最後編輯時間 : 2025年 10月 26日
編輯者:旅喵編輯部
最佳方案:出國不要使用 免費 or 付費 Wi-Fi
出國旅遊最怕的不是迷路,而是「手機一連網,錢就不見了」。
一位Threads友在郵輪上花了 8000 元買 Wi-Fi,沒想到才連上網不到幾分鐘,就被駭客入侵,帳戶裡的 24 萬元加密貨幣瞬間歸零。
這場駭客攻擊的關鍵,竟然不是密碼外洩,而是大家以為「安全方便」的——
Google Authenticator 雲端同步功能。
案例回顧:郵輪 Wi-Fi 成為駭客入口
原PO分享,夫妻倆搭乘郵輪前往日本鹿兒島,為了能在旅途中處理公事,購買了郵輪提供的網路方案。
連線後看似一切正常,卻在登入 Gmail 時,突然收到來自交易所的驗證碼郵件。
他們立刻打開交易所 App,驚覺帳戶內 8000 USDT(約台幣 24 萬元) 已被轉走。
更離譜的是,駭客還在 Google 安全性設定中新增了「進階登入方式」,能繞過密碼,隨時登入他們的帳號。
關鍵原因:雲端同步功能的風險
2023 年後,Google Authenticator 新增了「雲端備份同步功能」,可讓驗證碼儲存在 Google 帳號中。
看似方便,卻讓駭客有了新的攻擊管道。
一旦帳號遭入侵、或登入公共 Wi-Fi 被攔截,
駭客可能直接同步取得所有 2FA(雙重驗證碼),等於打開你所有帳號的大門。
專家建議:立刻關掉 Google Authenticator 雲端同步!
要降低風險,建議立即檢查以下設定:
1. 關閉雲端同步
打開 Google Authenticator → 點右上角頭像 → 關閉「同步至 Google 帳號」
(關閉後驗證碼只存在本機,不會自動上傳雲端。)
2. 重要帳號採用離線驗證器
如:Authy(離線模式)、1Password OTP、YubiKey 等實體金鑰。
這類工具能防止雲端同步帶來的單點風險。
3. 避免連接公共 Wi-Fi 處理重要帳號
尤其是:
可考慮使用手機網路(或安全 eSIM)取代不明 Wi-Fi。
延伸提醒:旅遊網路安全守則
- 不隨便插 USB 充電孔(避免 Juice Jacking)
- 為每個平台設定不同密碼+開啟 2FA
- 使用 VPN 或安全熱點連線
- 在公眾場合使用「只充電線」或行動電源
技術說明
1) 為何「把 2FA 同步到雲端」會變成攻擊者的捷徑?
- Google 在 2023 年推出讓 Authenticator 與 Google 帳號同步備份的一項功能,目的是避免使用者換手機時一大堆 OTP(一次性驗證碼)難以搬遷,但把 OTP 秘密備份到雲端,就等於把額外的存取點交給了雲端帳號的安全性。若你的 Google 帳號被入侵、被拿到登入權或被社交工程攻破,攻擊者可能就能取得你原本放在 Authenticator 裡的 OTP。
- 社群與資安圈對此功能也有警示與爭論:把密鑰放到雲端雖然方便,但同時擴大了「一處被破」導致「多處受害」的風險。許多使用者因此選擇關閉同步、把 OTP 僅保存在單一受控裝置上。
2) 如果你要關掉 Google Authenticator 的雲端同步:逐步操作(Android / iOS)
⚠️ 在做任何變更前:先備份你的 2FA 秘密(QR code 或密鑰)到安全地方(印出或寫下、存在保險箱)。關掉同步可能會把雲端中的副本移除或失去雲端備份,若沒有本地備份,你可能會被鎖在帳戶外。
步驟:
- 開啟手機上的 Google Authenticator 應用程式。
- 點右上角的 個人圖像 / 帳號圖示(profile avatar)。
- 在選單中選擇 「Use without an account」 / 「Don't log in, use 'Authenticator'」或類似選項(中文版本可能寫成「不登入,僅使用 Authenticator」之類)。
- 會跳出警告視窗告知「此操作會讓你的 OTP 僅保存在此裝置,並從雲端移除/停止同步」,確認你已備份後,按 Continue / 確定 即可。
- 若成功,你會在 App 的雲朵圖示上看到「斜線」或明顯標示為「未同步」。
要點提醒:
