘留資產
- 輸入登出原因
- 郵箱 + 2FA 驗證
- 等待 7 天冷靜期
- 7 天后正式登出
7 天內任何登入都會取消登出。
登出後能恢復嗎
不能。登出後賬戶資料按當地法規保留一段時間(通常用於合規審計),但使用者不能再登入或恢復使用。
推薦的安全配置組合
新手開戶後建議這樣配置:
| 項 | 推薦 |
|---|---|
| 2FA | Google Authenticator + 簡訊備份 |
| 防釣魚碼 | 啟用(4-12 位混合字元) |
| 提幣白名單 | 啟用,新增常用地址 |
| 裝置管理 | 定期檢查 |
| 登入密碼 | 12 位以上,定期更新 |
| API 管理 | 用到再開,禁用提幣許可權 |
| 應急聯絡人 | 資產較多時啟用 |
新開戶後第一週完成上述配置,賬戶安全等級足夠應對絕大多數攻擊。具體的 2FA 配置實操看分類安全設定裡的相關筆記。
幾個常見的踩坑
坑 1:2FA 備份碼丟了
啟用 Google Authenticator 時幣安會顯示一串備份碼(recovery codes)。這串碼必須儲存——如果手機丟了或者認證 App 被解除安裝,只能用備份碼恢復 2FA。
很多新手直接關掉提示頁面沒儲存。後果是手機一丟賬戶就找不回,需要走客服漫長的身份驗證流程。
坑 2:白名單加錯地址
往白名單里加地址時輸錯一位字元,等 24 小時後才發現錯了。再刪掉重加又要等 24 小時。建議新增時反覆對照 + 用複製貼上而不是手輸。
坑 3:API key 上傳到 GitHub
很多新手寫量化程式碼時直接把 API key 寫在原始碼裡,然後推到公開 GitHub 倉庫。爬蟲幾分鐘內掃到,賬戶被洗劫。永遠把 key 放在環境變數或 .env 檔案,並加入 .gitignore。
坑 4:開了提幣許可權的 API
API 預設不開提幣。但有人想"圖省事"勾上提幣許可權。這是給攻擊者送錢。任何量化策略都不需要提幣 API,提幣應該手動完成。
FAQ
Q:忘了防釣魚碼可以重置嗎? A:可以。安全頁面進入防釣魚碼設定,會顯示當前已設定的碼(部分版本只顯示前後幾位)。要修改需要 2FA + 郵箱驗證。
Q:白名單加新地址必須等 24 小時嗎? A:是的。這是幣安的安全機制,全球使用者統一規則,無法跳過。少數 VIP 等級有特殊配置,但普通使用者都需要等。
Q:2FA 能同時開多個嗎? A:幣安主 2FA 只能選一個(Authenticator / 簡訊 / 硬體金鑰三選一)。但可以同時啟用"郵箱二次驗證"作為額外保險。
Q:登入密碼忘了怎麼辦? A:登入頁"忘記密碼" → 郵箱重置連結 → 設定新密碼。如果連郵箱也忘了,需要走客服身份驗證(提供 KYC 資訊核實)。
Q:API key 能撤回嗎? A:可以。API 管理頁面每個 API 都有"刪除"按鈕。刪除後 key 立刻失效,正在執行的程式會因為認證失敗停止。
Q:白名單地址能刪除嗎? A:可以即時刪除,刪除不需要等待。但下次新增同一地址還是要等 24 小時。
Q:手機被偷了 2FA 怎麼辦? A:按這個順序處理:
- 用備份碼登入(如果有)
- 立刻關閉舊的 2FA,繫結新裝置
- 修改登入密碼
- 檢查最近的登入記錄和提幣記錄 如果備份碼也丟了,只能聯絡客服走身份驗證。
Q:裝置管理裡能看到 IP 嗎? A:能看到部分 IP(通常脫敏顯示前幾段)和地理位置(基於 IP 解析)。如果發現陌生地理位置登入,立刻處理。
Q:API 呼叫頻率有限制嗎? A:有。每個 API key 有獨立的頻率限制(如每分鐘 1200 次請求)。超頻會被臨時封禁。專業使用者可以申請提高限額。