- 關閉後,Google Authenticator 僅在本機儲存代碼(device-only)。若你換手機或手機遺失,必須用你先前備份的 QR / 秘鑰手動恢復各服務的 2FA。
- 如果你在 App 裡看不到上述選項,請先更新 Authenticator 至最新版本,再檢查。若仍找不到,參考官方支援說明或社群教程。
3) 關掉雲端同步後,你還需要做的 6 件事(避免「被鎖在外」或降低風險)
- 先把每個服務的 2FA 秘鑰備份(寫下16位密鑰或印出 QR),並放在實體安全處(保險箱或加密備份)。
- 啟用其他第二備援:把每個重要帳號的「備用代碼(backup codes)」下載並妥善保存。
- 考慮使用硬體安全金鑰(WebAuthn / FIDO2,如 YubiKey),對於交易所、銀行等高風險帳戶,硬體金鑰比 TOTP 更強。
- 若你有團隊或家人管理共同帳號,建立安全流程(誰持有備援碼、如何動用、多久輪替)。
- 增加帳號的主密碼強度、啟用登入提示/帳號活動通知、檢查並撤銷不明設備/授權。
- 定期匯出/檢視 Authenticator 裡的條目,確認沒有未知或多餘的 2FA 綁定。
4) 當你在郵輪、飯店或公開 Wi-Fi 上網時,還要注意的幾個重點
- 付費 Wi-Fi 或免費 Wi-Fi 都可能被攔截或設為惡意熱點,在處理交易或加密貨幣時,盡量使用已知受信任的網路或用手機行動數據。
- 如果必須使用公共網路,盡量用行動熱點(手機分享)或 VPN(但要選擇可信任的 VPN)。
- 關掉遠端存取軟體、關閉不必要的遠端桌面/SSH 與檔案分享服務。專家也指出遠端連線軟體常是突破點之一。
- 萬一出現可疑的驗證碼通知(例如你沒在登入卻收到交易所或支付驗證碼),立即變更密碼、撤銷可疑登入,並聯絡平台客服凍結資產。
5) 如果你擔心「關掉同步會造成換手機麻煩」——可用的安全替代方案
- 硬體金鑰(最好):安全、可攜帶,但要備用(避免遺失)。
- 離線開源 Authenticator(像 Aegis、andOTP):支援本地加密備份,或允許你自行管理備份檔案(更可控)。
- 妥善保存啟用 2FA 時的 QR/密鑰:把這些密鑰存在加密筆記或實體保險箱,換手機時手動掃描恢復。
6) 總結與立即行動清單(3 分鐘就能做完)
- 立刻打開 Google Authenticator,檢查右上角帳號狀態。如果發現雲端同步已開,請先備份所有 QR/密鑰(拍照或寫下)。
- 在確認你有本地備份後,選 Use without an account / Don't log in, use 'Authenticator' 將 App 設為本機儲存(關閉雲端同步)。
- 為重要帳戶(交易所、銀行、信箱)啟用硬體金鑰或下載備用代碼並鎖好。
- 檢查 Google 帳號與其他重要服務的登入紀錄、撤銷不熟識的設備與應用。
- 若常在出差/出國使用公開網路,改用行動熱點或受信任 VPN,並關閉不必要的遠端存取軟體。
延伸閱讀
幫我試算網路流量
日本 NTT DOCOMO|原廠的 NTT DOCOMO eSIM 該去哪裡買?
IIJmio(IIJ)是什麼| IIJmio(IIJ)就是 NTT DOCOMO 網路嗎?
國際 eSIM 電信商差異|香港電信商 提供的國際 eSIM 真的比較穩定嗎?
日本網路業者| MNO 跟 MVNO 分別的營運模式是什麼?
透過 APN 設定快速辨識|如何判斷你的 eSIM 是否能使用 ChatGPT?
日本 eSIM挑選 | 每日流量 1GB、2GB、3GB還是無限制?日本旅遊天數與流量使用說明
日本 eSIM挑選 | 日本電信商 IIJ/DOCOMO、SoftBank、KDDI 三家公司的差別
日本 eSIM挑選 | 2025 eSIM 開始取代實體 SIM卡的原因
日本 eSIM挑選 | eSIM 安裝失敗排除指引
eSIM運作原理|eSIM發展歷史與技術解析
eSIM 網路連線速度|有時候會感覺eSIM 網路速度變慢?
快速領取:官網下單後,即可接收電子郵件領取你的日本eSIM
簡單設定:一鍵完成安裝,免QR code即可快速啟用eSIM
優質網路:旅喵與值得信賴的營運商合作,提供你到日本目的地最好的旅遊網路品質
多元選擇:提供各種流量、不同天數的 eSIM 規格方案,享受無縫上網體驗
